0 / 0
Volver a la versión inglesa de la documentación
Seguridad de red
Última actualización: 28 nov 2024
Seguridad de red

Cloud Pak for Data as a Service proporciona mecanismos de seguridad de red para proteger la infraestructura, los datos y las aplicaciones de posibles amenazas y accesos no autorizados. Los mecanismos de seguridad de red proporcionan conexiones seguras a los orígenes de datos y controlan el tráfico a través de Internet público y redes internas.

Tabla 1. Mecanismos de seguridad de red para Cloud Pak for Data as a Service
Mecanismo: Objetivo Responsabilidad Configurado el
Puntos finales de servicio de red privada Servicios de acceso a través de puntos finales de la red privada segura Cliente IBM Cloud
Acceso a orígenes de datos privados Conectarse a orígenes de datos protegidos por un cortafuegos Cliente Cloud Pak for Data as a Service
Integraciones Conexiones seguras con nubes de terceros a través de un cortafuegos Nubes de cliente y de terceros Cloud Pak for Data as a Service
Conexiones Conexiones seguras con orígenes de datos Cliente Cloud Pak for Data as a Service
Conexiones a datos detrás de un cortafuegos La ubicación de Satellite Connector y Satellite proporcionan conexiones seguras a orígenes de datos en un entorno híbrido Cliente IBM Cloud y Cloud Pak for Data as a Service
VPN Compartir datos de forma segura en las redes públicas Cliente IBM Cloud
Permitir direcciones IP específicas Protección frente al acceso por parte de direcciones IP desconocidas Cliente IBM Cloud
Permitir URL de terceros Permitir URL de terceros en una red interna Cliente Cortafuegos de cliente
Multitenencia Proporcionar aislamiento en un entorno SaaS Nubes de IBM y de terceros IBM Cloud, proveedores de Cloud

Puntos finales de servicio de red privada

Utilice puntos finales de servicio de red privada para conectarse de forma segura a los puntos finales en la nube privada de IBM, en lugar de conectarse a los recursos de la red pública. Con los puntos finales de servicio de red privada, los servicios ya no se sirven en una dirección IP direccionable de Internet y, por lo tanto, son más seguros. Los puntos finales de servicio requieren que se habilite el direccionamiento y reenvío virtuales (VRF) en su cuenta. VRF se habilita automáticamente para las nubes privadas virtuales (VPC).

Para obtener más información sobre los puntos finales de servicio, consulte:

Acceso a orígenes de datos privados

Los orígenes de datos privados son orígenes de datos locales protegidos por un cortafuegos. Cloud Pak for Data as a Service requiere acceso a través del cortafuegos para acceder a los orígenes de datos. Para proporcionar acceso seguro, cree reglas de cortafuegos de entrada para permitir el acceso a los rangos de direcciones IP para Cloud Pak for Data as a Service. Las reglas de entrada se crean en la herramienta de configuración para el cortafuegos.

Consulte Configuración del acceso de cortafuegos

Integraciones

Puede configurar integraciones con plataformas de nube de terceros para permitir que Cloud Pak for Data como usuarios de servicio acceda a los orígenes de datos alojados en esas nubes. Los siguientes mecanismos de seguridad se aplican a las integraciones con nubes de terceros:

  1. Una cuenta autorizada en la nube de terceros, con los permisos adecuados para ver las credenciales de la cuenta
  2. Permisos para permitir conexiones seguras a través del cortafuegos del proveedor de nube (para rangos de IP específicos)

Por ejemplo, tiene un origen de datos en AWS en el que se ejecutan los cuadernos. Debe integrar con AWS y luego generar una conexión con la base de datos. La integración y la conexión son seguras. Después de configurar el acceso al cortafuegos, puede conceder los permisos adecuados a los usuarios y proporcionarles las credenciales para que accedan a los datos en AWS.

Consulte Integraciones con otras plataformas de nube

Conexiones

Las conexiones requieren credenciales válidas para acceder a los datos. El propietario o administrador de la cuenta configura el tipo de credenciales que son necesarias, compartidas o personales, a nivel de cuenta. Seleccione Compartido para especificar las credenciales para que el origen de datos se pueda compartir con todos los colaboradores del proyecto. Las credenciales personales requieren que cada colaborador proporcione sus propias credenciales para utilizar el origen de datos.

Las conexiones requieren credenciales válidas para acceder a los datos. El propietario o administrador de la cuenta configura el tipo de credenciales que son necesarias a nivel de cuenta. El creador de la conexión especifica una credencial válida. Las opciones son:

  • Ya sea compartido o personal permite a los usuarios especificar credenciales personales o compartidas al crear una nueva conexión seleccionando un botón de selección y especificando la credencial correcta.
  • Las credenciales personales requieren que cada colaborador proporcione sus propias credenciales para utilizar el origen de datos.
  • Las credenciales compartidas hacen que el origen de datos y sus credenciales sean accesibles para todos los colaboradores del proyecto. Los usuarios especifican una credencial común que ha creado el creador de la conexión.

Para obtener más información sobre las conexiones, consulte:

Conexiones a datos detrás de un cortafuegos

Las conexiones seguras proporcionan una comunicación segura entre los recursos en un despliegue de nube híbrida, algunos de los cuales pueden residir detrás de un cortafuegos. Tiene las siguientes opciones para conexiones seguras entre el entorno y la nube:

Ubicación de Satellite

Una ubicación de Satellite proporciona las mismas comunicaciones seguras a IBM Cloud que un conector de Satellite , pero añade acceso de alta disponibilidad de forma predeterminada más la posibilidad de comunicarse desde IBM Cloud a su ubicación local. Una ubicación de Satellite requiere al menos tres hosts x86 en la infraestructura para el plano de control de HA. Una ubicación de Satellite es un superconjunto de las prestaciones del conector de Satellite . Si sólo necesita comunicación de datos de cliente, configure un conector Satellite .

Consulte Conexión a datos detrás de un cortafuegos para obtener instrucciones sobre cómo configurar una ubicación de Satellite .

VPN

Las redes privadas virtuales (VPN) crean conexiones punto a punto virtuales utilizando protocolos de túnel y cifrado y conexiones dedicadas. Proporcionan un método seguro para compartir datos en las redes públicas.

A continuación se muestran las tecnologías VPN en IBM Cloud:

  • IPSec VPN: La VPN facilita la conectividad de la red segura a la red privada de la plataforma IBM IaaS. Cualquier usuario de la cuenta puede tener acceso VPN.

  • VPN para VPC: Con la nube privada virtual (VPC), se pueden suministrar instancias de servidor virtual de segunda generación para VPC con un alto rendimiento de red.

  • El anuncio de Secure Gateway en desuso proporciona información y escenarios para utilizar las VPN como alternativa. Consulte la documentación deIBM Cloud: Opciones de migración.

Permitir direcciones IP específicas

Utilice este mecanismo para controlar el acceso a la consola de nube de IBM y a Cloud Pak for Data as a Service. El acceso solo está permitido desde las direcciones IP especificadas; se deniega el acceso desde todas las otras direcciones IP. Puede especificar las direcciones IP permitidas para un usuario individual o para una cuenta.

Al permitir direcciones IP específicas para watsonx.ai Studio, debe incluir los rangos CIDR para los nodos de watsonx.ai Studio en cada región (así como las IP individuales del sistema cliente que están permitidas). Puede incluir los rangos de CIDR en Cloud Pak for Data as a Service siguiendo estos pasos:

  1. En el menú principal, seleccione Administración > Integraciones de nube.
  2. Pulse Configuración del cortafuegos para visualizar las direcciones IP de la región actual. Utilice la notación CIDR.
  3. Copie cada rango de CIDR en Restricciones de dirección IP para un usuario o una cuenta. Asegúrese de especificar también las direcciones IP de cliente individuales permitidas. Especifique las direcciones IP como una lista separada por comas. A continuación, pulse Aplicar.
  4. Repita este procedimiento para cada región a fin de permitir el acceso a watsonx.ai Studio.

Para obtener instrucciones paso a paso para las restricciones de usuario y de cuenta, consulte Documentos de IBM Cloud: Permitir direcciones IP específicas

Permitir URL de terceros en una red interna

Si está ejecutando Cloud Pak for Data as a Service detrás de un cortafuegos, debe incluir en la lista de elementos permitidos los URL de terceros para proporcionar acceso de navegador de salida. Los URL incluyen recursos de IBM Cloud y otros dominios. Cloud Pak for Data as a Service requiere acceso a estos dominios para el tráfico del navegador de salida a través del cortafuegos.

Esta lista solo proporciona acceso a las funciones principales de Cloud Pak for Data as a Service . Es posible que servicios específicos requieran URL adicionales. La lista no cubre los URL necesarios para la consola de IBM Cloud y sus solicitudes de salida.

Tabla 2. Lista de elementos permitidos de URL de terceros para Cloud Pak for Data as a Service
Dominio Descripción
*.bluemix.net Dominio de nube heredado de IBM -todavía se utiliza en algunos flujos
*.appdomain.cloud Dominio de aplicaciones de IBM Cloud
cloud.ibm.com Dominio global de IBM Cloud
*.cloud.ibm.com Varios subdominios de IBM Cloud
dataplatform.cloud.ibm.com Región de Dallas de Cloud Pak for Data as a Service
*.dataplatform.cloud.ibm.com Subdominios de CCloud Pak for Data as a Service
eum.instana.io Instrumentación del lado del cliente de Instana
eum-orange-saas.instana.io Instrumentación del lado del cliente de Instana
cdnjs.cloudflare.com Cloudflare CDN para algunos recursos estáticos
nebula-cdn.kampyle.com Medalllia NPS
resources.digital-cloud-ibm.medallia.eu Medalllia NPS
udc-neb.kampyle.com Medalllia NPS
ubt.digital-cloud-ibm.medallia.eu Medalllia NPS
cdn.segment.com Segmento JS
api.segment.io API de segmento
cdn.walkme.com Recursos estáticos WalkMe
papi.walkme.com API WalkMe
ec.walkme.com API WalkMe
playerserver.walkme.com Servidor reproductor WalkMe
s3.walkmeusercontent.com Recursos estáticos WalkMe

Multitenencia

Cloud Pak for Data as a Service se aloja como una solución de multitenencia segura y compatible en IBM Cloud. Consulte Multitenencia

Tema principal: Seguridad

Búsqueda y respuesta de IA generativa
Estas respuestas las genera un modelo de lenguaje grande en watsonx.ai que se basa en el contenido de la documentación del producto. Más información