Cloud Pak for Data as a Service proporciona mecanismos de seguridad de red para proteger la infraestructura, los datos y las aplicaciones de posibles amenazas y accesos no autorizados. Los mecanismos de seguridad de red proporcionan conexiones seguras a los orígenes de datos y controlan el tráfico a través de Internet público y redes internas.
Mecanismo: | Objetivo | Responsabilidad | Configurado el |
---|---|---|---|
Puntos finales de servicio de red privada | Servicios de acceso a través de puntos finales de la red privada segura | Cliente | IBM Cloud |
Acceso a orígenes de datos privados | Conectarse a orígenes de datos protegidos por un cortafuegos | Cliente | Cloud Pak for Data as a Service |
Integraciones | Conexiones seguras con nubes de terceros a través de un cortafuegos | Nubes de cliente y de terceros | Cloud Pak for Data as a Service |
Conexiones | Conexiones seguras con orígenes de datos | Cliente | Cloud Pak for Data as a Service |
Conexiones a datos detrás de un cortafuegos | La ubicación de Satellite Connector y Satellite proporcionan conexiones seguras a orígenes de datos en un entorno híbrido | Cliente | IBM Cloud y Cloud Pak for Data as a Service |
VPN | Compartir datos de forma segura en las redes públicas | Cliente | IBM Cloud |
Permitir direcciones IP específicas | Protección frente al acceso por parte de direcciones IP desconocidas | Cliente | IBM Cloud |
Permitir URL de terceros | Permitir URL de terceros en una red interna | Cliente | Cortafuegos de cliente |
Multitenencia | Proporcionar aislamiento en un entorno SaaS | Nubes de IBM y de terceros | IBM Cloud, proveedores de Cloud |
Puntos finales de servicio de red privada
Utilice puntos finales de servicio de red privada para conectarse de forma segura a los puntos finales en la nube privada de IBM, en lugar de conectarse a los recursos de la red pública. Con los puntos finales de servicio de red privada, los servicios ya no se sirven en una dirección IP direccionable de Internet y, por lo tanto, son más seguros. Los puntos finales de servicio requieren que se habilite el direccionamiento y reenvío virtuales (VRF) en su cuenta. VRF se habilita automáticamente para las nubes privadas virtuales (VPC).
Para obtener más información sobre los puntos finales de servicio, consulte:
- Protección de conexiones con servicios con puntos finales de servicio privado
- Blog: Introducción de puntos finales de servicio privado en IBM Cloud Databases
- Documentos de IBM Cloud: Acceso seguro a servicios utilizando puntos finales de servicio
- Documentos de IBM Cloud: Habilitación de VRF y de los puntos finales de servicio
- Documentos de IBM Cloud: Puntos finales de la red pública y privada
Acceso a orígenes de datos privados
Los orígenes de datos privados son orígenes de datos locales protegidos por un cortafuegos. Cloud Pak for Data as a Service requiere acceso a través del cortafuegos para acceder a los orígenes de datos. Para proporcionar acceso seguro, cree reglas de cortafuegos de entrada para permitir el acceso a los rangos de direcciones IP para Cloud Pak for Data as a Service. Las reglas de entrada se crean en la herramienta de configuración para el cortafuegos.
Integraciones
Puede configurar integraciones con plataformas de nube de terceros para permitir que Cloud Pak for Data como usuarios de servicio acceda a los orígenes de datos alojados en esas nubes. Los siguientes mecanismos de seguridad se aplican a las integraciones con nubes de terceros:
- Una cuenta autorizada en la nube de terceros, con los permisos adecuados para ver las credenciales de la cuenta
- Permisos para permitir conexiones seguras a través del cortafuegos del proveedor de nube (para rangos de IP específicos)
Por ejemplo, tiene un origen de datos en AWS en el que se ejecutan los cuadernos. Debe integrar con AWS y luego generar una conexión con la base de datos. La integración y la conexión son seguras. Después de configurar el acceso al cortafuegos, puede conceder los permisos adecuados a los usuarios y proporcionarles las credenciales para que accedan a los datos en AWS.
Conexiones
Las conexiones requieren credenciales válidas para acceder a los datos. El propietario o administrador de la cuenta configura el tipo de credenciales que son necesarias, compartidas o personales, a nivel de cuenta. Seleccione Compartido para especificar las credenciales para que el origen de datos se pueda compartir con todos los colaboradores del proyecto. Las credenciales personales requieren que cada colaborador proporcione sus propias credenciales para utilizar el origen de datos.
Las conexiones requieren credenciales válidas para acceder a los datos. El propietario o administrador de la cuenta configura el tipo de credenciales que son necesarias a nivel de cuenta. El creador de la conexión especifica una credencial válida. Las opciones son:
- Ya sea compartido o personal permite a los usuarios especificar credenciales personales o compartidas al crear una nueva conexión seleccionando un botón de selección y especificando la credencial correcta.
- Las credenciales personales requieren que cada colaborador proporcione sus propias credenciales para utilizar el origen de datos.
- Las credenciales compartidas hacen que el origen de datos y sus credenciales sean accesibles para todos los colaboradores del proyecto. Los usuarios especifican una credencial común que ha creado el creador de la conexión.
Para obtener más información sobre las conexiones, consulte:
Conexiones a datos detrás de un cortafuegos
Las conexiones seguras proporcionan una comunicación segura entre los recursos en un despliegue de nube híbrida, algunos de los cuales pueden residir detrás de un cortafuegos. Tiene las siguientes opciones para conexiones seguras entre el entorno y la nube:
Conector de Satellite
Un conector Satellite utiliza una comunicación ligera basada en Dockerque crea comunicaciones seguras y auditables desde el entorno local, de nube o Edge a IBM Cloud. La infraestructura sólo necesita un host de contenedor, como por ejemplo Docker. Para más información, consulta la descripción general del ConectorSatellite.
Consulte Conexión a datos detrás de un cortafuegos para obtener instrucciones sobre cómo configurar un conector de Satellite .
Satellite Connector es la sustitución de Secure Gatewayen desuso. Para el anuncio de la eliminación de Secure Gateway Gateway, consulte la documentación deIBM Cloud: Descripción general de la eliminación de Secure Gateway Gateway
Ubicación de Satellite
Una ubicación de Satellite proporciona las mismas comunicaciones seguras a IBM Cloud que un conector de Satellite , pero añade acceso de alta disponibilidad de forma predeterminada más la posibilidad de comunicarse desde IBM Cloud a su ubicación local. Una ubicación de Satellite requiere al menos tres hosts x86 en la infraestructura para el plano de control de HA. Una ubicación de Satellite es un superconjunto de las prestaciones del conector de Satellite . Si sólo necesita comunicación de datos de cliente, configure un conector Satellite .
Consulte Conexión a datos detrás de un cortafuegos para obtener instrucciones sobre cómo configurar una ubicación de Satellite .
VPN
Las redes privadas virtuales (VPN) crean conexiones punto a punto virtuales utilizando protocolos de túnel y cifrado y conexiones dedicadas. Proporcionan un método seguro para compartir datos en las redes públicas.
A continuación se muestran las tecnologías VPN en IBM Cloud:
IPSec VPN: La VPN facilita la conectividad de la red segura a la red privada de la plataforma IBM IaaS. Cualquier usuario de la cuenta puede tener acceso VPN.
VPN para VPC: Con la nube privada virtual (VPC), se pueden suministrar instancias de servidor virtual de segunda generación para VPC con un alto rendimiento de red.
El anuncio de Secure Gateway en desuso proporciona información y escenarios para utilizar las VPN como alternativa. Consulte la documentación deIBM Cloud: Opciones de migración.
Permitir direcciones IP específicas
Utilice este mecanismo para controlar el acceso a la consola de nube de IBM y a Cloud Pak for Data as a Service. El acceso solo está permitido desde las direcciones IP especificadas; se deniega el acceso desde todas las otras direcciones IP. Puede especificar las direcciones IP permitidas para un usuario individual o para una cuenta.
Al permitir direcciones IP específicas para watsonx.ai Studio, debe incluir los rangos CIDR para los nodos de watsonx.ai Studio en cada región (así como las IP individuales del sistema cliente que están permitidas). Puede incluir los rangos de CIDR en Cloud Pak for Data as a Service siguiendo estos pasos:
- En el menú principal, seleccione Administración > Integraciones de nube.
- Pulse Configuración del cortafuegos para visualizar las direcciones IP de la región actual. Utilice la notación CIDR.
- Copie cada rango de CIDR en Restricciones de dirección IP para un usuario o una cuenta. Asegúrese de especificar también las direcciones IP de cliente individuales permitidas. Especifique las direcciones IP como una lista separada por comas. A continuación, pulse Aplicar.
- Repita este procedimiento para cada región a fin de permitir el acceso a watsonx.ai Studio.
Para obtener instrucciones paso a paso para las restricciones de usuario y de cuenta, consulte Documentos de IBM Cloud: Permitir direcciones IP específicas
Permitir URL de terceros en una red interna
Si está ejecutando Cloud Pak for Data as a Service detrás de un cortafuegos, debe incluir en la lista de elementos permitidos los URL de terceros para proporcionar acceso de navegador de salida. Los URL incluyen recursos de IBM Cloud y otros dominios. Cloud Pak for Data as a Service requiere acceso a estos dominios para el tráfico del navegador de salida a través del cortafuegos.
Esta lista solo proporciona acceso a las funciones principales de Cloud Pak for Data as a Service . Es posible que servicios específicos requieran URL adicionales. La lista no cubre los URL necesarios para la consola de IBM Cloud y sus solicitudes de salida.
Dominio | Descripción |
---|---|
*.bluemix.net | Dominio de nube heredado de IBM -todavía se utiliza en algunos flujos |
*.appdomain.cloud | Dominio de aplicaciones de IBM Cloud |
cloud.ibm.com | Dominio global de IBM Cloud |
*.cloud.ibm.com | Varios subdominios de IBM Cloud |
dataplatform.cloud.ibm.com | Región de Dallas de Cloud Pak for Data as a Service |
*.dataplatform.cloud.ibm.com | Subdominios de CCloud Pak for Data as a Service |
eum.instana.io | Instrumentación del lado del cliente de Instana |
eum-orange-saas.instana.io | Instrumentación del lado del cliente de Instana |
cdnjs.cloudflare.com | Cloudflare CDN para algunos recursos estáticos |
nebula-cdn.kampyle.com | Medalllia NPS |
resources.digital-cloud-ibm.medallia.eu | Medalllia NPS |
udc-neb.kampyle.com | Medalllia NPS |
ubt.digital-cloud-ibm.medallia.eu | Medalllia NPS |
cdn.segment.com | Segmento JS |
api.segment.io | API de segmento |
cdn.walkme.com | Recursos estáticos WalkMe |
papi.walkme.com | API WalkMe |
ec.walkme.com | API WalkMe |
playerserver.walkme.com | Servidor reproductor WalkMe |
s3.walkmeusercontent.com | Recursos estáticos WalkMe |
Multitenencia
Cloud Pak for Data as a Service se aloja como una solución de multitenencia segura y compatible en IBM Cloud. Consulte Multitenencia
Tema principal: Seguridad