Cloud Pak for Data as a Service fournit des mécanismes de sécurité réseau pour protéger l'infrastructure, les données et les applications contre les menaces potentielles et les accès non autorisés. Les mécanismes de sécurité réseau fournissent des connexions sécurisées aux sources de données et contrôlent le trafic sur l'Internet public et les réseaux internes.
| Mécanisme | Objectif | Responsibilité | Configurée sur |
|---|---|---|---|
| Noeuds finaux de service de réseau privé | Accéder aux services via des noeuds finaux de réseau privé sécurisés | Client | IBM Cloud |
| Accès aux sources de données privées | Connexion à des sources de données protégées par un pare-feu | Client | Cloud Pak for Data as a Service |
| Intégrations | Sécuriser les connexions aux clouds tiers via un pare-feu | Clouds client et tiers | Cloud Pak for Data as a Service |
| Connexions | Sécuriser les connexions aux sources de données | Client | Cloud Pak for Data as a Service |
| Connexions aux données derrière un pare-feu | Le connecteur Satellite et l'emplacement Satellite fournissent des connexions sécurisées aux sources de données dans un environnement hybride | Client | IBM Cloud et Cloud Pak for Data as a Service |
| VPN | Partager les données en toute sécurité sur les réseaux publics | Client | IBM Cloud |
| Autorisation d'adresses IP spécifiques | Protection contre l'accès par des adresses IP inconnues | Client | IBM Cloud |
| Autoriser les URL tierces | Autoriser les URL de tiers sur un réseau interne | Client | Pare-feu client |
| Multi-location | Assurer l'isolement dans un environnement SaaS | Clouds IBM et Tiers | IBM Cloud, fournisseurs de cloud |
Noeuds finaux de service de réseau privé
Utilisez les noeuds finaux de service de réseau privé pour vous connecter en toute sécurité aux noeuds finaux sur le cloud privé IBM, plutôt que de vous connecter aux ressources sur le réseau public. A l'aide des noeuds finaux de service de réseau privé, les services ne sont plus traités sur une adresse IP Internet routable et sont donc plus sécurisés. Les noeuds finaux de service requièrent l'activation du routage et de l'acheminement virtuels (VRF) dans votre compte. VRF est automatiquement activé pour les clouds privés virtuels (VCP).
Pour plus d'informations sur les noeuds finaux de service, voir :
- Sécurisation des connexions aux services à l'aide des noeuds finaux de service privé
- Blogue : Présentation des noeuds finaux de service privé dans les bases de données IBM Cloud
- Documentation IBM Cloud : Accès sécurisé aux services à l'aide des noeuds finaux de service
- Documentation IBM Cloud : Activation de VRF et des noeuds finaux de service
- Documentation IBM Cloud : Noeuds finaux de réseaux publics et privés
Accès aux sources de données privées
Les sources de données privées sont des sources de données sur site qui sont protégées par un pare-feu. Cloud Pak for Data as a Service requiert un accès via le pare-feu pour accéder aux sources de données. Pour fournir un accès sécurisé, vous créez des règles de pare-feu entrantes afin d'autoriser l'accès aux plages d'adresses IP pour Cloud Pak for Data as a Service. Les règles entrantes sont créées dans l'outil de configuration de votre pare-feu.
Intégrations
Vous pouvez configurer des intégrations aux plateformes cloud tierces pour permettre aux utilisateurs de Cloud Pak for Data as a Service d'accéder aux sources de données hébergées sur ces clouds. Les mécanismes de sécurité suivants s'appliquent aux intégrations à des clouds tiers:
- Un compte autorisé sur le cloud tiers, doté de droits appropriés pour afficher les données d'identification de compte
- Droits permettant des connexions sécurisées via le pare-feu du fournisseur de cloud (pour des plages d'adresses IP spécifiques)
Par exemple, vous disposez d'une source de données sur AWS où vous exécutez des blocs-notes. Vous devez effectuer l'intégration à AWS, puis générer une connexion à la base de données. L'intégration et la connexion sont sécurisées. Une fois que vous avez configuré l'accès au pare-feu, vous pouvez accorder les droits appropriés aux utilisateurs et leur fournir des données d'identification pour accéder aux données.
Connexions
Les connexions nécessitent des données d'identification valides pour accéder aux données. Le propriétaire ou l'administrateur de compte configure le type des données d'identification requises, partagées ou personnelles, au niveau du compte. Les données d'identification partagées rendent la source de données et ses données d'identification accessibles à tous les collaborateurs du projet. Les données d'identification personnelles exigent que chaque collaborateur fournisse ses propres données d'identification pour utiliser la source de données.
Les connexions nécessitent des données d'identification valides pour accéder aux données. Le propriétaire du compte ou l'administrateur configure le type de données d'identification requises au niveau du compte. Le créateur de la connexion entre des données d'identification valides. Les options possibles sont les suivantes :
- Partagé ou personnel permet aux utilisateurs de spécifier des droits d'accès personnels ou partagés lors de la création d'une nouvelle connexion en sélectionnant un bouton d'option et en entrant les droits d'accès appropriés.
- Les données d'identification personnelles nécessitent que chaque collaborateur fournisse ses propres données d'identification pour utiliser la source de données.
- Les données d'identification partagées rendent la source de données et ses données d'identification accessibles à tous les collaborateurs du projet. Les utilisateurs entrent des données d'identification communes qui ont été créées par le créateur de la connexion.
Pour plus d'informations sur les connexions, voir :
Connexions aux données derrière un pare-feu
Les connexions sécurisées fournissent une communication sécurisée entre les ressources dans un déploiement de cloud hybride, dont certaines peuvent se trouver derrière un pare-feu. Vous disposez des options suivantes pour sécuriser les connexions entre votre environnement et le cloud :
Connecteur Satellite
Un connecteur Satellite utilise une communication Dockerlégère qui crée des communications sécurisées et auditables à partir de votre environnement sur site, cloud ou Edge vers IBM Cloud. Votre infrastructure n'a besoin que d'un hôte de conteneur, tel que Docker. Pour plus d'informations, voir Vue d'ensemble du connecteurSatellite.
Voir Connexion à des données derrière un pare-feu pour obtenir des instructions sur la configuration d'un connecteur Satellite .
Le connecteur Satellite remplace la Secure Gatewayobsolète. Pour l'annonce de la dépréciation de Secure Gateway, voir IBM Cloud docs : Secure Gateway Deprecation Overview (en anglais)
Emplacement Satellite
Un emplacement Satellite fournit les mêmes communications sécurisées à IBM Cloud qu'un connecteur Satellite , mais ajoute un accès à haute disponibilité par défaut et la possibilité de communiquer depuis IBM Cloud vers votre emplacement sur site. Un emplacement Satellite requiert au moins trois hôtes x86 dans votre infrastructure pour le plan de contrôle à haute disponibilité. Un emplacement Satellite est un sur-ensemble des fonctionnalités du connecteur Satellite . Si vous n'avez besoin que de la communication des données client, configurez un connecteur Satellite .
Voir Connexion à des données derrière un pare-feu pour obtenir des instructions sur la configuration d'un emplacement Satellite .
Réseaux VPN
Les réseaux privés virtuels (VPN) créent des connexions point à point virtuelles à l'aide de protocoles de tunnellisation, de chiffrement et de connexions dédiées. Ils offrent une méthode sûre de partage de données entre les réseaux publics.
Les technologies VPN sur IBM Cloudsont les suivantes:
IPSec VPN : le réseau VPN facilite la connectivité de votre réseau sécurisé au réseau privé de la plateforme IBM IaaS. Tout utilisateur sur le compte peut se voir attribuer un accès au réseau VPN.
VPN for VPC : VPC (Virtual Private Cloud) permet de mettre à disposition des instances de serveur virtuel de deuxième génération pour VPC avec des performances réseau élevées.
L'annonce de l'obsolescence de Secure Gateway fournit des informations et des scénarios pour l'utilisation de VPN comme alternative. Voir la documentation d'IBM Cloud: Options de migration.
Autorisation d'adresses IP spécifiques
Utilisez ce mécanisme pour contrôler l'accès à la console de cloud IBM et à Cloud Pak for Data as a Service. L'accès est autorisé uniquement à partir des adresses IP spécifiées ; l'accès à partir de toutes les autres adresses IP est refusé. Vous pouvez spécifier les adresses IP autorisées pour un utilisateur individuel ou pour un compte.
Lorsque vous autorisez des adresses IP spécifiques pour le studio " watsonx.ai, vous devez inclure les plages CIDR pour les nœuds du studio " watsonx.ai dans chaque région (ainsi que les adresses IP individuelles des systèmes clients qui sont autorisées). Vous pouvez inclure les plages CIDR dans Cloud Pak for Data as a Service en procédant comme suit :
- Dans le menu principal, choisissez Administration > Intégrations de cloud.
- Cliquez sur Configuration du pare-feu pour afficher les adresses IP de la région en cours. Utilisez la notation CIDR.
- Copiez chaque plage CIDR dans les restrictions d'adresse IP pour un utilisateur ou un compte. Veillez à entrer également les adresses IP client individuelles autorisées. Entrez les adresses IP sous la forme d'une liste d'adresses séparées par des virgules. Cliquez ensuite sur Appliquer.
- Répétez l'opération pour chaque région afin d'autoriser l'accès à watsonx.ai Studio.
Pour des instructions détaillées sur les restrictions de compte et d'utilisateur, voir Documentation IBM Cloud : Autorisation d'adresses IP spécifiques
Autoriser les URL de tiers sur un réseau interne
Si vous exécutez Cloud Pak for Data as a Service derrière un pare-feu, vous devez autoriser les URL tierces à fournir un accès de navigateur sortant. Les URL incluent des ressources provenant d' IBM Cloud et d'autres domaines. Cloud Pak for Data as a Service requiert l'accès à ces domaines pour le trafic de navigateur sortant via le pare-feu.
Cette liste fournit un accès uniquement aux fonctions de base de Cloud Pak for Data as a Service . Des services spécifiques peuvent nécessiter des URL supplémentaires. La liste ne couvre pas les URL requises par la console IBM Cloud et ses demandes sortantes.
| Domaine | Descriptif |
|---|---|
| *.bluemix.net | Domaine IBM Legacy Cloud-toujours utilisé dans certains flux |
| *.appdomain.cloud | Domaine d'application IBM Cloud |
| cloud.ibm.com | Domaine global IBM Cloud |
| *.cloud.ibm.com | Divers sous-domaines IBM Cloud |
| dataplatform.cloud.ibm.com | Région de Dallas Cloud Pak for Data as a Service |
| *.dataplatform.cloud.ibm.com | Sous-domaines CCloud Pak for Data as a Service |
| eum.instana.io | Instrumentation côté client Instana |
| eum-orange-saas.instana.io | Instrumentation côté client Instana |
| cdnjs.cloudflare.com | CDN Cloudflare pour certaines ressources statiques |
| nebula-cdn.kampyle.com | NPS Medallia |
| resources.digital-cloud-ibm.medallia.eu | NPS Medallia |
| udc-neb.kampyle.com | NPS Medallia |
| ubt.digital-cloud-ibm.medallia.eu | NPS Medallia |
| cdn.segment.com | Segment JS |
| api.segment.io | API de segment |
| cdn.walkme.com | Ressources statiques WalkMe |
| papi.walkme.com | API WalkMe |
| ec.walkme.com | API WalkMe |
| playerserver.walkme.com | Serveur de lecteur WalkMe |
| s3.walkmeusercontent.com | Ressources statiques WalkMe |
Partage de services
Cloud Pak for Data as a Service est hébergé en tant que solution à service partagé sécurisée et conforme sur IBM Cloud. Voir Multi-Tenant
Rubrique parent: Sécurité