Cloud Pak for Data as a Service fornisce meccanismi di sicurezza della rete per proteggere l'infrastruttura, i dati e le applicazioni da potenziali minacce e accessi non autorizzati. I meccanismi di sicurezza della rete forniscono connessioni sicure alle origini dati e controllano il traffico sia su Internet pubblico che sulle reti interne.
| Meccanismo | Finalità | Responsabilità | Configurato il |
|---|---|---|---|
| Endpoint del servizio di rete privata | Accedi ai servizi tramite endpoint di rete privati protetti | Cliente | IBM Cloud |
| Accesso alle origini dati private | Connetti a origini dati protette da firewall | Cliente | Cloud Pak for Data as a Service |
| Integrazioni | Proteggi le connessioni ai cloud di terze parti tramite un firewall | Cloud di terze parti e clienti | Cloud Pak for Data as a Service |
| connessioni | Connessioni sicure alle origini dati | Cliente | Cloud Pak for Data as a Service |
| Connessioni ai dati dietro un firewall | Il connettore Satellite e l'ubicazione Satellite forniscono connessioni sicure alle origini dati in un ambiente ibrido | Cliente | IBM Cloud e Cloud Pak for Data as a Service |
| VPN | Condividi i dati in modo sicuro tra le reti pubbliche | Cliente | IBM Cloud |
| Consenti indirizzi IP specifici | Proteggi dall'accesso da indirizzi IP sconosciuti | Cliente | IBM Cloud |
| Consenti URL di terze parti | Consenti URL di terzi su una rete interna | Cliente | Firewall cliente |
| Occupazione multipla | Fornire l'isolamento in un ambiente SaaS | IBM e cloud di terze parti | IBM Cloud, Provider Cloud |
Endpoint del servizio di rete privata
Utilizza gli endpoint del servizio di rete privata per connetterti in maniera sicura agli endpoint sul cloud privato IBM , piuttosto che connetterti alle risorse sulla rete pubblica. Con gli endpoint del servizio di rete privata, i servizi non vengono più serviti su un indirizzo IP instradabile su Internet e quindi sono più sicuri. Gli endpoint del servizio richiedono l'abilitazione di VRF (virtual routing and forwarding) sul tuo account. VRF è abilitato automaticamente per VPC (Virtual Private Cloud).
Per ulteriori informazioni sugli endpoint del servizio, consultare:
- Protezione delle connessioni a servizi con endpoint di servizi privati
- Blog: Introduzione di endpoint di servizi privati nei IBM Cloud Databases
- IBM Cloud docs: accesso sicuro ai servizi utilizzando endpoint del servizio
- IBM Cloud docs: abilitazione di endpoint VRF e di servizio
- IBM Cloud docs: endpoint di rete pubblici e privati
Accesso alle origini dati private
Le origini dati private sono origini dati in loco protette da un firewall. Cloud Pak for Data as a Service richiede l'accesso tramite firewall per raggiungere le origini dati. Per fornire un accesso sicuro, crei regole del firewall in entrata per consentire l'accesso per gli intervalli di indirizzi IP per Cloud Pak for Data as a Service. Le regole in entrata vengono create nel tool di configurazione per il firewall.
Consultare Configurazione dell'accesso firewall
Integrazioni
È possibile configurare le integrazioni con piattaforme cloud di terzi per consentire agli utenti Cloud Pak for Data as a Service di accedere alle origini dati ospitate su tali cloud. I seguenti meccanismi di sicurezza si applicano alle integrazioni con cloud di terzi:
- Un account autorizzato sul cloud di terze parti, con le autorizzazioni appropriate per visualizzare le credenziali dell'account
- Autorizzazioni per consentire le connessioni sicure tramite il firewall del provider cloud (per intervalli IP specifici)
Ad esempio, si dispone di un'origine dati su AWS su cui si eseguono i notebook. È necessario eseguire l'integrazione con AWS e quindi generare una connessione al database. L'integrazione e la connessione sono sicure. Dopo aver configurato l'accesso firewall, è possibile concedere le autorizzazioni appropriate agli utenti e fornire loro le credenziali per accedere ai dati.
Collegamento
Le connessioni richiedono credenziali valide per accedere ai dati. Il proprietario o l'amministratore dell'account configura il tipo di credenziali richieste, condivise o personali, a livello di account. Le credenziali condivise rendono l'origine dati e le relative credenziali accessibili a tutti i collaboratori del progetto. Le credenziali personali richiedono che ciascun collaboratore fornisca le proprie credenziali per utilizzare l'origine dati.
Le connessioni richiedono credenziali valide per accedere ai dati. Il proprietario dell'account o l'amministratore configurano il tipo di credenziali richieste a livello dell'account. Il creatore della connessione immette una credenziale valida. Le opzioni sono:
- Condivisi o personali consente agli utenti di specificare credenziali personali o condivise quando si crea una nuova connessione selezionando un pulsante di opzione e immettendo la credenziale corretta.
- Le credenziali personali richiedono che ciascun collaboratore fornisca le proprie credenziali per utilizzare l'origine dati.
- Le credenziali condivise rendono l'origine dati e le relative credenziali accessibili a tutti i collaboratori del progetto. Gli utenti immettono una credenziali comuni create dal creatore della connessione.
Per ulteriori informazioni sulle connessioni, consultare:
Connessioni ai dati dietro un firewall
Le connessioni sicure forniscono una comunicazione sicura tra le risorse in una distribuzione cloud ibrido, alcune delle quali potrebbero risiedere dietro un firewall. Hai le seguenti opzioni per le connessioni sicure tra il tuo ambiente e il cloud:
Connettore Satellite
Un connettore Satellite utilizza una comunicazione leggera basata su Dockerche crea comunicazioni sicure e controllabili dal tuo ambiente in loco, cloud o Edge a IBM Cloud. La tua infrastruttura ha bisogno soltanto di un host contenitore, come Docker. Per ulteriori informazioni, vedere Panoramica del connettoreSatellite.
Consultare Connessione ai dati dietro un firewall per istruzioni sulla configurazione di un connettore Satellite .
Satellite Connector sostituisce Secure Gatewayobsoleto. Per l'annuncio della deprecazione di Secure Gateway, vedere i documenti diIBM Cloud: Panoramica sulla deprecazione di Secure Gateway
Ubicazione Satellite
Un'ubicazione di Satellite fornisce le stesse comunicazioni sicure a IBM Cloud di un connettore Satellite , ma aggiunge l'accesso ad alta disponibilità per impostazione predefinita più la capacità di comunicare da IBM Cloud alla propria ubicazione in loco. Un'ubicazione di Satellite richiede almeno tre host x86 nell'infrastruttura per il piano di controllo HA. Un'ubicazione Satellite è una superserie delle capacità di Satellite Connector. Se è necessaria solo la comunicazione dati client, impostare un connettore Satellite .
Consultare Connessione ai dati dietro un firewall per istruzioni sulla configurazione di un'ubicazione Satellite .
VPN
Le VPN (Virtual Private Network) creano connessioni virtuali point - to - point utilizzando protocolli di tunneling, crittografia e connessioni dedicate. Forniscono un metodo sicuro per la condivisione dei dati tra reti pubbliche.
Di seguito sono riportate delle tecnologie VPN su IBM Cloud:
IPSec VPN: la VPN facilita la connettività dalla tua rete sicura alla rete privata della piattaforma IBM IaaS . A qualsiasi utente dell'account può essere fornito l'accesso VPN.
VPN for VPC: con VPC (Virtual Private Cloud), puoi eseguire il provisioning delle istanze server virtuale di generazione 2 per VPC con elevate prestazioni di rete.
L'annuncio di obsolescenza di Secure Gateway fornisce informazioni e scenari per l'utilizzo delle VPN come alternativa. Vedere i documenti diIBM Cloud: Opzioni di migrazione.
Consenti specifici indirizzi IP
Utilizza questo meccanismo per controllare l'accesso alla console cloud IBM e a Cloud Pak for Data as a Service. L'accesso è consentito solo dagli indirizzi IP specificati; l'accesso da tutti gli altri indirizzi IP è negato. È possibile specificare gli indirizzi IP consentiti per un singolo utente o per un account.
Quando si autorizzano indirizzi IP specifici per watsonx.ai Studio, è necessario includere gli intervalli CIDR per i nodi watsonx.ai Studio in ciascuna regione (nonché gli IP dei singoli sistemi client consentiti). Puoi includere gli intervalli CIDR in Cloud Pak for Data as a Service attenendosi alla seguente procedura:
- Dal menu principale, scegli Amministrazione> Integrazioni cloud.
- Fare clic su Configurazione firewall per visualizzare gli indirizzi IP per la regione corrente. Utilizzare la notazione CIDR.
- Copia ogni intervallo CIDR nelle restrizioni dell'indirizzo IP per un utente o un account. Assicurarsi di immettere anche i singoli indirizzi IP client consentiti. Immettere gli indirizzi IP come elenco separato da virgole. Quindi, fare clic su Applica.
- Ripetere per ogni regione per consentire l'accesso a watsonx.ai Studio.
Per le istruzioni passo-passo per le restrizioni degli utenti e degli account, consultare i documenti diIBM Cloud: Consentire indirizzi IP specifici
Consenti URL di terzi su una rete interna
Se si sta eseguendo Cloud Pak for Data as a Service dietro un firewall, è necessario consentire l'elenco di URL di terze parti per fornire l'accesso al browser in uscita. Gli URL comprendono risorse da IBM Cloud e altri domini. Cloud Pak for Data as a Service richiede l'accesso a questi domini per il traffico del browser in uscita attraverso il firewall.
Questo elenco fornisce l'accesso solo per le funzioni Cloud Pak for Data as a Service principali. Servizi specifici potrebbero richiedere URL aggiuntivi. L'elenco non copre gli URL richiesti dalla console IBM Cloud e le relative richieste in uscita.
| Dominio | Descrizione |
|---|---|
| *.bluemix.net | Dominio IBM legacy Cloud - ancora utilizzato in alcuni flussi |
| *.appdomain.cloud | Dominio dell'applicazione IBM Cloud |
| cloud.ibm.com | Dominio globale IBM Cloud |
| *.cloud.ibm.com | Vari domini secondari IBM Cloud |
| dataplatform.cloud.ibm.com | Regione Dallas Cloud Pak for Data as a Service |
| *.dataplatform.cloud.ibm.com | Sottodomini CCloud Pak for Data as a Service |
| eum.instana.io | Strumentazione lato client Instana |
| eum-orange-saas.instana.io | Strumentazione lato client Instana |
| cdnjs.cloudflare.com | Cloudflare CDN per alcune risorse statiche |
| nebula-cdn.kampyle.com | NPS Medallia |
| resources.digital-cloud-ibm.medallia.eu | NPS Medallia |
| udc-neb.kampyle.com | NPS Medallia |
| ubt.digital-cloud-ibm.medallia.eu | NPS Medallia |
| cdn.segment.com | Segmento JS |
| api.segment.io | API segmento |
| cdn.walkme.com | Risorse statiche WalkMe |
| papi.walkme.com | API WalkMe |
| ec.walkme.com | API WalkMe |
| playerserver.walkme.com | Server WalkMe Player |
| s3.walkmeusercontent.com | Risorse statiche WalkMe |
Occupazione multipla
Cloud Pak for Data as a Service è ospitato come una soluzione multi - tenant sicura e conforme su IBM Cloud. Consultare Multi - Tenant
Argomento principale: Sicurezza