0 / 0
Go back to the English version of the documentation
网络安全性
Last updated: 2024年11月28日
网络安全性

Cloud Pak for Data as a Service 提供了网络安全机制,以保护基础结构,数据和应用程序免受潜在威胁和未经授权的访问。 网络安全机制提供与数据源的安全连接,并控制公共因特网和内部网络中的流量。

表 1. Cloud Pak for Data as a Service 的网络安全机制
机制 用途 勇于担责 配置位置
专用网络服务端点 通过安全的专用网络端点访问服务 客户 IBM Cloud
访问专用数据源 连接到受防火墙保护的数据源 客户 Cloud Pak for Data as a Service
集成 通过防火墙保护与第三方云的连接 客户和第三方云 Cloud Pak for Data as a Service
连接 与数据源的安全连接 客户 Cloud Pak for Data as a Service
连接到防火墙后的数据 Satellite 连接器和 Satellite 位置提供与混合环境中的数据源的安全连接 客户 IBM Cloud 和 Cloud Pak for Data 即服务
VPN 在公共网络中安全地共享数据 客户 IBM Cloud
允许特定 IP 地址 防止未知 IP 地址访问 客户 IBM Cloud
允许第三方 URL 允许内部网络上的第三方 URL 客户 客户防火墙
多租赁 在 SaaS 环境中提供隔离 IBM 和第三方云 IBM Cloud,云提供者

专用网络服务端点

使用专用网络服务端点安全连接到 IBM 私有云中的端点,而非连接到公共网络中的资源。 使用专用网络服务端点后,将不再在因特网可路由 IP 地址上提供服务,因此更安全。 服务端点需要在您的帐户上启用虚拟路由和转发 (VRF)。 VRF 将针对虚拟专用云 (VPC) 自动启用。

有关服务端点的更多信息,请参阅:

访问专用数据源

专用数据源是受防火墙保护的本地数据源。 Cloud Pak for Data as a Service 需要通过防火墙进行访问才能访问数据源。 要提供安全访问权,请创建入站防火墙规则以允许对 Cloud Pak for Data as a Service的 IP 地址范围进行访问。 将在配置工具中为防火墙创建入站规则。

请参阅 配置防火墙访问

集成

您可以配置与第三方云平台的集成,以允许 Cloud Pak for Data 即服务用户访问托管在这些云上的数据源。 以下安全机制适用于与第三方云的集成:

  1. 第三方云上的授权帐户,具有相应的许可权以查看帐户凭证
  2. 允许通过云提供者的防火墙(针对特定 IP 范围)进行安全连接的许可权

例如,您在运行 Notebook 的 AWS 上具有数据源。 您需要与 AWS 集成,然后生成与数据库的连接。 此集成和连接是安全的。 配置防火墙访问权之后,您可以将适当的许可权授予用户,并向他们提供凭证,以访问数据。

请参阅与其他云平台的集成

连接

连接需要有效凭证才能访问数据。 帐户所有者或管理员配置帐户级别所需的共享或个人凭证类型。 共享凭证使数据源及其凭证可供项目中的所有合作者访问。 个人凭证要求每个合作者提供自己的凭证才能使用数据源。

连接需要有效凭证才能访问数据。 帐户所有者或管理员配置帐户级别所需的凭证类型。 连接创建者输入有效凭证。 选项为:

  • 共享或个人 允许用户在创建新连接时通过选择单选按钮并输入正确的凭证来指定个人或共享凭证。
  • 个人 凭证要求每个合作者提供自己的凭证以使用数据源。
  • 共享 凭证使数据源及其凭证可供项目中的所有合作者访问。 用户输入由连接的创建者创建的公共凭证。

有关连接的更多信息,请参阅:

与防火墙后的数据的连接

安全连接在混合云部署中的资源之间提供安全通信,其中一些资源可能位于防火墙之后。 您可以使用以下选项来保护环境与云之间的连接:

Satellite 位置

Satellite 位置向 IBM Cloud 提供与 Satellite 连接器相同的安全通信,但缺省情况下,添加了高可用性访问权以及从 IBM Cloud 到内部部署位置的通信能力。 Satellite 位置需要在基础结构中至少有三个 x86 主机用于 HA 控制平面。 Satellite 位置是 Satellite 连接器功能的超集。 如果只需要客户机数据通信,请设置 Satellite 连接器。

请参阅 连接到防火墙后的数据 ,以获取有关配置 Satellite 位置的指示信息。

VPN

虚拟专用网 (VPN) 通过使用隧道协议以及加密和专用连接来创建虚拟点到点连接。 它们提供了一种跨公共网络共享数据的安全方法。

以下是 IBM Cloud上的 VPN 技术:

  • IPSec VPN:VPN 简化了从安全网络到 IBM IaaS 平台专用网络的连接。 可向帐户上的任何用户授予 VPN 访问权。

  • VPN for VPC:借助虚拟私有云 (VPC),您可以为具有高网络性能的 VPC 供应第 2 代虚拟服务器实例。

  • Secure Gateway 废弃声明提供了使用 VPN 作为替代方法的信息和方案。 请参阅IBM Cloud文档:迁移选项

允许特定 IP 地址

使用此机制可控制对 IBM 云控制台和 Cloud Pak for Data as a Service的访问。 仅允许从指定 IP 地址进行访问;将拒绝来自所有其他 IP 地址的访问。 您可以对单个用户或某个帐户指定允许的 IP 地址。

允许watsonx.aiStudio 使用特定 IP 地址时,必须包括每个区域中watsonx.aiStudio 节点的 CIDR 范围(以及允许使用的单个客户端系统 IP)。 通过执行以下步骤,您可以将 CIDR 范围包含在 Cloud Pak for Data 即服务中:

  1. 从主菜单中,选择 管理> 云集成
  2. 单击防火墙配置以显示当前区域的 IP 地址。 使用 CIDR 表示法。
  3. 将每个 CIDR 范围复制到用户或帐户的 IP 地址限制中。 请务必同时输入允许的个别客户端 IP 地址。 以逗号分隔列表形式输入 IP 地址。 然后,单击 应用
  4. 对每个区域重复此操作,以允许watsonx.aiStudio 访问。

有关用户和帐户限制的逐步指示信息,请参阅 IBM Cloud 文档:允许特定 IP 地址

允许内部网络上的第三方 URL

如果在防火墙后运行 Cloud Pak for Data as a Service ,那么必须允许列出第三方 URL 以提供出站浏览器访问权。 这些 URL 包含来自 IBM Cloud 和其他域的资源。 Cloud Pak for Data as a Service 需要通过防火墙访问这些域以获取出站浏览器流量。

此列表仅提供对核心 Cloud Pak for Data as a Service 功能的访问。 特定服务可能需要其他 URL。 此列表不涵盖 IBM Cloud 控制台及其出站请求所需的 URL。

表 2. Cloud Pak for Data as a Service 的第三方 URL 允许列表
描述
*.bluemix.net IBM 旧云域-仍在某些流中使用
*.appdomain.cloud IBM Cloud 应用程序域
cloud.ibm.com IBM Cloud 全局域
*.cloud.ibm.com 各种 IBM Cloud 子域
dataplatform.cloud.ibm.com Cloud Pak for Data as a Service 达拉斯区域
*.dataplatform.cloud.ibm.com CCloud Pak for Data 即服务子域
eum.instana.io Instana 客户端检测
eum-orange-saas.instana.io Instana 客户端检测
cdnjs.cloudflare.com 针对某些静态资源的 Cloudflare CDN
nebula-cdn.kampyle.com Medallia NPS
resources.digital-cloud-ibm.medallia.eu Medallia NPS
udc-neb.kampyle.com Medallia NPS
ubt.digital-cloud-ibm.medallia.eu Medallia NPS
cdn.segment.com 段 JS
api.segment.io 段 API
cdn.walkme.com WalkMe 静态资源
papi.walkme.com WalkMe API
ec.walkme.com WalkMe API
playerserver.walkme.com WalkMe 播放器服务器
s3.walkmeusercontent.com WalkMe 静态资源

多租户

Cloud Pak for Data 即服务作为一款安全且合规的多租户解决方案托管在 IBM Cloud 上。 请参阅多租户

父主题: 安全性

Generative AI search and answer
These answers are generated by a large language model in watsonx.ai based on content from the product documentation. Learn more