Translation not up to date
IBM watsonx poskytuje mechanismy zabezpečení sítě na ochranu infrastruktury, dat a aplikací před potenciálními hrozbami a neoprávněným přístupem. Mechanismy zabezpečení sítě poskytují zabezpečená připojení ke zdrojům dat a řídí provoz v rámci veřejných internetových i interních sítí.
| Mechanismus | Účel | Odpovědnost | Konfigurováno v |
|---|---|---|---|
| Koncové body soukromých síťových služeb | Přístup ke službám prostřednictvím zabezpečených koncových bodů privátní sítě | zákazník | IBM Cloud |
| Přístup k soukromým zdrojům dat | Připojit se ke zdrojům dat, které jsou chráněny bránou firewall | zákazník | IBM watsonx |
| Integrace | Zabezpečená připojení k cloudy třetích stran prostřednictvím brány firewall | Cloudy zákazníků a třetích stran | IBM watsonx |
| connections, připojení | Zabezpečená připojení ke zdrojům dat | zákazník | IBM watsonx |
| Připojení k datům za bránou firewall | Umístění Satellite konektor a Satellite poskytují zabezpečená připojení ke zdrojům dat v hybridním prostředí. | zákazník | IBM Cloud a IBM watsonx |
| VPN | Bezpečně sdílet data ve veřejných sítích | zákazník | IBM Cloud |
| Povolit určité adresy IP | Chránit před přístupem neznámými adresami IP | zákazník | IBM Cloud |
| Povolit adresy URL jiných dodavatelů | Povolit adresy URL třetích stran v interní síti | zákazník | Brána firewall zákazníka |
| Víceklientská architektura | Zajištění izolace v prostředí SaaS . | IBM a cloudy třetích stran | IBM Cloud, poskytovatelé cloudu |
Koncové body soukromých síťových služeb
Používejte koncové body privátních síťových služeb k bezpečnému připojení ke koncovým bodům prostřednictvím privátního cloudu IBM namísto připojení k prostředkům prostřednictvím veřejné sítě. V případě koncových bodů služeb privátní sítě již nejsou služby obsluhovány na adrese IP směrovatelné přes Internet, a jsou tedy bezpečnější. Koncové body služeb vyžadují, aby bylo na vašem účtu povoleno virtuální směrování a předávání (VRF). VRF je automaticky povoleno pro virtuální privátní cloudy (VPC).
Další informace o koncových bodech služeb viz:
- Zabezpečení připojení ke službám pomocí soukromých koncových bodů služeb
- Blog: Představení koncových bodů soukromých služeb v produktu IBM Cloud Databases
- IBM Cloud docs: Zabezpečený přístup ke službám pomocí koncových bodů služeb
- IBM Cloud dokumenty: Povolení VRF a koncových bodů služeb
- IBM Cloud dokumenty: Koncové body veřejné a soukromé sítě
Přístup k soukromým zdrojům dat
Soukromé zdroje dat jsou lokální zdroje dat, které jsou chráněny bránou firewall. IBM watsonx vyžaduje přístup přes bránu firewall k dosažení zdrojů dat. Chcete-li poskytnout zabezpečený přístup, vytvořte pravidla příchozí brány firewall, abyste povolili přístup pro rozsahy adres IP pro produkt IBM watsonx. Příchozí pravidla jsou vytvořena v konfiguračním nástroji pro vaši bránu firewall.
Integrace
Můžete nakonfigurovat integrace s cloudovými platformami třetích stran, abyste uživatelům produktu IBM watsonx umožnili přístup ke zdrojům dat hostovaným na těchto cloudech. Následující mechanizmy zabezpečení se vztahují na integrace s cloudy třetích stran:
- Autorizovaný účet v cloudu třetí strany s příslušnými oprávněními k zobrazení pověření účtu.
- Oprávnění pro povolení zabezpečených připojení prostřednictvím brány firewall poskytovatele cloudu (pro specifické rozsahy IP)
Máte například zdroj dat v systému AWS , na kterém spouštíte zápisníky. Je třeba provést integraci s produktem AWS a poté vygenerovat připojení k databázi. Integrace a připojení jsou zabezpečené. Po konfiguraci přístupu přes bránu firewall můžete uživatelům udělit příslušná oprávnění a poskytnout jim pověření pro přístup k datům.
Připojení
Připojení vyžadují platná pověření pro přístup k datům. Vlastník účtu nebo administrátor konfiguruje typ pověření, která jsou povinná, sdílená nebo osobní, na úrovni účtu. Sdílená pověření zpřístupní zdroj dat a jeho pověření všem spolupracovníkům v projektu. Osobní pověření vyžadují, aby každý spolupracovník poskytoval vlastní pověření pro použití zdroje dat.
Připojení vyžadují platná pověření pro přístup k datům. Vlastník účtu nebo administrátor konfiguruje typ pověření, která jsou požadována na úrovni účtu. Tvůrce připojení zadá platné pověření. Možné volby jsou:
- Sdílené nebo osobní umožňuje uživatelům zadat osobní nebo sdílená pověření při vytváření nového připojení výběrem přepínače a zadáním správného pověření.
- Osobní pověření vyžadují, aby každý spolupracovník poskytoval svá vlastní pověření pro použití zdroje dat.
- Sdílená pověření zpřístupní zdroj dat a jeho pověření všem spolupracovníkům v projektu. Uživatelé zadávají společné pověření, které bylo vytvořeno tvůrcem připojení.
Další informace o připojeních viz:
Připojení k datům za bránou firewall
Zabezpečená připojení poskytují zabezpečenou komunikaci mezi prostředky v implementaci hybridního cloudu, z nichž některé mohou být umístěny za bránou firewall. Pro zabezpečená připojení mezi vaším prostředím a cloudem máte následující možnosti:
Satellite konektor
Satellite konektor používá odlehčenou komunikaci založenou na Docker, která vytváří zabezpečenou a auditovatelnou komunikaci z vašeho prostředí on-prem, cloud nebo Edge zpět do produktu IBM Cloud. Vaše infrastruktura potřebuje pouze hostitele kontejneru, například Docker. Další informace viz Satellite Přehled konektoru.
Pokyny ke konfiguraci konektoru Satellite naleznete v tématu Připojení k datům za bránou firewall .
Satellite konektor je náhradou za zamítnutou bránu Secure Gateway. Oznámení o zamítnutí služby Secure Gateway viz dokumenty IBM Cloud : Secure Gateway Přehled zamítnutí
Satellite umístění
Satellite umístění poskytuje stejnou zabezpečenou komunikaci s produktem IBM Cloud jako konektor Satellite Connector, ale standardně přidává přístup s vysokou dostupností plus schopnost komunikovat z produktu IBM Cloud do vašeho lokalizace on-prem. Satellite vyžaduje alespoň tři hostitele x86 ve vaší infrastruktuře pro řídicí rovinu vysoké dostupnosti. Satellite umístění je nadřízenou sadou schopností Satellite konektoru. Potřebujete-li pouze datovou komunikaci klienta, nastavte konektor Satellite .
Pokyny ke konfiguraci umístění Satellite naleznete v tématu Připojení k datům za bránou firewall .
VPN
Virtuální privátní sítě (VPN) vytvářejí virtuální dvoubodová připojení pomocí protokolů tunelového propojení a šifrovacích a vyhrazených připojení. Poskytují zabezpečenou metodu sdílení dat ve veřejných sítích.
Níže jsou uvedeny technologie VPN na IBM Cloud:
IPSec VPN: VPN usnadňuje konektivitu z vaší zabezpečené sítě do soukromé sítě platformy IBM IaaS . Přístup k síti VPN může být udělen libovolnému uživateli na účtu.
VPN for VPC: Pomocí VPC (Virtual Private Cloud) můžete zajistit instance virtuálního serveru generace 2 pro VPC s vysokým výkonem sítě.
Oznámení o zamítnutí služby Secure Gateway poskytuje informace a scénáře pro použití VPN jako alternativy. Viz IBM Cloud dokumenty: Volby migrace.
Povolit určité adresy IP
Pomocí tohoto mechanizmu můžete řídit přístup ke konzole cloudu IBM a k produktu IBM watsonx. Přístup je povolen pouze z uvedených adres IP; přístup ze všech ostatních adres IP je odepřen. Můžete uvést povolené adresy IP pro jednotlivého uživatele nebo pro účet.
Při povolování specifických adres IP pro produkt Watson Studiomusíte zahrnout rozsahy CIDR pro uzly Watson Studio v každém regionu (stejně jako povolené individuální adresy IP systému klienta). Rozsahy CIDR v produktu IBM watsonx můžete zahrnout takto:
- V hlavní nabídce vyberte volbu Administrace > Integrace cloudu.
- Chcete-li zobrazit adresy IP pro aktuální oblast, klepněte na volbu Konfigurace brány firewall . Použijte notaci CIDR.
- Zkopírujte každý rozsah CIDR do omezení adresy IP pro uživatele nebo účet. Nezapomeňte také zadat povolené adresy IP jednotlivých klientů. Zadejte adresy IP jako seznam oddělený čárkami. Poté klepněte na tlačítko Použít.
- Opakujte pro každou oblast, abyste povolili přístup pro produkt Watson Studio.
Podrobné pokyny pro omezení uživatelů i účtů viz IBM Cloud docs: Povolení specifických adres IP
Povolit adresy URL třetích stran v interní síti
Pokud spouštíte produkt IBM watsonx za bránou firewall, musíte povolit seznam adres URL jiných dodavatelů, abyste poskytli odchozí přístup k prohlížeči. Adresy URL zahrnují prostředky z produktu IBM Cloud a dalších domén. IBM watsonx vyžaduje přístup k těmto doménám pro odchozí provoz prohlížeče přes bránu firewall.
Tento seznam poskytuje přístup pouze pro funkce jádra IBM watsonx . Specifické služby mohou vyžadovat další adresy URL. Seznam nepokrývá adresy URL požadované konzolou IBM Cloud a jejími odchozími požadavky.
| Doména | Popis |
|---|---|
| *.bluemix.net | IBM -stále se používá v některých tocích |
| *.appdomain.cloud | Doména aplikace IBM Cloud |
| cloud.ibm.com | Globální doména IBM Cloud |
| *.cloud.ibm.com | Různé poddomény IBM Cloud |
| dataplatform.cloud.ibm.com | IBM watsonx oblast Dallasu |
| *.dataplatform.cloud.ibm.com | Poddomény produktu CIBM watsonx |
| eum.instana.io | Příprava nástrojů na straně klienta na instanci |
| eum-orange-saas.instana.io | Příprava nástrojů na straně klienta na instanci |
| cdnjs.cloudflare.com | Cloudflare CDN pro některé statické prostředky |
| nebula-cdn.kampyle.com | Medallia NPS |
| resources.digital-cloud-ibm.medallia.eu | Medallia NPS |
| udc-neb.kampyle.com | Medallia NPS |
| ubt.digital-cloud-ibm.medallia.eu | Medallia NPS |
| cdn.segment.com | JS segmentu |
| api.segment.io | Rozhraní API segmentu |
| cdn.walkme.com | Statické prostředky WalkMe |
| papi.walkme.com | Rozhraní API WalkMe |
| ec.walkme.com | Rozhraní API WalkMe |
| playerserver.walkme.com | WalkMe server přehrávače |
| s3.walkmeusercontent.com | Statické prostředky WalkMe |
Víceklientská architektura
IBM watsonx je hostován jako zabezpečené a vyhovující řešení pro více klientů na platformě IBM Cloud. Viz Více nájemců
Nadřízené téma: Zabezpečení