Sécurité des réseaux
IBM watsonx fournit des mécanismes de sécurité réseau pour protéger l'infrastructure, les données et les applications contre les menaces potentielles et les accès non autorisés. Les mécanismes de sécurité réseau fournissent des connexions sécurisées aux sources de données et contrôlent le trafic sur l'Internet public et les réseaux internes.
| Mécanisme | Fonction | Responsibilité | Configurée sur |
|---|---|---|---|
| Accès aux sources de données privées | Connexion à des sources de données protégées par un pare-feu | Client | IBM watsonx |
| Intégrations | Sécuriser les connexions aux clouds tiers via un pare-feu | Clouds client et tiers | IBM watsonx |
| Connexions | Sécuriser les connexions aux sources de données | Client | IBM watsonx |
| Connexions aux données derrière un pare-feu | Le connecteur Satellite et l'emplacement Satellite fournissent des connexions sécurisées aux sources de données dans un environnement hybride | Client | IBM Cloud et IBM watsonx |
| VPN | Partager les données en toute sécurité sur les réseaux publics | Client | IBM Cloud |
| Autorisation d'adresses IP spécifiques | Protection contre l'accès par des adresses IP inconnues | Client | IBM Cloud |
| Autoriser les URL tierces | Autoriser les URL de tiers sur un réseau interne | Client | Pare-feu client |
| Multi-location | Assurer l'isolement dans un environnement SaaS | Clouds IBM et Tiers | IBM Cloud, fournisseurs de cloud |
Accès aux sources de données privées
Les sources de données privées sont des sources de données sur site qui sont protégées par un pare-feu. IBM watsonx nécessite un accès via le pare-feu pour atteindre les sources de données. Pour fournir un accès sécurisé, vous créez des règles de pare-feu entrantes afin d'autoriser l'accès aux plages d'adresses IP pour IBM watsonx. Les règles entrantes sont créées dans l'outil de configuration de votre pare-feu.
Intégrations
Vous pouvez configurer des intégrations avec des plateformes cloud tierces pour permettre aux utilisateurs IBM watsonx d'accéder aux sources de données hébergées sur ces clouds. Les mécanismes de sécurité suivants s'appliquent aux intégrations à des clouds tiers:
- Un compte autorisé sur le cloud tiers, doté de droits appropriés pour afficher les données d'identification de compte
- Droits permettant des connexions sécurisées via le pare-feu du fournisseur de cloud (pour des plages d'adresses IP spécifiques)
Par exemple, vous disposez d'une source de données sur AWS où vous exécutez des blocs-notes. Vous devez effectuer l'intégration à AWS, puis générer une connexion à la base de données. L'intégration et la connexion sont sécurisées. Une fois que vous avez configuré l'accès au pare-feu, vous pouvez accorder les droits appropriés aux utilisateurs et leur fournir des données d'identification pour accéder aux données.
Connexions
Les connexions nécessitent des données d'identification valides pour accéder aux données. Le propriétaire ou l'administrateur de compte configure le type des données d'identification requises, partagées ou personnelles, au niveau du compte. Les données d'identification partagées rendent la source de données et ses données d'identification accessibles à tous les collaborateurs du projet. Les données d'identification personnelles exigent que chaque collaborateur fournisse ses propres données d'identification pour utiliser la source de données.
Les connexions nécessitent des données d'identification valides pour accéder aux données. Le propriétaire du compte ou l'administrateur configure le type de données d'identification requises au niveau du compte. Le créateur de la connexion entre des données d'identification valides. Options :
- Partagé ou personnel permet aux utilisateurs de spécifier des droits d'accès personnels ou partagés lors de la création d'une nouvelle connexion en sélectionnant un bouton d'option et en entrant les droits d'accès appropriés.
- Les données d'identification personnelles nécessitent que chaque collaborateur fournisse ses propres données d'identification pour utiliser la source de données.
- Les données d'identification partagées rendent la source de données et ses données d'identification accessibles à tous les collaborateurs du projet. Les utilisateurs entrent des données d'identification communes qui ont été créées par le créateur de la connexion.
Pour plus d'informations sur les connexions, voir :
Connexions aux données derrière un pare-feu
Les connexions sécurisées fournissent une communication sécurisée entre les ressources dans un déploiement de cloud hybride, dont certaines peuvent se trouver derrière un pare-feu. Vous disposez des options suivantes pour sécuriser les connexions entre votre environnement et le cloud :
Connecteur Satellite
Un connecteur Satellite utilise une communication Dockerlégère qui crée des communications sécurisées et auditables à partir de votre environnement sur site, cloud ou Edge vers IBM Cloud. Votre infrastructure n'a besoin que d'un hôte de conteneur, tel que Docker. Pour plus d'informations, voir Présentation Satellite Connector .
Voir Connexion à des données derrière un pare-feu pour obtenir des instructions sur la configuration d'un connecteur Satellite .
Satellite Connector est le remplaçant de l'outil obsolète Secure Gateway.
Emplacement Satellite
Un emplacement Satellite fournit les mêmes communications sécurisées à IBM Cloud qu'un connecteur Satellite , mais ajoute un accès à haute disponibilité par défaut et la possibilité de communiquer depuis IBM Cloud vers votre emplacement sur site. Un emplacement Satellite requiert au moins trois hôtes x86 dans votre infrastructure pour le plan de contrôle à haute disponibilité. Un emplacement Satellite est un sur-ensemble des fonctionnalités du connecteur Satellite . Si vous n'avez besoin que de la communication des données client, configurez un connecteur Satellite .
Voir Connexion à des données derrière un pare-feu pour obtenir des instructions sur la configuration d'un emplacement Satellite .
Réseaux VPN
Les réseaux privés virtuels (VPN) créent des connexions point à point virtuelles à l'aide de protocoles de tunnellisation, de chiffrement et de connexions dédiées. Ils offrent une méthode sûre de partage de données entre les réseaux publics.
Les technologies VPN sur IBM Cloudsont les suivantes:
IPSec VPN : le réseau VPN facilite la connectivité de votre réseau sécurisé au réseau privé de la plateforme IBM IaaS. Tout utilisateur sur le compte peut se voir attribuer un accès au réseau VPN.
VPN for VPC : VPC (Virtual Private Cloud) permet de mettre à disposition des instances de serveur virtuel de deuxième génération pour VPC avec des performances réseau élevées.
Autorisation d'adresses IP spécifiques
Utilisez ce mécanisme pour contrôler l'accès à la console de cloud IBM et à IBM watsonx. L'accès est autorisé uniquement à partir des adresses IP spécifiées ; l'accès à partir de toutes les autres adresses IP est refusé. Vous pouvez spécifier les adresses IP autorisées pour un utilisateur individuel ou pour un compte.
Lorsque vous autorisez des adresses IP spécifiques pour le studio " watsonx.ai, vous devez inclure les plages CIDR pour les nœuds du studio " watsonx.ai dans chaque région (ainsi que les adresses IP individuelles des systèmes clients qui sont autorisées). Vous pouvez inclure les plages CIDR dans IBM watsonx en procédant comme suit:
- Dans le menu principal, choisissez Administration > Intégrations de cloud.
- Cliquez sur Configuration du pare-feu pour afficher les adresses IP de la région en cours. Utilisez la notation CIDR.
- Copiez chaque plage CIDR dans les restrictions d'adresse IP pour un utilisateur ou un compte. Veillez à entrer également les adresses IP client individuelles autorisées. Entrez les adresses IP sous la forme d'une liste d'adresses séparées par des virgules. Cliquez ensuite sur Appliquer.
- Répétez l'opération pour chaque région afin d'autoriser l'accès à watsonx.ai Studio.
Pour des instructions détaillées sur les restrictions de compte et d'utilisateur, voir Documentation IBM Cloud : Autorisation d'adresses IP spécifiques
Autoriser les URL de tiers sur un réseau interne
Si vous exécutez IBM watsonx derrière un pare-feu, vous devez autoriser les URL tierces à fournir un accès sortant au navigateur. Les URL incluent des ressources provenant d' IBM Cloud et d'autres domaines. IBM watsonx requiert l'accès à ces domaines pour le trafic de navigateur sortant via le pare-feu.
Cette liste fournit un accès uniquement aux fonctions IBM watsonx de base. Des services spécifiques peuvent nécessiter des URL supplémentaires. La liste ne couvre pas les URL requises par la console IBM Cloud et ses demandes sortantes.
| Domaine | Descriptif |
|---|---|
| *.bluemix.net | Domaine IBM Legacy Cloud-toujours utilisé dans certains flux |
| *.appdomain.cloud | Domaine d'application IBM Cloud |
| cloud.ibm.com | Domaine global IBM Cloud |
| *.cloud.ibm.com | Divers sous-domaines IBM Cloud |
| dataplatform.cloud.ibm.com | Région IBM watsonx Dallas |
| *.dataplatform.cloud.ibm.com | Sous-domaines watsonx d'IBM |
| eum.instana.io | Instrumentation côté client Instana |
| eum-orange-saas.instana.io | Instrumentation côté client Instana |
| cdnjs.cloudflare.com | CDN Cloudflare pour certaines ressources statiques |
| nebula-cdn.kampyle.com | NPS Medallia |
| resources.digital-cloud-ibm.medallia.eu | NPS Medallia |
| udc-neb.kampyle.com | NPS Medallia |
| ubt.digital-cloud-ibm.medallia.eu | NPS Medallia |
| cdn.segment.com | Segment JS |
| api.segment.io | API de segment |
| cdn.walkme.com | Ressources statiques WalkMe |
| papi.walkme.com | API WalkMe |
| ec.walkme.com | API WalkMe |
| playerserver.walkme.com | Serveur de lecteur WalkMe |
| s3.walkmeusercontent.com | Ressources statiques WalkMe |
La multilocation
IBM watsonx est hébergé en tant que solution à service partagé sécurisée et conforme sur IBM Cloud. Voir Multi-Tenant
Rubrique parent: Sécurité