IBM watsonx は、潜在的な脅威や無許可アクセスからインフラストラクチャー、データ、およびアプリケーションを保護するためのネットワーク・セキュリティー・メカニズムを提供します。 ネットワーク・セキュリティー・メカニズムは、データ・ソースへのセキュア接続を提供し、パブリック・インターネットと内部ネットワークの両方でトラフィックを制御します。
| メカニズム | 目的 | 責任 | 構成日 |
|---|---|---|---|
| プライベート・ネットワーク・サービス・エンドポイント | セキュアなプライベート・ネットワーク・エンドポイントを介したサービスへアクセスする | カスタマー | IBM Cloud |
| プライベート・データ・ソースへのアクセス | ファイアウォールによって保護されているデータ・ソースへの接続 | カスタマー | IBM watsonx |
| 統合 | ファイアウォールを介したサード・パーティー・クラウドへ接続を保護する | お客様とサード・パーティーのクラウド | IBM watsonx |
| 接続 | データ・ソースへのセキュア接続 | カスタマー | IBM watsonx |
| ファイアウォールの内側にあるデータへの接続 | Satellite コネクターおよび Satellite ロケーションは、ハイブリッド環境内のデータ・ソースへのセキュア接続を提供します。 | カスタマー | IBM Cloud および IBM watsonx |
| VPN | パブリック・ネットワーク間で安全にデータを共有する | カスタマー | IBM Cloud |
| 特定の IP アドレスを許可する | 不明な IP アドレスによるアクセスからの保護 | カスタマー | IBM Cloud |
| サード・パーティー URL を許可 | 内部ネットワーク上のサード・パーティー URL を許可 | カスタマー | カスタマー・ファイアウォール |
| マルチテナンシー | SaaS 環境での分離を提供する | IBM およびサード・パーティー・クラウド | IBM Cloud、クラウド・プロバイダー |
プライベート・ネットワーク・サービス・エンドポイント
パブリック・ネットワークを介してリソースに接続するのではなく、 IBM プライベート・クラウドを介してエンドポイントに安全に接続するには、プライベート・ネットワーク・サービス・エンドポイントを使用します。 プライベート・ネットワーク・サービス・エンドポイントを使用すると、サービスはインターネット・ルーティング可能な IP アドレスで提供されなくなるため、よりセキュアになります。 サービス・エンドポイントでは、アカウントで Virtual Routing and Forwarding (VRF) を有効にする必要があります。 VRF は、仮想プライベート・クラウド (VPC) に対して自動的に有効になります。
サービス・エンドポイントについて詳しくは、以下を参照してください:
プライベート・データ・ソースへのアクセス
プライベート・データ・ソースは、ファイアウォールによって保護されているオンプレミス・データ・ソースです。 IBM watsonx は、データ・ソースに到達するためにファイアウォールを介してアクセスする必要があります。 セキュア・アクセスを提供するには、 IBM watsonxの IP アドレス範囲へのアクセスを許可するインバウンド・ファイアウォール・ルールを作成します。 インバウンド・ルールは、ファイアウォールの構成ツールで作成されます。
ファイアウォール・アクセスの構成 を参照してください。
統合
サード・パーティー・クラウド・プラットフォームとの統合を構成して、 IBM watsonx ユーザーがそれらのクラウドでホストされているデータ・ソースにアクセスできるようにすることができます。 サード・パーティー・クラウドとの統合には、以下のセキュリティー・メカニズムが適用されます。
- アカウント資格情報を表示するための適切な権限を持つ、サード・パーティー・クラウド上の許可アカウントです
- クラウド・プロバイダーのファイアウォールを介したセキュア接続を許可する許可です (特定の IP 範囲の場合)
例えば、ノートブックを実行している AWS 上にデータ・ソースを持っています。 AWS と統合してから、データベースへの接続を生成する必要があります。 統合と接続はセキュアです。 ファイアウォール・アクセスを構成した後、ユーザーに適切な権限を付与し、データにアクセスするための資格情報をそれらのユーザーに提供できます。
他のクラウド・プラットフォームとの統合 を参照してください
接続
接続には、データにアクセスするための有効な資格情報が必要です。 アカウント所有者または管理者は、必要な資格情報のタイプ (共有または個人) をアカウント・レベルで構成します。 共有資格情報により、プロジェクト内のすべてのコラボレーターがデータ・ソースとその資格情報にアクセスできるようになります。 個人の資格情報では、各コラボレーターがデータ・ソースを使用するために独自の資格情報を提供する必要があります。
接続には、データにアクセスするための有効な資格情報が必要です。 アカウント所有者または管理者は、アカウント・レベルで必要な資格情報のタイプを構成します。 接続作成者が有効な資格情報を入力します。 オプション:
- 「共有または個人」 を選択すると、ラジオ・ボタンを選択して正しい資格情報を入力することにより、ユーザーは新規接続の作成時に個人資格情報または共有資格情報を指定できます。
- 個人用 資格情報では、各コラボレーターがデータ・ソースを使用するために独自の資格情報を提供する必要があります。
- 共有 資格情報により、プロジェクト内のすべてのコラボレーターがデータ・ソースとその資格情報にアクセスできるようになります。 ユーザーは、接続の作成者によって作成された共通の資格情報を入力します。
接続について詳しくは、以下を参照してください:
ファイアウォールの背後にあるデータへの接続
セキュア接続は、ハイブリッド・クラウド・デプロイメント内のリソース間のセキュア通信を提供します。これらのリソースの一部はファイアウォールの背後に存在する可能性があります。 環境とクラウドの間のセキュア接続には、以下のオプションがあります:
Satellite コネクター
Satellite コネクターは、オンプレミス環境、クラウド環境、またはエッジ環境から IBM Cloudへのセキュアで監査可能な通信を作成する、軽量の Dockerベースの通信を使用します。 インフラストラクチャーに必要なのは、 Dockerなどのコンテナー・ホストのみです。 詳細については、 Satellite Connector の概要」を参照してください。
Satellite コネクターの構成手順については、 ファイアウォールの内側のデータへの接続 を参照してください。
Satellite コネクターは、非推奨の Secure Gatewayに代わるものです。 Secure Gatewayの廃止のお知らせについては、 IBM Cloudドキュメントをご覧ください: Secure Gatewayの廃止の概要
Satellite ロケーション
Satellite ロケーションは、 Satellite コネクターと同じセキュア通信を IBM Cloud に提供しますが、デフォルトで高可用性アクセスと、 IBM Cloud からオンプレミス・ロケーションへの通信機能を追加します。 Satellite ロケーションには、HA コントロール・プレーン用のインフラストラクチャー内に少なくとも 3 つの x86 ホストが必要です。 Satellite ・ロケーションは、 Satellite ・コネクターの機能のスーパーセットです。 クライアント・データ通信のみが必要な場合は、 Satellite コネクターをセットアップします。
Satellite ロケーションの構成手順については、 ファイアウォールの内側のデータへの接続 を参照してください。
VPN
仮想プライベート・ネットワーク (VPN) は、トンネリング・プロトコル、暗号化、および専用接続を使用して、仮想 Point-to-Point 接続を作成します。 これらは、パブリック・ネットワーク間でデータを共有するためのセキュアな方法を提供します。
IBM Cloud上の VPN テクノロジーは以下のとおりです。
IPSec VPN: VPN により、セキュア・ネットワークから IBM IaaS プラットフォームのプライベート・ネットワークへの接続が容易になります。 アカウントのすべてのユーザーに VPN アクセス権限を付与できます。
VPN for VPC: 仮想プライベート・クラウド (VPC) を使用すると、ネットワーク・パフォーマンスが高い VPC の第 2 世代仮想サーバー・インスタンスをプロビジョンできます。
Secure Gateway の非推奨に関する発表では、VPN を代替として使用するための情報とシナリオが提供されています。 IBM Cloudドキュメントの「移行オプション」を参照してください。
特定の IP アドレスを許可する
このメカニズムを使用して、 IBM クラウド・コンソールおよび IBM watsonxへのアクセスを制御します。 指定された IP アドレスからのアクセスのみが許可されます。他のすべての IP アドレスからのアクセスは拒否されます。 許可される IP アドレスは、個々のユーザーまたはアカウントに対して指定できます。
watsonx.aiStudio に特定の IP アドレスを許可する場合は、各地域のwatsonx.aiStudio ノードの CIDR 範囲を含める必要があります(許可される個々のクライアントシステム IP も同様)。 以下の手順に従って、 IBM watsonx に CIDR 範囲を含めることができます。
- メイン・メニューから、 「管理」>「クラウド統合」を選択してください。
- ファイアウォール構成 をクリックして、現在のリージョンの IP アドレスを表示します。 CIDR 表記を使用してください。
- 各 CIDR 範囲を、ユーザーまたはアカウントのいずれかの IP アドレスの制限 にコピーします。 許可された個々のクライアント IP アドレスも必ず入力してください。 IP アドレスをコンマ区切りリストとして入力します。 次に、 「適用」をクリックします。
- watsonx.aiStudio へのアクセスを許可するには、各地域でこれを繰り返します。
ユーザーとアカウントの制限に関する詳細な手順については、 IBM Cloudドキュメント「特定の IP アドレスの許可」を参照してください。
内部ネットワーク上のサード・パーティー URL を許可
ファイアウォールの内側で IBM watsonx を実行している場合は、アウトバウンド・ブラウザー・アクセスを提供するためにサード・パーティー URL を許可リストに登録する必要があります。 URL には、 IBM Cloud およびその他のドメインからのリソースが含まれます。 IBM watsonx は、ファイアウォール経由のアウトバウンド・ブラウザー・トラフィックのためにこれらのドメインへのアクセスを必要とします。
このリストでは、コア IBM watsonx 関数のみにアクセスできます。 特定のサービスには、追加の URL が必要な場合があります。 このリストには、 IBM Cloud コンソールとそのアウトバウンド要求に必要な URL は含まれていません。
| ドメイン | 説明 |
|---|---|
| *.bluemix.net | IBM レガシー・クラウド・ドメイン-一部のフローで引き続き使用されます |
| *.appdomain.cloud | IBM Cloud アプリ・ドメイン |
| cloud.ibm.com | IBM Cloud グローバル・ドメイン |
| *.cloud.ibm.com | さまざまな IBM Cloud サブドメイン |
| dataplatform.cloud.ibm.com | IBM watsonx ダラス・リージョン |
| *.dataplatform.cloud.ibm.com | CIBM watsonx サブドメイン |
| eum.instana.io | Instana クライアント・サイド・インスツルメンテーション |
| eum-orange-saas.instana.io | Instana クライアント・サイド・インスツルメンテーション |
| cdnjs.cloudflare.com | 一部の静的リソースの Cloudflare CDN |
| nebula-cdn.kampyle.com | メダーリア NPS |
| resources.digital-cloud-ibm.medallia.eu | メダーリア NPS |
| udc-neb.kampyle.com | メダーリア NPS |
| ubt.digital-cloud-ibm.medallia.eu | メダーリア NPS |
| cdn.segment.com | セグメント JS |
| api.segment.io | セグメント API |
| cdn.walkme.com | WalkMe 静的リソース |
| papi.walkme.com | WalkMe API |
| ec.walkme.com | WalkMe API |
| playerserver.walkme.com | WalkMe プレイヤー・サーバー |
| s3.walkmeusercontent.com | WalkMe 静的リソース |
マルチテナンシー
IBM watsonx は、 IBM Cloud上でセキュアかつ準拠したマルチテナント・ソリューションとしてホストされます。 マルチテナント (Multi-Tenant) を参照してください。
親トピック: セキュリティー