IBM watsonx 는 잠재적인 위협 및 무단 액세스로부터 인프라, 데이터 및 애플리케이션을 보호하기 위한 네트워크 보안 메커니즘을 제공합니다. 네트워크 보안 메커니즘은 데이터 소스에 대한 보안 연결을 제공하고 공용 인터넷 및 내부 네트워크 모두에서 트래픽을 제어합니다.
| 메커니즘 | 용도 | 책임 | 다음에서 구성됨 |
|---|---|---|---|
| 사설 네트워크 서비스 엔드포인트 | 보안 사설 네트워크 엔드포인트를 통해 서비스 액세스 | 고객 | IBM Cloud |
| 개인용 데이터 소스에 대한 액세스 | 방화벽으로 보호되는 데이터 소스에 연결 | 고객 | IBM watsonx |
| 통합 | 방화벽을 통해 타사 클라우드에 대한 보안 연결 | 고객 및 타사 클라우드 | IBM watsonx |
| 연결 | 데이터 소스에 대한 연결 | 고객 | IBM watsonx |
| 방화벽 뒤의 데이터에 대한 연결 | Satellite 커넥터 및 Satellite 위치는 하이브리드 환경에서 데이터 소스에 대한 보안 연결을 제공합니다. | 고객 | IBM Cloud 및 IBM watsonx |
| VPN | 공용 네트워크에서 안전하게 데이터 공유 | 고객 | IBM Cloud |
| 특정 IP 주소 허용 | 알 수 없는 IP 주소에 의한 액세스로부터 보호 | 고객 | IBM Cloud |
| 써드파티 URL 허용 | 내부 네트워크에서 써드파티 URL 허용 | 고객 | 고객 방화벽 |
| 멀티테넌시 | SaaS 환경에서 격리 제공 | IBM 및 타사 클라우드 | IBM Cloud, 클라우드 제공자 |
사설 네트워크 서비스 엔드포인트
공용 네트워크에서 자원에 연결하는 대신, 사설 네트워크 서비스 엔드포인트를 사용하여 IBM 사설 클라우드에서 엔드포인트에 안전하게 연결합니다. 사설 네트워크 서비스 엔드포인트를 사용하면 인터넷으로 연결 가능한 IP 주소에서 더 이상 서비스가 지원되지 않으므로 보다 안전합니다. 서비스 엔드포인트에서는 계정에서 가상 라우팅 및 포워딩(VRF)을 사용해야 합니다. VRF는 가상 사설 클라우드(VPC)에서 자동으로 사용됩니다.
서비스 엔드포인트에 대한 자세한 정보는 다음을 참조하십시오.
개인용 데이터 소스에 대한 액세스
개인용 데이터 소스는 방화벽으로 보호되는 온프레미스 데이터 소스입니다. IBM watsonx 는 데이터 소스에 도달하기 위해 방화벽을 통한 액세스가 필요합니다. 보안 액세스를 제공하기 위해 IBM watsonx의 IP 주소 범위에 대한 액세스를 허용하는 인바운드 방화벽 규칙을 작성합니다. 인바운드 규칙은 방화벽의 구성 도구에서 작성됩니다.
방화벽 액세스 구성 을 참조하십시오.
통합
IBM watsonx 사용자가 해당 클라우드에서 호스팅되는 데이터 소스에 액세스할 수 있도록 써드파티 클라우드 플랫폼과의 통합을 구성할 수 있습니다. 다음 보안 메커니즘은 써드파티 클라우드와의 통합에 적용됩니다.
- 타사 클라우드에서 권한 부여된 계정으로, 계정 인증 정보를 볼 적절한 권한이 있음
- 특정 IP 범위에 대해 클라우드 제공자의 방화벽을 통해 보안 연결을 허용하는 권한
예를 들어, 노트북을 실행하는 AWS에 데이터 소스가 있습니다. 이 경우 AWS와 통합하고 데이터베이스에 대한 연결을 생성해야 합니다. 통합 및 연결은 보안됩니다. 방화벽 액세스를 구성한 후 사용자에게 적절한 권한을 부여하고 데이터에 액세스하는 데 필요한 인증 정보를 제공할 수 있습니다.
연결
연결에는 데이터에 액세스하기 위한 유효한 인증 정보가 필요합니다. 계정 소유자 또는 관리자는 공유 또는 개인과 같이 계정 수준에서 필요한 인증 정보 유형을 구성합니다. 공유 인증 정보를 사용하면 프로젝트의 모든 협업자가 데이터 소스 및 해당 인증 정보에 액세스할 수 있습니다. 개인 인증 정보를 사용하려면 각 협업자가 데이터 소스를 사용하기 위해 자체 인증 정보를 제공해야 합니다.
연결에는 데이터에 액세스하기 위한 유효한 인증 정보가 필요합니다. 계정 소유자 또는 관리자는 계정 레벨에서 필요한 신임 정보의 유형을 구성합니다. 연결 작성자가 올바른 신임 정보를 입력합니다. 옵션은 다음과 같습니다.
- 공유 또는 개인 을 사용하면 단일 선택 단추를 선택하고 올바른 신임 정보를 입력하여 새 연결을 작성할 때 사용자가 개인 또는 공유 신임 정보를 지정할 수 있습니다.
- 개인 신임 정보를 사용하려면 각 협업자가 데이터 소스를 사용하기 위한 자체 신임 정보를 제공해야 합니다.
- 공유 신임 정보를 사용하면 프로젝트의 모든 협업자가 데이터 소스 및 해당 신임 정보에 액세스할 수 있습니다. 사용자는 연결 작성자가 작성한 공통 신임 정보를 입력합니다.
연결에 대한 자세한 정보는 다음을 참조하십시오.
방화벽 뒤에 있는 데이터에 대한 연결
보안 연결은 하이브리드 클라우드 배치의 자원 간에 보안 통신을 제공하며, 이 중 일부는 방화벽 뒤에 있을 수 있습니다. 사용자 환경과 클라우드 간의 보안 연결에 대해 다음과 같은 옵션이 있습니다.
Satellite 커넥터
Satellite 커넥터는 온프레미스, 클라우드 또는 에지 환경에서 다시 IBM Cloud로 안전하고 감사 가능한 통신을 작성하는 경량 Docker기반 통신을 사용합니다. 인프라에는 Docker와 같은 컨테이너 호스트만 필요합니다. 자세한 내용은 Satellite Connector 개요를 참조하세요.
Satellite 커넥터 구성에 대한 지시사항은 방화벽 뒤의 데이터에 연결 을 참조하십시오.
Satellite 커넥터는 더 이상 사용되지 않는 Secure Gateway를 대체합니다. Secure Gateway 사용 중단 발표에 대해서는 IBM Cloud 문서: Secure Gateway 사용 중단 개요를 참조하세요.
Satellite 위치
Satellite 위치는 Satellite 커넥터와 동일한 보안 통신을 IBM Cloud 에 제공하지만 기본적으로 고가용성 액세스 및 IBM Cloud 에서 온프레미스 위치로 통신하는 기능을 추가합니다. Satellite 위치에는 HA 제어 플레인에 대한 인프라에서 세 개 이상의 x86 호스트가 필요합니다. Satellite 위치는 Satellite 커넥터 기능의 수퍼세트입니다. 클라이언트 데이터 통신만 필요한 경우 Satellite 커넥터를 설정하십시오.
Satellite 위치 구성에 대한 지시사항은 방화벽 뒤의 데이터에 연결 을 참조하십시오.
VPN
VPN (Virtual Private Network) 은 터널링 프로토콜, 암호화 및 전용 연결을 사용하여 가상 지점간 연결을 작성합니다. 이들은 공용 네트워크에서 데이터 공유를 위한 보안 방법을 제공합니다.
다음은 IBM Cloud의 VPN 기술입니다.
IPSec VPN: VPN은 사용자의 보안 네트워크에서 IBM IaaS 플랫폼의 사설 네트워크로의 연결성을 활용합니다. 계정의 모든 사용자에게 VPN 액세스 권한을 제공할 수 있습니다.
VPC를 위한 VPN: 가상 사설 클라우드(VPC)를 사용하면 네트워크 성능이 뛰어난 VPC를 위해 2세대 가상 서버 인스턴스를 프로비저닝할 수 있습니다.
Secure Gateway 더 이상 사용되지 않음 공지사항은 VPN을 대안으로 사용하기 위한 정보 및 시나리오를 제공합니다. IBM Cloud 문서: 마이그레이션 옵션을 참조하세요.
특정 IP 주소 허용
IBM 클라우드 콘솔 및 IBM watsonx에 대한 액세스를 제어하려면 이 메커니즘을 사용하십시오. 액세스는 지정된 IP 주소에서만 허용됩니다. 다른 모든 IP 주소의 액세스는 거부됩니다. 계정 또는 개별 사용자에 대해 허용되는 IP 주소를 지정할 수 있습니다.
watsonx.ai Studio에 특정 IP 주소를 허용하는 경우, 각 지역의 watsonx.ai Studio 노드에 대한 CIDR 범위(허용되는 개별 클라이언트 시스템 IP)를 포함해야 합니다. 다음 단계를 수행하여 IBM watsonx 에 CIDR 범위를 포함할 수 있습니다.
- 기본 메뉴에서 관리 > 클라우드 통합을 선택하십시오.
- 현재 지역의 IP 주소를 표시하려면 방화벽 구성을 클릭하십시오. CIDR 표기법을 사용하십시오.
- 각 CIDR 범위를 사용자 또는 계정에 대한 IP 주소 제한으로 복사하십시오. 허용되는 개별 클라이언트 IP 주소도 입력해야 합니다. IP 주소를 쉼표로 구분된 목록으로 입력하십시오. 그런 다음 적용을 클릭하십시오.
- 각 지역에 대해 반복하여 watsonx.ai Studio에 대한 액세스를 허용합니다.
사용자 및 계정 제한사항 모두에 대한 단계별 지침은 IBM Cloud 문서: 특정 IP 주소 허용을 참조하십시오.
내부 네트워크에서 써드파티 URL 허용
방화벽 뒤에서 IBM watsonx 를 실행 중인 경우, 아웃바운드 브라우저 액세스를 제공하기 위해 써드파티 URL을 허용 목록에 추가해야 합니다. URL에는 IBM Cloud 및 기타 도메인의 자원이 포함됩니다. IBM watsonx 는 방화벽을 통한 아웃바운드 브라우저 트래픽을 위해 이러한 도메인에 대한 액세스가 필요합니다.
이 목록은 코어 IBM watsonx 함수에 대해서만 액세스를 제공합니다. 특정 서비스에 추가 URL이 필요할 수 있습니다. 이 목록은 IBM Cloud 콘솔 및 해당 아웃바운드 요청에 필요한 URL을 포함하지 않습니다.
| 도메인 | 설명 |
|---|---|
| *.bluemix.net | IBM 레거시 클라우드 도메인-일부 플로우에서 계속 사용됨 |
| *.appdomain.cloud | IBM Cloud 앱 도메인 |
| cloud.ibm.com | IBM Cloud 글로벌 도메인 |
| *.cloud.ibm.com | 다양한 IBM Cloud 서브도메인 |
| dataplatform.cloud.ibm.com | IBM watsonx 댈러스 지역 |
| *.dataplatform.cloud.ibm.com | CIBM watsonx 서브도메인 |
| eum.instana.io | Instana 클라이언트 측 인스트루먼테이션 |
| eum-orange-saas.instana.io | Instana 클라이언트 측 인스트루먼테이션 |
| cdnjs.cloudflare.com | 일부 정적 자원에 대한 Cloudflare CDN |
| nebula-cdn.kampyle.com | 멜달리아 NPS |
| resources.digital-cloud-ibm.medallia.eu | 멜달리아 NPS |
| udc-neb.kampyle.com | 멜달리아 NPS |
| ubt.digital-cloud-ibm.medallia.eu | 멜달리아 NPS |
| cdn.segment.com | 세그먼트 JS |
| api.segment.io | 세그먼트 API |
| cdn.walkme.com | WalkMe 정적 자원 |
| papi.walkme.com | WalkMe API |
| ec.walkme.com | WalkMe API |
| playerserver.walkme.com | WalkMe 플레이어 서버 |
| s3.walkmeusercontent.com | WalkMe 정적 자원 |
멀티 테넌시
IBM watsonx 는 IBM Cloud에서 안전하고 준수하는 멀티 테넌트 솔루션으로 호스팅됩니다. 다중 테넌트를 참조하십시오.
상위 주제: 보안