Zabezpečení dat v produktu Watson OpenScale | IBM Cloud Pak for Data as a Service

Translation not up to date

The translation of this page does not represent the latest version. For the latest updates, see the English version of the documentation.

Go back to the English version of the documentation

Zabezpečení dat v produktu Watson OpenScale

Last updated: 28. 4. 2023

Zabezpečení dat v produktu Watson OpenScale

Chcete-li bezpečně spravovat data při použití produktu Watson OpenScale, přesně víte, jaká data jsou uložena a šifrována. Kromě toho víme, jak odstranit veškerá uložená osobní data. Šifrování dat pomocí klíčů spravovaných zákazníkem je podporováno pomocí volby Key Protect s produktem Watson OpenScale.

Co přinese váš vlastní klíč (BYOK)?

Uveďte svůj vlastní klíč (BYOK) nebo svolejte vlastní šifrování (BYE) odkazuje na infrastrukturu a metodu, pomocí které mohou klienti cloudové služby spravovat svůj vlastní šifrovací software a klíče. Tato infrastruktura přidává vrstvu zabezpečení, která chrání jak data v klidu, tak i data v pohybu.

Jak jsou data ukládána a šifrována

Produkt IBM Key Protect for IBM Cloud pomáhá zabezpečit citlivá data před neoprávněným přístupem nebo nechtěně uvolnit zaměstnance, dodržovat standardy pro audit dodržování předpisů. Poskytuje povinnou kontrolu žádostí o přístup uživatelů k šifrovacím klíčům a spravuje celý životní cyklus klíčů od vytvoření prostřednictvím použití aplikace, archivace klíčů a zničení klíče. Nabízená jako služba na platformě IBM Cloud™, Key Protect a ukládá šifrovací klíče, které používají certifikovaná zařízení (Federal Information Processing Standard) standardu FIPS 140-2 (Federal Information Processing Standard), která se nacházejí v zabezpečených datových centrech IBM .

Ochrana citlivých dat

Můžete přidat vyšší úroveň ochrany šifrování a řízení do vašich dat v klidu (je-li uložen) a data v pohybu (při jejich přenosu). Povolte vysokou ochranu šifrování pomocí integrace s produktem IBM® Key Protect for IBM Cloud™.

Data, která uložíte v produktu IBM Cloud , jsou šifrována v ostatních částech pomocí náhodně generovaného klíče. Potřebujete-li řídit šifrovací klíče, můžete integrovat Key Protect. Tento proces je obvykle označován jako Přivést vlastní klávesy (BYOK). S volbou Key Protect můžete vytvářet, importovat a spravovat šifrovací klíče. Můžete přiřadit přístupové zásady ke klíčům, přiřazovat uživatelům nebo ID služeb ke klíčům, nebo poskytnout přístup ke klíči pouze ke specifické službě. Prvních 20 klíčů se nabízí za cenu bez nákladů.

O klíčích spravovaných zákazníkem

Produkt Watson OpenScale používá šifrování obálky k implementaci klíčů spravovaných zákazníkem. Šifrování obálky popisuje šifrování jednoho šifrovacího klíče s jiným šifrovacím klíčem. Klíč použitý k zašifrování skutečných dat je znám jako šifrovací klíč dat (DEK). Samotný DEK není nikdy uložen, ale je zabalen druhým klíčem, který je znám jako klíčový šifrovací klíč (KEK) pro vytvoření zabalené DEK. Chcete-li dešifrovat data, zabalená DEK je unwrapped, aby se dostala DEK. Tento proces je možný pouze přístupem k KEK, který je v tomto případě vaším kořenovým klíčem, který je uložen v poli Key Protect.

Klíče Key Protect jsou zabezpečeny FIPS 140-2 Level 3 certified cloud-based hardware security modules (HSMs).

Povolení klíčů spravovaných zákazníkem

Integrace produktu Key Protect s produktem Watson Premium zahrnuje následující kroky v konzole IBM Cloud .

Vytvořte instanci Key Protect.
Přidejte kořenový klíč do instance Key Protect .
Udělte přístup Key Protect ke všem instancím služby Watson .
Šifrování dat služby Watson .

Práce s klíči spravovanými zákazníky

Produkt Watson OpenScale můžete integrovat s produktem IBM Key Protect for IBM Cloud pomocí rozhraní API tak, že provedete volání produktu user_preferences . Platí následující parametry:

Metoda HTTP: PUT
Adresa URL: https://aiopenscale.cloud.ibm.com/openscale/{service-instance-id}/v2/user_preferences/user_root_key_crn
Informační obsah: {"user_root_key_crn": crn_from_step_1}

Případ 1: Key Protect během počátečního nastavení

Zajistěte instanci Watson OpenScale .
Po zajištění instance, ale předtím, než provedete jakoukoliv jinou konfiguraci, musíte provést následující kroky:
1. Zajištění instance produktu IBM Key Protect for IBM Cloud a získání hodnoty instance CRN .
2. Učinit volání rozhraní API na Watson OpenScale /v2/user_preferencesa zadat proměnnou {"user_root_key_crn": crn_from_step_1} .
Vytvořte objekt DataMart, pro který je vytvořena konfigurace databáze.
Konfigurační služba provede volání rozhraní API pro produkt IBM Key Protect for IBM Cloud zadané vlastností produktu user_root_key_crn . Služba vrací nový šifrovací klíč ve formě zalomeného i nezabaleného formuláře. Použijte formát nezabaleného klíče k zašifrování hesla databáze. Formát zabaleného klíče je trvale uložen ve vlastnostech instance. Chcete-li dešifrovat heslo databáze, použijte zabalený formulář klíče pro získání nezabaleného klíče buď z mezipaměti, nebo prostřednictvím volání API do produktu IBM Key Protect for IBM Cloud. Pak se dešifrování provádí pomocí nezabaleného klíče.

Case 2: Key Protect po nastavení

Zajistěte instanci Watson OpenScale .
Po zajištění instance se systém inicializuje buď spuštěním automatického nastavení, nebo provedením ruční konfigurace. V tomto scénáři je vytvořena konfigurace databáze s heslem, které není zašifrováno klíčem uživatele pro ochranu klíčů uživatele root.
After configuration, you must provision an instance of IBM Key Protect for IBM Cloud and get the instance Cloud Reseource Name CRN value used as a unique ID for the resource.
Učinit volání rozhraní API na Watson OpenScale /v2/user_preferencesa zadat proměnnou {"user_root_key_crn": crn_from_step_1} . Pokud zadáte proměnnou user_root_key_crn , všechna utajovaná data instance jsou automaticky znovu zašifrována pomocí produktu IBM Key Protect for IBM Cloud. Pokud odstraníte proměnnou user_root_key_crn , všechna utajovaná data instance jsou automaticky znovu zašifrována pomocí globálního klíče. Skutečné opětovné šifrování je stejné jako v předchozím případě, Případ 1.

Odstranění instancí Watson OpenScale

Zásada uchování dat Watson OpenScale popisuje, jak dlouho jsou vaše data uložena po odstranění služby. Zásada uchovávání dat je zahrnuta v popisu služby Watson OpenScale , který naleznete v IBM Cloud Terms and Notices.

Další informace najdete v následujících tématech:

Začínáme s výukovým programem.

Produkt IBM Key Protect for IBM Cloud pomáhá zajistit zašifrované klíče pro aplikace napříč službami IBM Cloud . Tento výukový program vám ukáže, jak vytvořit a přidat existující šifrovací klíče pomocí řídicího panelu Key Protect , takže můžete spravovat šifrování dat z jednoho centrálního umístění.
Integrace služeb.

Produkt IBM Key Protect for IBM Cloud integruje s řadou služeb IBM Cloud , které umožňují šifrování se zákazníky spravovanými klíči pro tyto služby. Šifrování s šifrovacími klíči spravovanými zákazníky se někdy nazývá Převede svůj vlastní klíč (BYOK).
Integrace s produktem IBM Cloud Object Storage.

Produkt IBM Key Protect for IBM Cloud a IBM® Cloud Object Storage vám pomůže vlastnit zabezpečení vašich dat při odpočinku. Naučte se, jak přidat rozšířené šifrování k prostředkům produktu IBM® Cloud Object Storage pomocí služby IBM Key Protect .
Zajišťování služby.

Můžete vytvořit instanci produktu IBM Key Protect for IBM Cloud pomocí konzoly IBM Cloud nebo rozhraní CLI IBM Cloud .

Nadřízené téma: Zabezpečení informací