Daten in Watson OpenScale schützen
Für eine sichere Verwaltung Ihrer Daten bei der Verwendung von Watson OpenScalemüssen Sie genau wissen, welche Daten gespeichert und verschlüsselt werden. Darüber hinaus wissen Sie, wie gespeicherte personenbezogene Daten gelöscht werden. Die Datenverschlüsselung mithilfe von Schlüsseln, die vom Kunden verwaltet werden, wird durch Verwendung von Key Protect mit Watson OpenScale unterstützt.
Was ist Bring Your Own Key (BYOK)?
Bring Your Own Key (BYOK) oder Bring Your Own Encryption (BYOE) bezeichnet die Infrastruktur und Methode, mit der Cloud-Service-Kunden eigene Verschlüsselungssoftware und -schlüssel verwalten können. Diese Infrastruktur fügt eine Sicherheitsebene hinzu, die sowohl ruhende als auch bewegte Daten schützt.
Wie Ihre Daten in gespeichert und verschlüsselt werden
IBM Key Protect for IBM Cloud hilft Ihnen, Ihre sensiblen Daten vor unbefugtem Zugriff oder unbeabsichtigtem Mitarbeiterrelease zu schützen und die Compliance-Prüfstandards zu erfüllen. Obligatorische Steuerung von Benutzerzugriffsanforderungen für Verschlüsselungsschlüssel wird bereitgestellt und der gesamte Lebenszyklus von Schlüsseln von der Erstellung über die Anwendungsnutzung, die Schlüsselarchivierung und die Schlüsselvernichtung wird verwaltet. Als Platform as a Service in der IBM Cloud™angeboten, stellt Key Protect Verschlüsselungsschlüssel bereit und speichert sie, die von FIPS 140-2 Level 3 zertifizierte (Federal Information Processing Standard) HSM-Einheiten (HSM-Hardwaresicherheitsmodul) verwenden, die sich in sicheren IBM Rechenzentren befinden.
Sensible Daten schützen
Sie können Ihren ruhenden Daten (wenn sie gespeichert werden) und den bewegten Daten (wenn sie transportiert werden) einen höheren Grad an Verschlüsselungsschutz und -steuerung hinzufügen. Aktivieren Sie hohen Verschlüsselungsschutz durch die Integration mit IBM® Key Protect for IBM Cloud™.
Die Daten, die Sie in IBM Cloud speichern, werden im ruhenden Zustand mithilfe eines zufällig generierten Schlüssels verschlüsselt. Wenn Sie die Verschlüsselungsschlüssel steuern müssen, können Sie Key Protect integrieren. Dieser Prozess wird normalerweise als "Bring Your Own Keys" (BYOK) bezeichnet. Mit Key Protect können Sie Verschlüsselungsschlüssel erstellen, importieren und verwalten. Sie können den Schlüsseln Zugriffsrichtlinien zuordnen, den Schlüsseln Benutzer oder Service-IDs zuordnen oder den Schlüsselzugriff nur einem bestimmten Service erteilen. Die ersten 20 Schlüssel werden kostenlos angeboten.
Informationen zu den vom Kunden verwalteten Schlüsseln
Watson OpenScale verwendet die Umschlagverschlüsselung, um vom Kunden verwaltete Schlüssel zu implementieren. Umschlagverschlüsselung bedeutet, dass Verschlüsselungsschlüssel mit einem anderen Verschlüsselungsschlüssel verschlüsselt wird. Der Schlüssel, der zur Verschlüsselung der tatsächlichen Daten verwendet wird, wird als "Datenverschlüsselungsschlüssel" (Data Encryption Key, DEK) bezeichnet. Der Schlüssel zur Datenverschlüsselung (DEK) selbst wird nie gespeichert, sondern er wird von einem zweiten Schlüssel, der als Schlüssel zur Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) bezeichnet wird, eingeschlossen, um so einen eingeschlossenen DEK zu erzeugen. Um Daten zu entschlüsseln, wird der Umschlag des eingeschlossene DEK entfernt. Dieser Prozess ist nur durch Zugriff auf den KEK möglich, der in diesem Fall Ihr in Key Protect gespeicherter Rootschlüssel ist.
Key Protect-Schlüssel werden durch nach FIPS 140-2 Level 3 zertifizierte cloudbasierte Hardwaresicherheitsmodule (HSMs) geschützt.
Vom Kunden verwaltete Schlüssel aktivieren
Für eine Integration von Key Protect in Watson-Premiumservices sind die folgenden Schritte in der IBM Cloud-Konsole auszuführen.
- Erstellen Sie eine Instanz von Key Protect.
- Fügen Sie der Key Protect-Instanz einen Rootschlüssel hinzu.
- Gewähren Sie Key Protect Zugriff auf alle Instanzen Ihres Watson-Service.
- Verschlüsseln Sie die Watson-Servicedaten.
Arbeit mit von Kunden verwalteten Schlüsseln
Sie können Watson OpenScale mit IBM Key Protect for IBM Cloud integrieren, indem Sie die API verwenden, indem Sie user_preferences
-Aufrufe absetzen. Die folgenden Parameter kommen zur Anwendung:
- HTTP-Methode: PUT
- URL: https://aiopenscale.cloud.ibm.com/openscale/{service-instance-id}/v2/user_preferences/user_root_key_crn
- Nutzdaten: {"CRN-Benutzerrootschlüssel": CRN_aus_Schritt_1}
Fall 1: Key Protect während der Erstkonfiguration
Stellen Sie eine Watson OpenScale-Instanz bereit.
Nach der Bereitstellung einer Instanz müssen Sie die folgenden Schritte ausführen, bevor Sie andere Konfigurationsaufgaben ausführen:
- Stellen Sie eine Instanz von IBM Key Protect for IBM Cloud bereit und rufen Sie den Instanzwert
CRN
ab. - Führen Sie einen API-Aufruf an Watson OpenScale /v2/user_preferences aus und geben Sie die Variable
{"user_root_key_crn": crn_from_step_1}
an.
- Stellen Sie eine Instanz von IBM Key Protect for IBM Cloud bereit und rufen Sie den Instanzwert
Erstellen Sie ein DataMart, für das eine Datenbankkonfiguration erstellt ist.
Der Konfigurationsservice führt einen API-Aufruf an IBM Key Protect for IBM Cloud aus, der durch die Eigenschaft
user_root_key_crn
angegeben wird. Der Service gibt einen neuen Verschlüsselungsschlüssel sowohl mit Wrapping (eingeschlossen) als auch ohne Wrapping zurück. Verwenden Sie das Schlüsselformat ohne Wrapping, um das Datenbankkennwort zu verschlüsseln. Das Schlüsselformat mit Wrapping bleibt in Instanzeigenschaften bestehen. Zur Entschlüsselung eines Datenbankkennworts rufen Sie das Schlüsselformat ohne Wrapping mit dem Schlüsselformat mit Wrapping aus dem Cache oder durch API-Aufruf an IBM Key Protect for IBM Cloud ab. Anschließend wird die Entschlüsselung mithilfe des Schlüssels ohne Wrapping durchgeführt.
Fall 2: Key Protect nach der Konfiguration
- Stellen Sie eine Watson OpenScale-Instanz bereit.
- Nach der Bereitstellung einer Instanz initialisieren Sie das System, indem Sie die automatische Konfiguration oder eine manuelle Konfiguration ausführen. In diesem Szenario wird die Datenbankkonfiguration mit einem Kennwort erstellt, das nicht mit dem Key Protect-Rootschlüssel des Benutzers verschlüsselt ist.
- Nach der Konfiguration müssen Sie eine Instanz von IBM Key Protect for IBM Cloud bereitstellen und den Wert für den Namen der Cloudressource
CRN
abrufen, der als eindeutige ID für die Ressource verwendet wird. - Führen Sie einen API-Aufruf an Watson OpenScale /v2/user_preferences aus und geben Sie die Variable
{"user_root_key_crn": crn_from_step_1}
an. Wenn Sie die Variableuser_root_key_crn
angeben, werden alle geheimen Instanzschlüssel mithilfe von IBM Key Protect for IBM Cloud automatisch erneut verschlüsselt. Wenn Sie die Variableuser_root_key_crn
löschen, werden alle geheimen Instanzschlüssel automatisch mithilfe des globalen Schlüssels erneut verschlüsselt. Die tatsächliche erneute Verschlüsselung ist dieselbe wie im vorherigen Fall: Fall 1.
Watson OpenScale-Instanzen löschen
In der Watson OpenScale-Datenaufbewahrungsrichtlinie ist festgelegt, wie lange Ihre Daten nach dem Löschen des Service gespeichert werden. Die Datenaufbewahrungsrichtlinie ist in der Watson OpenScale-Servicebeschreibung enthalten, die Sie in den IBM Cloud Bedingungen und Hinweisen finden.
Weitere Informationen finden Sie unter den folgenden Themen:
-
IBM Key Protect for IBM Cloud unterstützt Sie bei der Bereitstellung verschlüsselter Schlüssel für Apps in allen IBM Cloud-Services. In diesem Lernprogramm erfahren Sie, wie mithilfe des Key Protect-Dashboards Chiffrierschlüssel erstellt und vorhandene Chiffrierschlüssel hinzugefügt werden, sodass Sie die Datenverschlüsselung von einer zentralen Position aus verwalten können.
-
IBM Key Protect for IBM Cloud ist in eine Reihe von IBM Cloud-Services integriert, damit die Verschlüsselung mit vom Kunden verwalteten Schlüsseln für diese Services möglich ist. Die Verschlüsselung mit vom Kunden verwalteten Verschlüsselungsschlüsseln wird manchmal als BYOK (Bring Your Own Key) bezeichnet.
Integration in IBM Cloud Object Storage.
Mit der Kombination aus IBM Key Protect for IBM Cloud und IBM® Cloud Object Storage sind Sie Eigner der Sicherheit Ihrer ruhenden Daten. Die folgenden Informationen beschreiben, wie Sie Ihren IBM® Cloud Object Storage-Ressourcen mithilfe des IBM Key Protect-Service erweiterte Verschlüsselung hinzufügen.
-
Für die Erstellung einer Instanz von IBM Key Protect for IBM Cloud können Sie die IBM Cloud-Konsole oder die IBM Cloud-Befehlszeilenschnittstelle verwenden.
Übergeordnetes Thema: Informationssicherheit