0 / 0
Retourner à la version anglaise de la documentation
Sécurisation de vos données dans Watson OpenScale

Sécurisation de vos données dans Watson OpenScale

Pour gérer vos données en toute sécurité lorsque vous utilisez Watson OpenScale, sachez exactement quelles données sont stockées et chiffrées. En outre, sachez comment supprimer les données personnelles stockées. Le chiffrement des données avec vos propres clés se fait en utilisant Key Protect avec Watson OpenScale.

Qu'est-ce que le BYOK (Bring Your Own Key) ?

Le BYOK ou BYOE (Bring Your Own Encryption) désigne l'infrastructure et la méthode dans lesquelles les clients de services cloud gèrent leurs propres logiciels et clés de chiffrement. Cette infrastructure ajoute une couche de sécurité qui protège à la fois les données au repos et les données en mouvement.

Comment sont stockées et chiffrées vos données

IBM Key Protect for IBM Cloud vous aide à protéger vos données sensibles contre les accès non autorisés ou les mises à jour accidentelles des employés, en respectant les normes d'audit de conformité. Il fournit un contrôle obligatoire des demandes d'accès utilisateur aux clés de chiffrement et gère tout le cycle de vie des clés de leur création à leur utilisation, leur archivage et leur destruction. Proposé en tant que plateforme sous forme de service sur IBM Cloud™, Key Protect met à disposition et stocke des clés cryptographiques qui utilisent des unités HSM (Hardware Security Module) certifiées FIPS 140-2 niveau 3 (Federal Information Processing Standard) situées dans des centres de données IBM sécurisés.

Protection de vos données sensibles

Vous pouvez ajouter un niveau plus élevé de protection et de contrôle du chiffrement à vos données au repos (lorsqu'elles sont stockées) et aux données en mouvement (lorsqu'elles sont transportées). Activez une protection par chiffrement élevée via l'intégration à IBM® Key Protect for IBM Cloud™.

Les données que vous stockez dans IBM Cloud sont chiffrées au repos à l'aide d'une clé générée de manière aléatoire. Si vous avez besoin de contrôler les clés de chiffrement, vous pouvez intégrer Key Protect. Ce processus est communément appelé BYOK (Bring Your Own Keys). Avec Key Protect, vous pouvez créer, importer et gérer vos clés de chiffrement. Vous pouvez affecter aux clés des règles d'accès, des ID utilisateur ou de service, ou ne leur donner accès qu'à un service spécifique. Les 20 premières clés sont offertes gratuitement.

A propos des clés gérées par le client

Watson OpenScale utilise le chiffrement de l'enveloppe pour implémenter des clés gérées par le client. Le chiffrement d'enveloppe décrit le processus de chiffrement d'une clé à l'aide d'une autre. La clé utilisée pour chiffrer les données réelles porte le nom de clé DEK (Data Encryption Key). La DEK n'est jamais stockée, mais elle est encapsulée par une seconde clé, connue sous le nom de clé de chiffrement de clés (KEK), pour créer une DEK encapsulée. Pour déchiffrer les données, la DEK est désencapsulée. Ce processus n'est possible qu'en accédant à la clé KEK, qui est ici votre clé racine stockée dans Key Protect.

Les clés Key Protect sont sécurisées par des modules de sécurité matérielle (HMS) certifiés FIPS 140-2 niveau 3.

Activation des clés gérées par le client

L'intégration de Key Protect avec les services Watson Premium implique les opérations suivantes dans la console IBM Cloud.

  1. Créez une instance de Key Protect.
  2. Ajoutez une clé racine à l'instance de Key Protect.
  3. Accordez l'accès Key Protect à toutes les instances de votre service Watson.
  4. Chiffrez les données du service Watson.

Utilisation des clés gérées par un client

Vous pouvez intégrer Watson OpenScale à IBM Key Protect for IBM Cloud en utilisant l'API en effectuant des appels user_preferences . Les paramètres suivants s'appliquent :

Cas 1 : Key Protect à la configuration initiale

  1. Mettez à disposition une instance Watson OpenScale.

  2. Après avoir mis à disposition une instance, mais avant toute autre configuration, vous devez effectuer les actions suivantes :

    1. Mise à disposition d'une instance de IBM Key Protect for IBM Cloud et obtention de la valeur CRN de l'instance.
    2. Faites un appel d'API à Watson OpenScale /v2/user_preferences et spécifiez la variable {"user_root_key_crn": crn_from_step_1}.

  3. Créez un magasin de données, pour lequel une configuration de base de données est créée.

  4. Le service de configuration effectue un appel d'API à IBM Key Protect for IBM Cloud spécifié par la propriété user_root_key_crn. Il renvoie une nouvelle clé de chiffrement à la fois sous forme encapsulée et décapsulée. Utilisez la forme décapsulée pour chiffrer le mot de passe de la base de données. La forme encapsulée est conservée dans les propriétés de l'instance. Pour déchiffrer un mot de passe de base de données, obtenez la forme décapsulée du cache ou au moyen d'un appel d'API à IBM Key Protect for IBM Cloud en utilisant la forme encapsulée. Effectuez ensuite le déchiffrement avec la clé décapsulée.

Cas 2: Key Protect après la configuration

  1. Mettez à disposition une instance Watson OpenScale.
  2. Après avoir mis à disposition une instance, initialisez le système en exécutant la configuration automatique ou en effectuant une configuration manuelle. Dans ce scénario, la configuration de la base de données est créée avec un mot de passe qui n'est pas chiffré avec la clé racine Key Protect de l'utilisateur.
  3. Après la configuration, vous devez mettre à disposition une instance d' IBM Key Protect for IBM Cloud et obtenir la valeur de l'instance Cloud Reseource Name CRN utilisée comme ID unique pour la ressource.
  4. Faites un appel d'API à Watson OpenScale /v2/user_preferences et spécifiez la variable {"user_root_key_crn": crn_from_step_1}. Lorsque vous spécifiez la variable user_root_key_crn, tous les secrets d'instance sont automatiquement re-chiffrés à l'aide de IBM Key Protect for IBM Cloud. Si vous supprimez la variable user_root_key_crn, tous les secrets d'instance sont automatiquement re-chiffrés à l'aide de la clé globale. Le re-chiffrement effectif est le même que dans le cas précédent, à savoir le cas 1.

Suppression d'instances Watson OpenScale

La politique de conservation des données de Watson OpenScale décrit la durée de stockage de vos données après la suppression du service. La règle de conservation des données est incluse dans la description de service Watson OpenScale, que vous trouverez dans le fichier IBM Cloud Termes et remarques.

pour plus d'informations, consultez les rubriques suivantes :

  • Tutoriel d'initiation.

    IBM Key Protect for IBM Cloud vous aide à mettre à disposition des clés chiffrées pour les applications dans les services IBM Cloud. Ce tutoriel vous montre comment créer des clés cryptographiques et en ajouter des existantes avec le tableau de bord Key Protect, afin que vous puissiez gérer le chiffrement des données depuis un point central.

  • Intégration de services.

    IBM Key Protect for IBM Cloud s'intègre à un certain nombre de services IBM Cloud pour permettre le chiffrement avec des clés gérées par le client pour ces services. Le chiffrement à l'aide de clés de chiffrement gérées par le client est parfois appelé BYOK (Bring Your Own Key).

  • Intégration avec IBM Cloud Object Storage.

    IBM Key Protect for IBM Cloud et IBM® Cloud Object Storage peuvent fonctionner ensemble pour vous aider à maîtriser la sécurité de vos données au repos. Découvrez comment ajouter un chiffrement avancé à vos ressources IBM® Cloud Object Storage avec le service IBM Key Protect.

  • Mise à disposition du service.

    Vous pouvez créer une instance IBM Key Protect for IBM Cloud à l'aide de la console IBM Cloud ou de l'interface de ligne de commande IBM Cloud.

Rubrique parent: Sécurité des informations

Recherche et réponse à l'IA générative
Ces réponses sont générées par un modèle de langue de grande taille dans watsonx.ai en fonction du contenu de la documentation du produit. En savoir plus