Protezione dei tuoi dati in Watson OpenScale
Per gestire in modo sicuro i dati quando si utilizza Watson OpenScale, sapere esattamente quali dati vengono memorizzati e crittografati. Inoltre, sapere come eliminare qualsiasi dato personale memorizzato. La crittografia dei dati mediante l'utilizzo dei tasti gestiti dal cliente è supportata dall'utilizzo di Key Protect con Watson OpenScale.
Cos'è il meccanismo BYOK (Bring Your Own Key)?
BIOK (bring your own key) o BYOE (bring your own encryption) sono l'infrastruttura e il metodo tramite cui i clienti del servizio cloud possono gestire il proprio software di crittografia e chiavi. Questa infrastruttura aggiunge uno strato di sicurezza che protegge entrambi i dati a riposo e i dati in movimento.
Come vengono memorizzati e crittografati i tuoi dati
IBM Key Protect for IBM Cloud consente di proteggere i dati sensibili da accessi non autorizzati o dalla release involontaria dei dipendenti, rispettando gli standard di verifica della conformità. Fornisce il controllo obbligatorio delle richieste di accesso degli utenti alle chiavi di crittografia e gestisce l'intero ciclo di vita delle chiavi, dalla creazione fino all'utilizzo delle applicazioni, l'archiviazione e la distruzione delle chiavi. Offerto come Platform as a Service su IBM Cloud™, Key Protect fornisce e memorizza le chiavi crittografiche che utilizzano dispositivi HSM (Hardware Security Module) FIPS 140-2 Livello 3 certificati (Federal Information Processing Standard) che si trovano nei data center IBM sicuri.
Protezione dei tuoi dati sensibili
È possibile aggiungere un livello superiore di protezione della crittografia e controllare i dati a riposo (quando viene memorizzato) e i dati in movimento (quando viene trasportato). Abilita la protezione della crittografia elevata tramite integrazione con IBM® Key Protect for IBM Cloud™.
I dati che si memorizzano in IBM Cloud vengono crittografati a riposo utilizzando una chiave generata casualmente. Se è necessario controllare le chiavi di crittografia, è possibile integrare Key Protect. Questo processo è comunemente indicato come BYOK (Bring your own keys). Con Key Protect è possibile creare, importare e gestire le chiavi di crittografia. È possibile assegnare le politiche di accesso alle chiavi, assegnare gli utenti o gli ID di servizio alle chiavi o dare l'accesso chiave solo ad un servizio specifico. Le prime 20 chiavi sono offerte senza costi.
Informazioni sulle chiavi gestite dal cliente
Watson OpenScale utilizza la crittografia busta per implementare le chiavi gestite dal cliente. La crittografia envelope descrive la codifica di una chiave di crittografia con un'altra chiave di crittografia. La chiave utilizzata per crittografare i dati effettivi è nota come DEK (data encryption key). La DEK stessa non viene mai memorizzata, ma viene protetta da una seconda chiave che è nota come KEK (key encryption key) per creare una DEK con wrapping. Per decrittografare i dati, la DEK impacchettata viene spacchettata per ottenere la DEK. Questo processo è possibile solo accedendo alla KEK, che in questo caso è la tua chiave di root che viene memorizzata in Key Protect.
Key Protect i tasti sono garantiti da FIPS 140 - 2 Level 3 moduli di sicurezza hardware certificati (HSMs) certificati.
Abilitazione delle chiavi gestite dal cliente
L'integrazione di Key Protect con i servizi Watson Premium richiede le seguenti operazioni nella console IBM Cloud.
- Creare un'istanza di Key Protect.
- Aggiungere una chiave root all'istanza Key Protect.
- Concedere l'accesso Key Protect a tutte le istanze del servizio Watson.
- Crittografare i dati del servizio Watson.
Gestione delle chiavi gestite dal cliente
Puoi integrare Watson OpenScale con IBM Key Protect for IBM Cloud utilizzando l'API effettuando chiamate user_preferences
. Si applicano i seguenti parametri:
- Metodo HTTP: PUT
- URL: https://aiopenscale.cloud.ibm.com/openscale/{service-instance-id}/v2/user_preferences/user_root_key_crn
- Payload: {"user_root_key_crn": crn_from_step_1}
Caso 1: Key Protect durante la configurazione iniziale
Predisposizione un'istanza Watson OpenScale .
Dopo aver eseguito il provisioning di un'istanza, ma prima di effettuare qualsiasi altra configurazione, è necessario completare i seguenti passaggi:
- Esegui il provisioning di un'istanza di IBM Key Protect for IBM Cloud e ottieni il valore dell'istanza
CRN
. - Fare una chiamata API a Watson OpenScale /v2/user_preferencese specificare la variabile
{"user_root_key_crn": crn_from_step_1}
.
- Esegui il provisioning di un'istanza di IBM Key Protect for IBM Cloud e ottieni il valore dell'istanza
Creare un DataMart, per il quale è creata una configurazione database.
Il servizio di configurazione effettua una chiamata API a IBM Key Protect for IBM Cloud specificata dalla proprietà
user_root_key_crn
. Il servizio restituisce una nuova chiave di crittografia sia in forma con wrapping che senza. Utilizzare il formato chiave senza wrapping per crittografare la password del database. Il formato con wrapping viene conservato nelle proprietà dell'istanza. Per decodificare una parola d'ordine del database, utilizza il modulo della chiave impacchettata per ottenere il modulo della chiave non impacchettata dalla cache o tramite la chiamata API a IBM Key Protect for IBM Cloud. Poi, la decodifica viene effettuata utilizzando la chiave senza wrapping.
Caso 2: Key Protect dopo set-up
- Predisposizione un'istanza Watson OpenScale .
- Dopo aver eseguito il provisioning di un'istanza, inizializzare il sistema eseguendo la configurazione automatica o eseguendo una configurazione manuale. In questo scenario, la configurazione del database viene creata con una password non crittografata con la chiave root key protect dell'utente.
- Dopo la configurazione, devi eseguire il provisioning di un'istanza di IBM Key Protect for IBM Cloud e ottenere il valore dell'istanza Nome risorsa cloud
CRN
utilizzato come un ID univoco per la risorsa. - Fare una chiamata API a Watson OpenScale /v2/user_preferencese specificare la variabile
{"user_root_key_crn": crn_from_step_1}
. Quando specifichi la variabileuser_root_key_crn
, tutti i segreti dell'istanza vengono automaticamente ricodificati utilizzando IBM Key Protect for IBM Cloud. Se si elimina la variabileuser_root_key_crn
, tutti i segreti dell'istanza vengono automaticamente ricrittografati utilizzando la chiave globale. La ricrittografia effettiva è la stessa del caso precedente, Caso 1.
Eliminazione delle istanze Watson OpenScale
La policy di conservazione dei dati Watson OpenScale descrive quanto i tuoi dati vengono memorizzati dopo aver eliminato il servizio. La politica di conservazione dei dati è inclusa nella descrizione del servizio Watson OpenScale , che puoi trovare nella IBM Cloud Termini e avvisi.
Per ulteriori informazioni, fare riferimento ai seguenti argomenti:
-
IBM Key Protect for IBM Cloud ti aiuta a eseguire il provisioning delle chiavi crittografate per le applicazioni nei servizi IBM Cloud . Questo supporto didattico mostra come creare e aggiungere chiavi crittografiche esistenti utilizzando il dashboard di Key Protect, in modo da gestire la crittografia dei dati da una posizione centrale.
-
IBM Key Protect for IBM Cloud si integra con una serie di servizi IBM Cloud per abilitare la crittografia con chiavi gestite dal cliente per questi servizi. La crittografia con le chiavi di crittografia gestite dal cliente è a volte chiamata BYOK (Bring Your Own Key).
Integrazione con IBM Cloud Object Storage.
IBM Key Protect for IBM Cloud e IBM® Cloud Object Storage collaborano per aiutarti a possedere la sicurezza dei tuoi dati inattivi. Scopri come aggiungere la crittografia avanzata alle risorse IBM® Cloud Object Storage utilizzando il servizio IBM Key Protect.
-
Puoi creare un'istanza di IBM Key Protect for IBM Cloud utilizzando la console IBM Cloud o la CLI IBM Cloud .
Argomento principale: Sicurezza delle informazioni