0 / 0
Go back to the English version of the documentation
Zabezpieczanie danych w systemie Watson OpenScale
Last updated: 28 kwi 2023
Zabezpieczanie danych w systemie Watson OpenScale

Aby bezpiecznie zarządzać danymi podczas korzystania z systemu Watson OpenScale, należy dokładnie wiedzieć, które dane są przechowywane i szyfrowane. Ponadto, informacje na temat usuwania zapisanych danych osobowych. Szyfrowanie danych za pomocą kluczy zarządzanych przez klienta jest obsługiwane przy użyciu opcji Key Protect (Chroń klucz) przy użyciu funkcji Watson OpenScale.

Co to jest Bring Your Own Key (BYOK)?

Przynieś swój własny klucz (BYOK) lub przynieś własne szyfrowanie (BYOE) odnosi się do infrastruktury i metody, za pomocą której klienci usług chmurowych mogą zarządzać własnym oprogramowaniem szyfrujących i kluczami. Ta infrastruktura dodaje warstwę zabezpieczeń, która chroni zarówno dane w spoczynku, jak i dane w ruchu.

Sposób przechowywania i szyfrowania danych

IBM Key Protect for IBM Cloud (IBM i Key Protect for IBM Cloud) zabezpiecza wrażliwe dane przed nieautoryzowanym dostępem lub nieumyślną wersją pracownika, spełniając standardy kontroli zgodności z przepisami. Udostępnia on obowiązkową kontrolę żądań dostępu użytkowników do kluczy szyfrowania i zarządza całym cyklem życia kluczy od tworzenia aplikacji, przy użyciu aplikacji, kluczowych operacji archiwizacji i usuwania kluczy. Oferowane jako platforma jako usługa w IBM Cloud™, Key Protect i przechowują klucze szyfrujące, które używają certyfikatów FIPS 140-2 Level 3 certyfikowanych (Federal Information Processing Standard), które znajdują się w bezpiecznych centrach przetwarzania danych IBM .

Ochrona poufnych danych

Możesz dodać wyższy poziom ochrony szyfrowania i kontrolować dane w stanie spoczynku (kiedy jest on przechowywany) oraz danych w ruchu (po jego transporcie). Włącz wysoką ochronę szyfrowania dzięki integracji z produktem IBM® Key Protect for IBM Cloud™.

Dane przechowywane w produkcie IBM Cloud są szyfrowane w stanie spoczynku za pomocą losowo generowanego klucza. Jeśli konieczne jest sterowanie kluczami szyfrowania, można zintegrować produkt Key Protect(Zabezpieczenie klucza). Ten proces jest zwykle określany jako Bring your own keys (BYOK) (Przynieś własne klucze). Za pomocą programu Key Protect (Ochrona klucza) można tworzyć, importować i zarządzać kluczami szyfrowania. Strategie dostępu można przypisywać do kluczy, przypisywać użytkowników lub identyfikatory usług do kluczy, a także dostęp do klucza tylko do konkretnej usługi. Pierwsze 20 kluczy jest oferowane bez kosztów.

Informacje o kluczach zarządzanych przez klienta

Usługa Watson OpenScale wykorzystuje szyfrowanie koperty do implementowania kluczy zarządzanych przez klienta. Szyfrowanie koperty opisuje szyfrowanie jednego klucza szyfrowania za pomocą innego klucza szyfrowania. Klucz używany do szyfrowania rzeczywistych danych jest znany jako klucz szyfrowania danych (DEK). Sam DEK nigdy nie jest zapisywany, ale jest opakowany przez drugi klucz, który jest znany jako klucz szyfrowania kluczy (key encryption key-KEK) w celu utworzenia zawiniętego DEK. Aby zdeszyfrować dane, zawinięty DEK jest niezawinięty, aby dostać DEK. Ten proces jest możliwy tylko przy dostępie do KEK, który w tym przypadku jest kluczem głównym, który jest przechowywany w obszarze Key Protect(Ochrona klucza).

Klucze Key Protect są zabezpieczone przez certyfikowane moduły zabezpieczeń sprzętowe oparte na chmurze FIPS 140-2 Level 3 (HSMs).

Włączanie kluczy zarządzanych przez klienta

Integrowanie produktu Key Protect z usługami Watson Premium wiąże się z następującymi krokami w konsoli IBM Cloud .

  1. Utwórz instancję obiektu Key Protect(Chroń klucz).
  2. Dodaj klucz główny do instancji Key Protect (Chroń klucz).
  3. Nadaj prawa dostępu Key Protect do wszystkich instancji usługi Watson .
  4. Zaszyfruj dane usługi Watson .

Praca z kluczami zarządzanymi przez klienta

Produkt Watson OpenScale można zintegrować z produktem IBM Key Protect for IBM Cloud , korzystając z interfejsu API, wywołując wywołania user_preferences . Zastosowanie mają następujące parametry:

Przypadek 1: Key Protect podczas początkowego konfigurowania

  1. Udostępnij instancję Watson OpenScale .

  2. Po udostępnieniu instancji, ale przed wykonaniem dowolnej innej konfiguracji, należy wykonać następujące kroki:

    1. Udostępnij instancję produktu IBM Key Protect for IBM Cloud i uzyskaj wartość CRN instancji.
    2. Utwórz wywołanie interfejsu API w systemie Watson OpenScale /v2/user_preferencesi określ zmienną {"user_root_key_crn": crn_from_step_1} .

  3. Utwórz obiekt DataMart, dla którego tworzona jest konfiguracja bazy danych.

  4. Usługa konfiguracji umożliwia wywołanie interfejsu API do programu IBM Key Protect for IBM Cloud określonego przez właściwość user_root_key_crn . Usługa zwraca nowy klucz szyfrowania zarówno w postaci opakowanej, jak i nieopakowanej. Użyj niezawiniętego formularza klucza, aby zaszyfrować hasło bazy danych. Opakowany formularz klucza jest utrwalany we właściwościach instancji. Aby zdeszyfrować hasło bazy danych, należy użyć formularza opakowanego klucza w celu uzyskania niezawiniętego formularza klucza z pamięci podręcznej lub wywołania interfejsu API w programie IBM Key Protect for IBM Cloud. Następnie deszyfrowanie odbywa się za pomocą nieopakowanego klucza.

Przypadek 2: Key Protect po konfiguracji

  1. Udostępnij instancję Watson OpenScale .
  2. Po udostępnieniu instancji należy zainicjować system, uruchamiając automatyczną konfigurację lub wykonując ręczną konfigurację. W tym scenariuszu konfiguracja bazy danych jest tworzona z hasłem, które nie jest szyfrowane za pomocą klucza głównego zabezpieczonego przez użytkownika.
  3. Po skonfigurowaniu należy udostępnić instancję produktu IBM Key Protect for IBM Cloud i uzyskać wartość nazwy CRN obiektu Cloud Reseource, która jest używana jako unikalny identyfikator zasobu.
  4. Utwórz wywołanie interfejsu API w systemie Watson OpenScale /v2/user_preferencesi określ zmienną {"user_root_key_crn": crn_from_step_1} . Po określeniu zmiennej user_root_key_crn wszystkie tajemnice instancji są automatycznie ponownie szyfrowane przy użyciu programu IBM Key Protect for IBM Cloud. Jeśli zmienna user_root_key_crn zostanie usunięta, wszystkie sekrety instancji będą automatycznie ponownie szyfrowane przy użyciu klucza globalnego. Rzeczywiste ponowne szyfrowanie jest takie samo, jak w poprzednim przypadku, Przypadek 1.

Usuwanie instancji Watson OpenScale

Strategia czasu przechowywania danych Watson OpenScale opisuje, jak długo dane są przechowywane po usunięciu usługi. Strategia przechowywania danych jest zawarta w opisie usługi Watson OpenScale , który można znaleźć w sekcji IBM Cloud Terms and Notices(Warunki i uwagi dotyczące platformy IBM Cloud).

Więcej informacji można uzyskać w następujących tematach:

  • Kurs Pierwsze kroki.

    Program IBM Key Protect for IBM Cloud ułatwia udostępnianie zaszyfrowanych kluczy dla aplikacji w ramach usług IBM Cloud . Ten kurs zawiera informacje na temat tworzenia i dodawania istniejących kluczy szyfrujących za pomocą panelu kontrolnego Key Protect , dzięki czemu można zarządzać szyfrowaniem danych z jednego centralnego miejsca.

  • Integrowanie usług.

    IBM Key Protect for IBM Cloud integruje się z wieloma usługami IBM Cloud w celu umożliwienia szyfrowania z kluczami zarządzanymi przez klienta dla tych usług. Szyfrowanie za pomocą zarządzanych przez klienta kluczy szyfrowania jest czasem nazywane Przynieś swój własny klucz (BYOK).

  • Integracja z produktem IBM Cloud Object Storage.

    Produkty IBM Key Protect for IBM Cloud i IBM® Cloud Object Storage współpracują ze sobą, aby pomóc we własnym zakresie ochrony danych w czasie wolnym od pracy. Dowiedz się, jak dodać zaawansowane szyfrowanie do zasobów IBM® Cloud Object Storage za pomocą usługi IBM Key Protect .

  • Udostępnianie usługi.

    Instancję produktu IBM Key Protect for IBM Cloud można utworzyć za pomocą konsoli IBM Cloud lub interfejsu IBM Cloud CLI.

Temat nadrzędny: Bezpieczeństwo informacji