0 / 0
Volver a la versión inglesa de la documentación
Protección de los datos en Watson OpenScale

Protección de los datos en Watson OpenScale

Para gestionar de forma segura los datos cuando utiliza Watson OpenScale, sepa exactamente qué datos se almacenan y cifran. Además, sepa cómo suprimir los datos personales almacenados. El cifrado de datos mediante claves gestionadas por el cliente se admite utilizando Key Protect con Watson OpenScale.

¿Qué es BYOK (Bring Your Own Key)?

BYOK (Bring your own key) o BYOE (Bring Your Own Encryption) hace referencia a la infraestructura y el método mediante los cuales los clientes de servicio de nube pueden gestionar su propio software de cifrado y claves. Esta infraestructura añade una capa de seguridad que protege tanto los datos en reposo como los datos en movimiento.

Cómo se almacenan y se cifran los datos

IBM Key Protect for IBM Cloud ayuda a proteger los datos confidenciales frente a accesos no autorizados o releases inadvertidos de los empleados, cumpliendo con los estándares de auditoría de conformidad. Proporciona control obligatorio de las solicitudes de acceso de usuario a claves de cifrado y gestiona todo el ciclo de vida de las claves desde la creación hasta el uso de las aplicaciones y el archivado y destrucción de las claves. Ofrecido como plataforma como servicio en IBM Cloud™, Key Protect suministra y almacena claves criptográficas que utilizan dispositivos de módulo de seguridad de hardware (HSM) certificados FIPS 140-2 Nivel 3 (Federal Information Processing Standard) que se encuentran en centros de datos IBM seguros.

Protección de los datos confidenciales

Puede añadir un mayor nivel de protección y control de cifrado a los datos en reposo (cuando se almacenan) y a los datos en movimiento (cuando se transportan). Habilite una protección de cifrado alta mediante la integración con IBM® Key Protect for IBM Cloud™.

Los datos que almacena en IBM Cloud se cifran en reposo utilizando una clave generada aleatoriamente. Si debe controlar las claves de cifrado, puede integrar Key Protect. Este proceso se conoce comúnmente como BYOK (Bring Your Own Key). Con Key Protect puede crear, importar y gestionar claves de cifrado. Puede asignar políticas de acceso a las claves, asignar usuarios o ID de servicio a las claves u otorgar acceso de clave sólo a un servicio específico. Las primeras 20 llaves se ofrecen sin costo alguno.

Acerca de las claves gestionadas por el cliente

Watson OpenScale utiliza el cifrado de sobre para implementar claves gestionadas por el cliente. El cifrado de sobre describe el cifrado de una clave de cifrado con otra clave de cifrado. La clave utilizada para cifrar los propios datos se conoce como una clave de cifrado de datos (DEK). La propia DEK nunca se almacena pero la envuelve una segunda clave que se conoce como clave de cifrado de claves (KEK) para crear una DEK envuelta. Para descifrar datos, la DEK envuelta se desenvuelve para obtener la DEK. Este proceso sólo es posible accediendo a la KEK, que en este caso es la clave raíz que se almacena en Key Protect.

Las claves Key Protect están protegidas por módulos de seguridad de hardware (HSM) basados en la nube y certificados por FIPS 140-2 Nivel 3.

Habilitación de claves gestionadas por el cliente

La integración de Key Protect con los servicios Watson Premium implica los pasos siguientes en la consola de IBM Cloud.

  1. Cree una instancia de Key Protect.
  2. Añada una clave raíz a la instancia de Key Protect.
  3. Otorgue acceso de Key Protect a todas las instancias de su servicio Watson.
  4. Cifre los datos de servicio de Watson.

Trabajar con claves gestionadas por el cliente

Puede integrar Watson OpenScale con IBM Key Protect for IBM Cloud utilizando la API realizando llamadas user_preferences . Se aplican estos parámetros:

Caso 1: Key Protect durante la configuración inicial

  1. Suministre una instancia de Watson OpenScale.

  2. Después de suministrar una instancia, pero antes de realizar cualquier otra configuración, debe completar los pasos siguientes:

    1. Suministre una instancia de IBM Key Protect for IBM Cloud y obtenga el valor CRN de la instancia.
    2. Realice una llamada de API a Watson OpenScale /v2/user_preferences y especifique la variable {"user_root_key_crn": crn_from_step_1}.

  3. Cree una despensa de datos, para la que se crea una configuración de base de datos.

  4. El servicio de configuración realiza una llamada de API a IBM Key Protect for IBM Cloud especificada por la propiedad user_root_key_crn. El servicio devuelve una nueva clave de cifrado en formato encapsulado o no encapsulado. Utilice el formato de clave encapsulada para cifrar la contraseña de base de datos. El formato de clave encapsulada persiste en las propiedades de instancia. Para descifrar una contraseña de base de datos, utilice el formato de clave encapsulada para obtener la clave no encapsulada desde la memoria caché o mediante la llamada a la API para IBM Key Protect for IBM Cloud. A continuación se realiza el descifrado utilizando la clave no encapsulada.

Caso 2: Key Protect después de la configuración

  1. Suministre una instancia de Watson OpenScale.
  2. Después de suministrar una instancia, inicialice el sistema ejecutando la configuración automática o una configuración manual. En este caso de ejemplo, la configuración de la base de datos se crea con una contraseña que no está cifrada con la clave de la raíz de protección de claves del usuario.
  3. Después de la configuración, debe suministrar una instancia de IBM Key Protect for IBM Cloud y obtener el valor de Cloud Reseource Name CRN de la instancia utilizado como ID exclusivo para el recurso.
  4. Realice una llamada de API a Watson OpenScale /v2/user_preferences y especifique la variable {"user_root_key_crn": crn_from_step_1}. Cuando se especifica la variable user_root_key_crn, todos los secretos de instancia se vuelven a cifrar automáticamente utilizando IBM Key Protect for IBM Cloud. Si suprime la variable user_root_key_crn, todos los secretos de instancia se vuelven a cifrar automáticamente utilizando la clave global. El proceso real de volver a cifrar es el mismo que en el caso anterior, Caso 1.

Suprimir instancias de Watson OpenScale

La política de retención de datos de Watson OpenScale describe durante cuánto tiempo se almacenan los datos después de suprimir el servicio. La política de retención de datos se incluye en la descripción de servicio de Watson OpenScale, que puede encontrar en Términos y avisos de IBM Cloud.

Para obtener más información, consulte los temas siguientes:

  • Guía de aprendizaje de inicio.

    IBM Key Protect for IBM Cloud le ayuda a suministrar claves cifradas para aplicaciones en los servicios de IBM Cloud. Esta guía de aprendizaje le muestra cómo crear y añadir claves criptográficas existentes utilizando el panel de control de Key Protect, para que pueda gestionar el cifrado de datos desde una ubicación central.

  • Integración de servicios.

    IBM Key Protect for IBM Cloud se integra con varios servicios de IBM Cloud para habilitar el cifrado con claves gestionadas por el cliente para estos servicios. El cifrado con claves de cifrado gestionadas por el cliente a veces se denomina BYOK (Bring Your Own Key).

  • Integración con IBM Cloud Object Storage.

    IBM Key Protect for IBM Cloud e IBM Cloud Object Storage trabajan conjuntamente para ayudarle en la seguridad de sus propios datos en descanso. Obtenga información sobre cómo añadir cifrado avanzado a los recursos de IBM Cloud Object Storage utilizando el servicio IBM Key Protect.

  • Suministro del servicio.

    Puede crear una instancia de IBM Key Protect for IBM Cloud utilizando la consola de IBM Cloud o la CLI de IBM Cloud.

Tema principal: Seguridad de la información

Búsqueda y respuesta de IA generativa
Estas respuestas las genera un modelo de lenguaje grande en watsonx.ai que se basa en el contenido de la documentación del producto. Más información