Protección de los datos en Watson OpenScale

Para asegurarse de que puede gestionar de forma segura sus datos cuando utiliza Watson OpenScale, es importante saber exactamente qué datos se almacenan y cifran y cómo puede suprimir los datos personales almacenados. El cifrado de datos mediante claves gestionadas por el cliente se admite utilizando Key Protect con Watson OpenScale.

¿Qué es BYOK (Bring Your Own Key)?

BYOK (Bring your own key) o BYOE (Bring Your Own Encryption) hace referencia a la infraestructura y el método mediante los cuales los clientes de servicio de nube pueden gestionar su propio software de cifrado y claves. Esto añade una capa de seguridad que protege tanto los datos en reposo como los datos en movimiento.

Cómo se almacenan y cifran sus datos en Watson OpenScale

IBM Key Protect for IBM Cloud ayuda a proteger los datos confidenciales frente a un acceso no autorizado o un release no advertido por parte de un empleado no advertido y al mismo tiempo cumple con los estándares de auditoría de conformidad. Proporciona control obligatorio de las solicitudes de acceso de usuario a claves de cifrado y gestiona todo el ciclo de vida de las claves desde la creación hasta el uso de las aplicaciones y el archivado y destrucción de las claves. Se ofrece como Plataforma como servicio en IBM Cloud™, Key Protect suministra y almacena claves criptográficas utilizando el módulo de seguridad de hardware (HSM) con certificación FIPS (Federal Information Processing Standard) 140-2 Nivel 3 ubicado en los centros de datos seguros de IBM.

Protección de datos confidenciales en Watson OpenScale

Puede añadir un nivel más alto de protección y control de cifrado a los datos en reposo (cuando están almacenados) y a los datos en movimiento (cuando se transportan) habilitando la integración con IBM® Key Protect for IBM Cloud™.

Los datos que almacena en IBM Cloud se cifran en reposo utilizando una clave generada aleatoriamente. Si debe controlar las claves de cifrado, puede integrar Key Protect. Este proceso se conoce comúnmente como BYOK (Bring Your Own Key). Con Key Protect puede crear, importar y gestionar claves de cifrado. Puede asignar políticas de acceso a las claves, asignar usuarios o ID de servicio a las claves u otorgar acceso de clave sólo a un servicio específico. Las primeras 20 claves son gratuitas.

Acerca de las claves gestionadas por el cliente

Watson OpenScale utiliza el cifrado de sobre para implementar claves gestionadas por el cliente. El cifrado de sobre describe el cifrado de una clave de cifrado con otra clave de cifrado. La clave utilizada para cifrar los propios datos se conoce como una clave de cifrado de datos (DEK). La propia DEK nunca se almacena pero la envuelve una segunda clave que se conoce como clave de cifrado de claves (KEK) para crear una DEK envuelta. Para descifrar datos, la DEK envuelta se desenvuelve para obtener la DEK. Este proceso sólo es posible accediendo a la KEK, que en este caso es la clave raíz que se almacena en Key Protect.

Las claves de Key Protect están protegidas por los módulos de seguridad de hardware (HSM) basados en la nube, certificados por FIPS 140-2 Nivel 3.

Habilitación de claves gestionadas por el cliente para Watson OpenScale

La integración de Key Protect con los servicios Watson Premium implica los pasos siguientes en la consola de IBM Cloud.

  1. Cree una instancia de Key Protect.
  2. Añada una clave raíz a la instancia de Key Protect.
  3. Otorgue acceso de Key Protect a todas las instancias de su servicio Watson.
  4. Cifre los datos de servicio de Watson.

Trabajar con claves gestionadas por el cliente para Watson OpenScale

Puede integrar Watson OpenScale con IBM Key Protect for IBM mediante la API realizando llamadas user_preferences. Se aplican estos parámetros:

  • Método HTTP: PUT
  • URL: https://aiopenscale.cloud.ibm.com/openscale/{service-instance-id}/v2/user_preferences/user_root_key_crn
  • Payload: {“user_root_key_crn”: crn_from_step_1}

Caso 1: Key Protect durante la configuración inicial

  1. Suministre una instancia de Watson OpenScale.
  2. Después de suministrar una instancia, pero antes de realizar cualquier otra configuración, debe completar los pasos siguientes:

    1. Suministre una instancia de IBM Key Protect for IBM Cloud y obtenga el valor CRN de la instancia.
    2. Realice una llamada de API a Watson OpenScale /v2/user_preferences, y especifique la variable {"user_root_key_crn": crn_from_step_1}.
  3. Cree una despensa de datos, para la que se crea una configuración de base de datos.
  4. El servicio de configuración realiza una llamada de API a IBM Key Protect for IBM Cloud especificada mediante la propiedad user_root_key_crn. El servicio devuelve una nueva clave de cifrado en formato encapsulado o no encapsulado. Utilice el formato de clave encapsulada para cifrar la contraseña de base de datos. El formato de clave encapsulada persiste en las propiedades de instancia. Para descifrar una contraseña de base de datos, utilice el formato de clave encapsulada para obtener la clave no encapsulada desde la memoria caché o mediante la llamada a la API para IBM Key Protect for IBM Cloud. A continuación se realiza el descifrado utilizando la clave no encapsulada.

Caso 2: Key Protect después de la configuración

  1. Suministre una instancia de Watson OpenScale.
  2. Después de suministrar una instancia, inicialice el sistema ejecutando la configuración automática o una configuración manual. En este escenario, la configuración de base de datos se crea con una contraseña que no está cifrada con la clave raíz de protección de la clave del usuario.
  3. Después de la configuración, debe suministrar una instancia de IBM Key Protect for IBM Cloud y obtener el valor CRN de la instancia.
  4. Realice una llamada de API a Watson OpenScale /v2/user_preferences, y especifique la variable {"user_root_key_crn": crn_from_step_1}. Cuando especifica la variable user_root_key_crn, todos los secretos de la instancia se vuelven a cifrar automáticamente utilizando IBM Key Protect for IBM Cloud. Si suprime la variable user_root_key_crn, todos los secretos de la instancia se vuelven a cifrar automáticamente utilizando la clave global. El proceso real de volver a cifrar es el mismo que en el caso anterior, Caso 1.

Suprimir instancias de Watson OpenScale

La política de retención de datos de Watson OpenScale describe durante cuánto tiempo se almacenan los datos después de suprimir el servicio. La política de retención de datos se incluye en la descripción del servicio de Watson OpenScale, que puede encontrar en Términos y avisos de IBM Cloud.

Para obtener más detalles, consulte los temas siguientes:

  • Guía de aprendizaje Cómo empezar.

    IBM Key Protect for IBM Cloud le ayuda a suministrar claves cifradas para aplicaciones en los servicios de IBM Cloud. Esta guía de aprendizaje le muestra cómo crear y añadir claves criptográficas existentes utilizando el panel de control de Key Protect, para que pueda gestionar el cifrado de datos desde una ubicación central.

  • Integración de servicios.

    IBM Key Protect for IBM Cloud se integra con varios servicios de IBM Cloud para habilitar el cifrado con claves gestionadas por el cliente para estos servicios. El cifrado con claves de cifrado gestionadas por el cliente a veces se denomina BYOK (Bring Your Own Key).

  • Integración con IBM Cloud Object Storage.

    IBM Key Protect for IBM Cloud e IBM Cloud Object Storage trabajan conjuntamente para ayudarle en la seguridad de sus propios datos en descanso. Obtenga información sobre cómo añadir cifrado avanzado a los recursos de IBM Cloud Object Storage utilizando el servicio IBM Key Protect.

  • Suministro del servicio.

    Puede crear una instancia de IBM Key Protect for IBM Cloud utilizando la consola de IBM Cloud o la CLI de IBM Cloud.