内置安全
IBM Cloud 平台的安全始于基础架构。IBM Cloud 通过多层防护保护平台本身——涵盖物理数据中心、硬件、网络和运行时环境。这种深度防御策略确保平台具有弹性、默认安全并受到持续监控。
当您在 IBM Cloud 上部署工作负载时,将自动继承这一强大的安全基线。原生平台服务在设计时即内置了安全与合规性,使企业能够从第一天起就保护应用、数据和工作负载。借助集成的预防性和检测性控制措施,您的团队可以降低复杂性、加速部署,并在云和混合环境中保持一致的安全性。
IBM Cloud 安全平台为混合和 AI 工作负载提供安全、合规的基础。原生服务和客户工作负载受到内置控制措施的保护,这些措施保障数据、隐私和运营安全,帮助组织充满信心地在云和本地环境中运行敏感及 AI 驱动的应用。
主要功能包括:
- 云环境与本地环境的一致安全控制
- 为数据密集型和 AI 工作负载提供内置保护
- 符合行业和地区法规
您将能够掌控组织的安全与合规态势,从而自信地管理应用与资源。
- 基础安全
- 网络安全
- 身份和访问管理
- 工作负载保护与应用安全
- 数据安全与隐私
- 日志记录与监控
IBM Cloud 安全平台倡导一种基于生命周期的安全模型,该模型兼具主动性、检测性和响应性——使企业能够及早嵌入安全性、自动执行策略并随工作负载演变而调整。
安全被视为一个由三个相互关联阶段组成的持续循环:
- 评估 – 根据企业策略与合规目标评估安全需求并识别差距。
- 实施 – 应用预防性控制及默认安全配置,以减少人工操作并确保一致性。
- 检测与响应 – 持续监控、检测异常并应对风险,保持合规性与弹性。
IBM Cloud 平台主动、预防性的方法提供独特优势——让您的组织能够以信心、一致性和可扩展性保护混合云工作负载。
- 集中化的全面安全
所有安全控制均在所有地理位置可用,并与核心工作负载及其组件预先集成。 - 基于 AI 的智能安全自动化
预先集成的工具通过自动化、默认安全设置 以及基于 AI 的安全接入或管理,简化安全上流程。 - 全面整合的安全
提供广泛的一系列预先集成与整合的前沿安全能力,无论是原生提供还是通过 IBM Cloud 安全生态系统实现。
安全领域
- 基础安全
- 网络安全
- IAM
- 工作负载保护
- 数据安全与隐私
- 日志记录与监控
基础安全
构建安全系统始于强大的基础控制——身份、访问、数据保护和配置管理。IBM 安全平台提供云原生能力,强制执行最小权限、保护敏感数据,并支持跨云及混合环境的合规性。
- 安全与合规中心工作负载保护 (CNAPP):通过持续评估安全态势、识别风险以及在基础设施和工作负载间强制执行最佳实践配置,提供跨云及混合环境的统一可视性。
- 密钥保护(密钥管理服务 – BYOK & KYOK):提供集中化的加密密钥管理,以帮助保护敏感数据、强制执行合规性,并在跨云及混合环境中保持完全的密码学控制。
- 密钥管理器(由 HashiCorp Vault 提供支持):一项企业级密钥管理服务,可集中安全存储并自动轮换凭据和 API 密钥,最大限度降低因应用程序和环境中硬编码密钥带来的风险。
- 云身份与访问管理 (IAM):具有基于策略的最小权限访问控制的集中化身份治理。
网络安全
保护数字基础设施需要强大的网络控制,以防止未授权访问、数据泄露和网络威胁。IBM Cloud 安全平台提供云原生网络安全,帮助企业减少攻击面、拦截恶意流量,并在云环境和本地环境中保持一致的防护。
- 虚拟私有云 (VPC):用于安全分段和连接的隔离网络。
- 安全组与网络访问控制列表:工作负载级别的流量控制,仅允许授权的通信。
- 云互联网服务:托管式入口控制,通过 DDoS 缓解、Web 应用程序防火墙 (WAF)、速率限制和高级恶意机器人防御来保护面向互联网的资源。
- 防火墙:基于策略的集中式流量检查,防止未授权访问。
- 虚拟私有端点:无需公开暴露即可私有访问平台服务。
- 基于上下文的限制 (CBR):基于身份、位置和设备状态的上下文感知访问。
身份和访问管理 (IAM)
管理访问权限对于云安全至关重要。IBM Cloud IAM 解决方案提供集中治理、强身份验证和细粒度控制,以降低风险、执行最小权限并支持合规。
- 云身份与访问管理 (IAM):IBM Cloud 的统一 IAM 解决方案提供对企业身份和跨 IBM Cloud 服务及 SaaS 产品访问权限的集中管理,确保策略一致并符合监管要求。
- 基于上下文的限制 (CBR):通过基于上下文(如网络位置、终端类型或多因素认证级别)强制执行访问,增加一层额外的安全防护。CBR 与 IAM 策略协同工作,即使凭证泄露也能防止未授权访问,支持 IP 白名单、地理围栏和法规合规等场景。
- App ID(应用程序和 API 身份验证):轻松为 Web/移动应用程序、API 和 AI 驱动的智能体添加身份验证——无需管理身份基础设施——同时提供地理可用性、内置合规支持,以及多因素认证和单点登录等高级功能。
工作负载保护与应用安全
保护工作负载需要在开发和运行时环境中持续进行风险管理。IBM Cloud 安全平台提供集成保护、漏洞可见性以及符合 DevSecOps 理念的控制措施,帮助企业大规模地构建、部署和运行安全应用。
- 安全与合规中心工作负载保护 (CNAPP):通过识别云和混合环境中的漏洞、错误配置和威胁,持续评估构建阶段和运行时的工作负载安全。
- 持续交付:将安全集成到 CI/CD 流水线中,实现
自动策略执行和安全部署。
数据安全与隐私
在静态、传输和使用整个生命周期中保护敏感数据。IBM Cloud 安全平台提供加密、客户可控的密钥管理和高级隐私控制,以帮助企业满足数据主权要求,并在云和混合环境中保持信任。
- 密钥保护(密钥管理服务 - BYOK & KYOK):由硬件安全模块保护的客户可控加密密钥,实现完全的数据与密码所有权。
- 统一密钥编排器(多云端密钥编排):跨多个云端的集中式密钥管理。
- 机密计算虚拟化:通过隔离的工作负载和加密内存,保护使用中的数据。
- 量子安全密码学:面向未来的密码学,防范量子威胁。
- 密钥管理器:一项基于 HashiCorp Vault 的服务,用于安全存储、控制访问和轮换应用密钥与凭证。
日志记录与监控
实时监控对于检测异常、调查事件和保持合规至关重要。IBM Cloud 的可观测性和监控工具提供对云和混合运营的深度可见性,使团队能够持续加强安全,并主动应对新出现的威胁。
- 活动跟踪器:监控和跟踪云账户中的活动和事件。
- 云日志:集中式日志收集与分析,提升云环境的可见性、安全性和运营洞察。
- 云监控:通过实时指标和警报,监控应用与服务的健康状况和性能。
- IBM Cloud 虚拟私有云 (VPC) 流日志:支持收集、存储和展示进出您 VPC 内网络接口的互联网协议 (IP) 流量信息。
- 安全与合规中心工作负载保护 (CNAPP):通过识别云和混合环境中的漏洞、错误配置和威胁,持续评估构建阶段和运行时的工作负载安全。
- Z 安全与合规中心:为 IBM Z 和 LinuxONE 系统自动化收集、验证和报告合规数据。
针对政府及受监管行业,IBM 通过机密计算、数据驻留控制和主权云能力,支持 FedRAMP、GDPR 及行业特定标准。
在金融服务安全领域,IBM 帮助金融机构保护数字银行平台、防范欺诈并遵守 PCI DSS 和 FFIEC 等法规。
在医疗保健安全领域,IBM 为医疗组织提供工具以保护电子健康记录 (EHR)、管理身份并确保跨云环境的隐私。
资源
云安全在企业数字化转型过程中采用基于云的工具和服务时,保护其免受内外威胁。
了解如何降低数据泄露的风险与成本。
关于 IBM Cloud 对客户与合作伙伴支持《欧盟数字运营弹性法案》(DORA) 的白皮书。
了解如何在云中安全地开发、部署和管理您受监管的任务关键型企业工作负载。
合作伙伴生态系统
IBM Cloud 合作伙伴均通过 Partner Plus 计划严格评估,确保他们具备经过验证的技术专长、行业认证以及提供安全、可扩展云解决方案的良好记录。您可以信赖这些合作伙伴符合 IBM 在创新与合规方面的最高标准。
