Referencia de los certificados de seguridad
Puedes utilizar " Trust uploaded certificates and any certificates signed by a trusted authority o " Trust uploaded certificates en los siguientes métodos para conectar un asistente AI a un servicio externo especificado por un usuario:
- Extensiones personalizadas
- Habilidades de conversación
- Webhooks previos al mensaje, posteriores al mensaje y de registro
- Integraciones de búsqueda
Métodos para elegir la opción Certificados de seguridad
En el siguiente ejemplo, se analizan tres posibles opciones de certificado de seguridad con las que se puede lograr un equilibrio óptimo entre seguridad y comodidad para un asistente de IA con los siguientes detalles de conexión.
Considera un asistente de IA con las siguientes conexiones:
- Tres habilidades conversacionales, cada una de las cuales apunta a un servicio seguro diferente. Los tres servicios están firmados por la misma autoridad privada.
- Dos extensiones personalizadas, cada una de las cuales apunta a un servicio seguro cuyo certificado está firmado por la misma autoridad de confianza pública.
- Una integración de búsqueda que se conecta a una instancia de Elasticsearch con un certificado autofirmado (que es típico de las instancias de Elasticsearch en IBM Cloud).
- Un webhook de registro, que apunta a un servicio inseguro (con un archivo de configuración de la aplicación web ( URL ) que comienza con
http://en lugar dehttps://).
No se recomienda apuntar a un servicio inseguro y su asistente de IA no puede verificar la identidad de dicho servicio.
Método 1
- Crear un archivo PEM que contenga:
- El certificado de la autoridad privada que firmó los certificados de los tres servicios seguros que implementan las competencias conversacionales.
- El certificado autofirmado para la instancia de Elasticsearch.
- Seleccione
Trust uploaded certificates and any certificates signed by a trusted authority.
Análisis
- Opción más cómoda de usar.
- No necesitas ningún esfuerzo adicional para que las dos extensiones personalizadas funcionen porque los servicios a los que apuntan tienen certificados firmados por una autoridad de confianza pública.
- Sólo necesita un certificado para las tres habilidades conversacionales porque todas están firmadas por la misma autoridad y el certificado para esa autoridad se incluyó en el archivo PEM.
- Puede añadir conexiones adicionales a servicios cuyos certificados también estén firmados por la misma autoridad sin necesidad de actualizar el archivo PEM.
Método 2
- Crear un archivo PEM que contenga:
- El certificado de la autoridad privada que firmó los certificados de los tres servicios seguros que implementan las competencias conversacionales.
- El certificado de la autoridad de confianza pública que firmó los certificados de los dos servicios seguros que implementan las extensiones personalizadas.
- El certificado autofirmado para la instancia de Elasticsearch.
- Seleccione
Trust uploaded certificates.
Análisis
- Menos conveniente porque el archivo PEM requiere una entrada adicional para el certificado de autoridad de las extensiones personalizadas.
- Deberá actualizar el archivo PEM cuando en el futuro se añadan otros servicios firmados por autoridades de confianza pública.
- Ligeramente más seguro porque sólo depende de que la autoridad de confianza pública indicada sea segura en lugar de depender de que todas las autoridades de confianza pública sean seguras.
- La ligera ventaja de seguridad no es importante para la mayoría de los usuarios porque todas las autoridades de confianza pública son extremadamente seguras.
Método 3
- Crear un archivo PEM que contenga:
- Los seis certificados para los seis servicios seguros a los que se conecta el asistente de IA (tres para habilidades conversacionales, dos para extensiones personalizadas y uno para Elasticsearch).
- El certificado autofirmado para la instancia de Elasticsearch.
- Seleccione
Trust uploaded certificates.
Análisis
- Menos conveniente porque requiere más certificados en el archivo PEM.
- Requiere una actualización del archivo PEM para añadir llamadas de servicio adicionales.
- Ligeramente más seguro porque no asume que ninguna autoridad certificadora pública o privada sea segura.
- La seguridad adicional no es necesaria para la mayoría de los usuarios porque las autoridades certificadoras públicas son extremadamente seguras y la autoridad certificadora privada es controlada por usted y por lo tanto puede ser segura.
- Esta opción está disponible para quienes desean la mayor seguridad posible.
Su asistente AI no verifica el servicio log webhook en ninguno de los métodos mencionados porque el log webhook apunta a un servidor inseguro y la llamada a log webhook sigue funcionando. Pero los mensajes enviados desde y hacia el servicio carecen de cifrado, lo que los hace vulnerables a los ataques de impostores.
La mejor manera de abordar las vulnerabilidades:
- Haz que el servicio sea más seguro aplicando "
https. - Actualiza tu asistente de IA para que llame a ese punto final '
https'. - Actualiza el archivo PEM de tu asistente de IA, si es necesario.