網路安全
IBM watsonx 提供網路安全機制,以保護基礎架構、資料及應用程式免受潛在威脅及未獲授權存取。 網路安全機制提供資料來源的安全連線,並控制公用網際網路及內部網路之間的資料流量。
| 機制 | 目的 | 職責 | 配置於 |
|---|---|---|---|
| 專用網路服務端點 | 透過安全的專用網路端點存取服務 | 客戶 | IBM Cloud |
| 存取專用資料來源 | 連接至受防火牆保護的資料來源 | 客戶 | IBM watsonx |
| 整合 | 透過防火牆保護協力廠商雲端的連線 | 客戶及協力廠商雲端 | IBM watsonx |
| 連線 | 保護資料來源的連線 | 客戶 | IBM watsonx |
| 受防火牆保護的資料連線 | Satellite 連接器及 Satellite 位置提供混合式環境中資料來源的安全連線 | 客戶 | IBM Cloud 和 IBM watsonx |
| VPN | 在公用網路間安全共用資料 | 客戶 | IBM Cloud |
| 容許特定的 IP 位址 | 防止不明 IP 位址存取 | 客戶 | IBM Cloud |
| 容許協力廠商 URL | 容許內部網路上的協力廠商 URL | 客戶 | 客戶防火牆 |
| 多租戶 | 在 SaaS 環境中提供隔離 | IBM 及協力廠商雲端 | IBM Cloud、雲端提供者 |
專用網路服務端點
使用專用網路服務端點可透過 IBM 專用雲端安全連接至端點,而非透過公用網路連接至資源。 使用專用網路服務端點,不再在可透過網際網路進行路由的 IP 位址上提供服務,因此更加安全。 服務端點需要您的帳戶上啟用虛擬路由和轉遞 (VRF)。 Virtual Private Cloud (VPC) 會自動啟用 VRF。
如需服務端點的相關資訊,請參閱:
存取專用資料來源
專用資料來源是受防火牆保護的內部部署資料來源。 IBM watsonx 需要透過防火牆存取才能存取資料來源。 若要提供安全存取,您可以建立入埠防火牆規則,以容許存取 IBM watsonx的 IP 位址範圍。 入埠規則是在防火牆的配置工具中建立。
請參閱 配置防火牆存取權
整合
您可以配置與協力廠商雲端平台的整合,以容許 IBM watsonx 使用者存取在那些雲端上管理的資料來源。 下列安全機制適用於與協力廠商雲端的整合:
- 協力廠商雲端上的授權帳戶,具有檢視帳戶認證的適當許可權
- 容許透過雲端提供者的防火牆進行安全連線的許可權(適用於特定 IP 範圍)
例如,您在執行 Notebook 的 AWS 上有資料來源。 您需要與 AWS 整合,然後產生與資料庫的連線。 整合及連線都是安全的。 配置防火牆存取權之後,您可以向使用者授與適當的權限並為其提供認證來存取資料。
請參閱與其他雲端平台整合
連線
連線需要有效認證來存取資料。 帳戶擁有者或管理者需在帳戶層次配置所需的認證類型(共用或個人)。 共用認證讓專案中的所有合作人員皆可存取資料來源及其認證。 個人認證需要每位合作人員都提供其自己的認證來使用資料來源。
連線需要有效認證來存取資料。 帳戶擁有者或管理者會配置帳戶層次所需的認證類型。 連線建立者輸入有效的認證。 選項有:
- 共用或個人 可讓使用者在建立新連線時指定個人或共用認證,方法是選取圓鈕並輸入正確的認證。
- 個人 認證需要每一個合作人員提供自己的認證,才能使用資料來源。
- 共用 認證可讓專案中的所有合作人員存取資料來源及其認證。 使用者輸入由連線建立者建立的一般認證。
如需連線的相關資訊,請參閱:
防火牆後面的資料連線
安全連線可在混合式雲端部署中的資源之間提供安全通訊,其中部分資源可能位於防火牆後面。 對於環境與雲端之間的安全連線,您有下列選項:
Satellite 連接器
Satellite 連接器使用輕量型 Docker型通訊,可建立從內部部署、雲端或 Edge 環境回到 IBM Cloud的安全且可審核的通訊。 您的基礎架構只需要容器主機,例如 Docker。 如需相關資訊,請參閱 Satellite 連接器概觀。
如需配置 Satellite 連接器的指示,請參閱 連接至受防火牆保護的資料 。
Satellite 連接器取代已淘汰的 Secure Gateway。 如需 Secure Gateway 淘汰公告,請參閱 IBM Cloud 文件: Secure Gateway 淘汰概觀
Satellite 位置
Satellite 位置提供與 Satellite 連接器相同的 IBM Cloud 安全通訊,但依預設會新增高可用性存取權,以及從 IBM Cloud 與內部部署位置進行通訊的能力。 Satellite 位置在 HA 控制平面的基礎架構中需要至少三部 x86 主機。 Satellite 位置是 Satellite 連接器功能的超集。 如果您只需要用戶端資料通訊,請設定 Satellite 連接器。
如需配置 Satellite 位置的相關指示,請參閱 連接至受防火牆保護的資料 。
VPN
「虛擬專用網路 (VPN)」會使用通道作業通訊協定以及加密和專用連線來建立虛擬點對點連線。 它們提供了跨公用網路共用資料的安全方法。
以下是 IBM Cloud上的 VPN 技術:
IPSec VPN:VPN 可協助從安全網路到 IBM IaaS 平台的私密網路的連線。 帳戶上的任何使用者都可以取得 VPN 存取權。
VPN for VPC:使用 Virtual Private Cloud (VPC),您可以為具有高網路效能的 VPC 供應第二代虛擬伺服器實例。
Secure Gateway 淘汰公告提供使用 VPN 作為替代方案的資訊及實務範例。 請參閱 IBM Cloud 文件: 移轉選項。
容許特定的 IP 位址
使用此機制來控制對 IBM 雲端主控台及 IBM watsonx的存取權。 僅容許從指定的 IP 位址進行存取;拒絕從所有其他 IP 位址進行存取。 您可以針對個別使用者或帳戶指定容許的 IP 位址。
針對 Watson Studio 容許特定的 IP 位址時,您必須在每個區域中包含 Watson Studio 節點的 CIDR 範圍(以及容許的個別用戶端系統 IP)。 您可以遵循下列步驟,在 IBM watsonx 中包括 CIDR 範圍:
- 從主功能表中,選擇 管理> 雲端整合。
- 按一下防火牆配置,以顯示現行區域的 IP 位址。 使用 CIDR 表示法。
- 將每個 CIDR 範圍複製到使用者或帳戶的 IP 位址限制中。 同時務必輸入容許的個別用戶端 IP 位址。 輸入以逗點區隔的 IP 位址清單。 然後,按一下 套用。
- 針對容許存取 Watson Studio 的每個區域重複這些步驟。
如需使用者及帳戶限制的逐步指示,請參閱 IBM Cloud 文件:容許特定的 IP 位址
容許內部網路上的協力廠商 URL
如果您在防火牆後面執行 IBM watsonx ,則必須將協力廠商 URL 列入允許清單,以提供出埠瀏覽器存取權。 URL 包括來自 IBM Cloud 及其他網域的資源。 IBM watsonx 需要這些網域的存取權,才能透過防火牆進行出埠瀏覽器資料流量。
此清單僅提供核心 IBM watsonx 功能的存取權。 特定服務可能需要其他 URL。 清單未涵蓋 IBM Cloud 主控台及其出埠要求所需的 URL。
| 領域 | 說明 |
|---|---|
| *.bluemix.net | IBM 舊式雲端網域-仍在部分流程中使用 |
| *.appdomain.cloud | IBM Cloud 應用程式網域 |
| cloud.ibm.com | IBM Cloud 廣域網域 |
| *.cloud.ibm.com | 各種 IBM Cloud 子網域 |
| dataplatform.cloud.ibm.com | IBM watsonx 達拉斯地區 |
| *.dataplatform.cloud.ibm.com | CIBM watsonx 子網域 |
| eum.instana.io | Instana 用戶端檢測 |
| eum-orange-saas.instana.io | Instana 用戶端檢測 |
| cdnjs.cloudflare.com | 部分靜態資源的 Cloudflare CDN |
| nebula-cdn.kampyle.com | Medallia NPS |
| resources.digital-cloud-ibm.medallia.eu | Medallia NPS |
| udc-neb.kampyle.com | Medallia NPS |
| ubt.digital-cloud-ibm.medallia.eu | Medallia NPS |
| cdn.segment.com | 區段 JS |
| api.segment.io | 區段 API |
| cdn.walkme.com | WalkMe 靜態資源 |
| papi.walkme.com | WalkMe API |
| ec.walkme.com | WalkMe API |
| playerserver.walkme.com | WalkMe 播放程式伺服器 |
| s3.walkmeusercontent.com | WalkMe 靜態資源 |
多租戶
IBM watsonx 在 IBM Cloud上作為安全且合規的多租戶解決方案進行管理。 請參閱多租戶
上層主題: 安全