IBM Software Hub 上的安全性

IBM® Software Hub 支持多种不同的机制来保护环境和数据。

快速链接

安全工程实践
Red Hat OpenShift Container Platform
认证和授权
加密
网络访问需求
使用允许列表来防止 SSRF 攻击
多租户与网络安全性
审计日志记录
合规
其他安全措施

安全工程实践

IBM Software Hub 遵循 IBM Security and Privacy by Design (SPbD)。 IBM Security and Privacy by Design (SPbD) 是一组重点突出的安全和隐私实践，其中包括漏洞管理、威胁建模、渗透测试、隐私评估、安全测试和补丁管理。

有关 IBM 安全工程框架 (SEF) 和 SPbD 的更多信息，请参阅下列资源：

Red Hat OpenShift Container Platform 上的基本安全功能

安全对每个企业都很重要，尤其是对政府，金融服务和医疗保健部门的组织而言。 Red Hat® OpenShift® Container Platform 提供了一组安全功能，用于通过强大的加密控制来保护敏感客户数据，并改进对应用程序和平台本身的访问控制的监督。

IBM Software Hub 通过创建服务帐户和角色来构建由 Red Hat OpenShift Container Platform 提供的安全功能，以便 IBM Software Hub pod 和用户具有所需的最低级别特权。 IBM Software Hub 还在 Red Hat OpenShift Container Platform 上进行了安全加固，并以安全且透明的方式安装。

Red Hat OpenShift Container Platform 使用安全上下文约束 (SCC) 来实施 pod 或容器的安全上下文。

大多数 IBM Software Hub 服务使用 restricted 或 restricted-v2 SCC。此 SCC 拒绝所有主机功能部件，并要求 pod 使用 UID (在名称空间中限定作用域的 SELinux 上下文) 运行。
某些 IBM Software Hub 服务需要定制 SCC。

IBM Software Hub 安装在 Red Hat OpenShift Container Platform 项目中。 IBM Software Hub 从安装软件的项目继承 SCC ， UID 范围和基于 SELinux的对进程，内存和文件系统的控制。

有关更多信息，请参阅 Red Hat OpenShift Container Platform。

认证和授权

缺省情况下， IBM Software Hub 用户记录存储在内部 LDAP 中。 IBM Software Hub 的初始设置使用内部 LDAP。但是，在设置 IBM Software Hub之后，建议您使用企业级密码管理解决方案 (例如 SAML SSO 或 LDAP 提供程序) 进行密码管理。

用户管理

有关更多信息，请参阅下列资源：

授权

IBM Software Hub 提供用户管理功能以授权用户。有关更多信息，请参阅管理用户。

令牌和 API 键

不记名令牌

用户登录到 IBM Software Hub时，平台会自动生成不记名令牌和 cookie。 cookie 标记用户会话。不记名令牌在平台中进行高速缓存，并根据空闲会话超时设置自动更新。当令牌到期或用户因不活动而注销时，将从高速缓存中除去不记名令牌。
IBM Software Hub 在模型部署详细信息中提供加密的不记名令牌，应用程序开发者可以使用该令牌通过 REST API 在线评估模型。令牌永不到期，并且仅限于与其关联的模型。

API 密钥

必须使用 API 密钥才能使用 IBM Software Hub API。有关更多信息，请参阅生成授权令牌或 API 密钥。
您可以使用 API 密钥向特定 IBM Software Hub实例进行认证。有关更多信息，请参阅平台 API 密钥。
您可以使用 API 密钥向特定服务实例进行认证。有关更多信息，请参阅实例 API 密钥

JWT 令牌

在内部， IBM Software Hub 使用 JSON Web 令牌 (JWT) 向以下对象进行认证:

服务

某些服务支持 JWT 认证。支持 JWT 令牌的服务可以使用 IBM Software Hub 凭证向服务进行认证。有关更多信息，请参阅：

数据源

某些数据源支持 JWT 认证。创建与支持 JWT 令牌的数据源的连接时，可以选择使用我的平台登录凭证选项以允许连接使用用户的 IBM Software Hub 凭证进行认证。

当用户使用其用户名和密码登录到 IBM Software Hub 时， IBM Software Hub 会向浏览器返回 JWT 令牌。令牌将转发到数据源。用户无需输入凭证即可访问数据源。

令牌将根据空闲会话超时设置到期。

您可以选择配置以下数据源以使用 JWT 认证:

HDFS via Execution Engine for Hadoop 连接
Hive via Execution Engine for Hadoop 连接
IBM"Cognos Analytics连接
IBM"Data Virtualization连接
IBM"Db2 Big SQL连接
IBM"Db2连接
IBM Db2 on Cloud 连接
IBM Db2 Warehouse 连接
存储卷连接

空闲 Web 客户机会话超时

您可以根据您的安全性和合规性要求，配置用户在其 Web 客户机会话到期之前可以处于空闲状态的时间长度。用户在 Web 浏览器中的会话处于空闲状态达到指定的时间长度时，该用户就会从 Web 客户机自动注销。您可以选择为具有管理平台许可权的用户设置较短的会话超时。有关更多信息，请参阅设置空闲会话超时。

并发会话限制

您可以指定 IBM Software Hub 用户可以拥有的最大并发会话数。每次用户登录到 IBM Software Hub时，都会创建一个会话。如果用户未从会话注销，那么他们可以结束多个并发会话。如果限制并发会话数，那么当用户达到限制时，将自动除去用户最旧的会话。有关更多信息，请参阅限制并发用户会话数

用于连接的共享凭证

缺省情况下，用户可以在创建连接时选择是使用共享凭证还是个人凭证。 (Web 客户机中的缺省选择是共享。) 但是，实例管理员可以关闭共享凭证以强制使用个人凭证。

通过共享凭证，有权访问连接的用户在访问连接时不会提示输入凭证; 因此，您无法确定谁访问了数据。如果必须遵守特定规定以确保安全和个人责任，管理员可以禁用共享凭证。

重要信息: 禁用共享凭证时，此设置仅影响新连接。现有连接将不受影响。

如果要阻止用户使用共享凭证创建连接，请先更改此设置，然后再授予用户对 IBM Software Hub的访问权。

加密

IBM Software Hub 支持保护静态和动态数据。

数据

通常，数据安全性由远程数据源管理。有关加密的更多信息，请参阅存储注意事项。

要确保安全地存储 IBM Software Hub 中的数据，可以对存储分区进行加密。有关更多信息，请参阅 Red Hat OpenShift Container Platform 文档中的在安装期间对磁盘进行加密和镜像 :

通信

您可以使用 TLS 或 SSL 来加密与 IBM Software Hub之间的通信。

如果您打算使用自己的 TLS 证书和私钥（均为 PEM 格式）来启用与 "IBM Software Hub的HTTPS连接，请使用以下命令。更多信息，请参阅使用自定义 TLS 证书 HTTPS 连接到平台。
最佳实践: 替换 Red Hat OpenShift Container Platform 入口控制器使用的缺省证书。有关更多信息，请参阅 Red Hat OpenShift Container Platform 文档中的设置定制缺省证书 :
您可以将同一证书用于入口控制器和 Web 客户机，也可以将另一个证书用于 IBM Software Hub 路由。
如果计划在 "IBM Db2连接或 "IBM Db2 Warehouse连接中使用 SSL，请在创建数据源连接时选择使用SSL选项。
重要：如果 "IBM Db2数据库使用自签名证书或由本地证书颁发机构签名的证书，请参阅：
- 设置使用 TLS 和 SSL 的 "Db2连接（IBM Cloud Pak for Data
- 设置使用 TLS 和 SSL 的Db2连接（IBM watsonx.ai和watsonx.governancegovernance）。
如果计划在 "Apache Kafka连接中使用 SSL，则需要
- 安装了认证中心 (CA) 证书的信任库。
- 具有密钥对的密钥库和 CA 签署的证书。

此外，建议您从端口 443 上的 Red Hat OpenShift Container Platform HAProxy 路由器禁用 TLS 1.0 和 TLS 1.1 。更多信息，请参阅在 HAproxy 路由器中禁用 TLS1.0 和 TLS1.1。

FIPS

IBM Software Hub 支持符合 FIPS (联邦信息处理标准) 的加密。有关更多信息，请参阅：

网络访问需求

要确保与 IBM Software Hub 集群之间的网络流量的安全传输，您需要配置 IBM Software Hub 集群所使用的通信端口。

主端口

主端口是 Red Hat OpenShift 路由器公开的内容。有关更多信息，请参阅 Red Hat OpenShift Container Platform 文档中的配置 Ingress Controller :

服务的通信端口

在 IBM Software Hub 集群上供应新服务或集成时，这些服务可能需要从集群外部建立连接。

更多信息，请参阅确保通信端口安全。

DNS 服务名称

当您安装 "IBM Software Hub"control plane时，安装会指向默认的 "Red Hat OpenShiftDNS 服务名。如果您的 "OpenShift群集配置为使用 DNS 服务的自定义名称，则群集管理员或实例管理员必须更新 DNS 服务名称，以防止出现性能问题。

网络策略

您可以使用网络策略来隔离集群上的软件。缺省情况下，项目中的所有 pod 都可以由其他 pod 和网络端点访问。实例管理员可以创建网络策略，以指定 pod 将允许入局连接的 pod 和网络端点。某些 IBM Software Hub 服务会自动创建防御网络策略。有关更多信息，请参阅单个服务实施的网络策略。

使用允许列表来防止 SSRF 攻击

在服务器端请求伪造 (SSRF) 攻击中，攻击者可以从易受攻击的服务器创建请求。通常，当应用程序接受来自有权访问服务器的用户的 URL ， IP 地址或域名时，会发生此情况。攻击者可以使用此漏洞注入具有端口详细信息或内部 IP 地址的 URL ，然后观察内部网络或使应用程序能够处理恶意代码。

避免 SSRF 攻击的最有力方法是为应用程序需要访问的 DNS 名称或 IP 地址设置允许列表。或者，如果使用阻止列表，那么正确验证用户输入很重要。例如，不允许对专用 (不可路由) IP 地址的请求。

多租户与网络安全性

要有效使用基础结构并减少运营费用，您可以在单个 Red Hat OpenShift Container Platform 集群上以多租户方式运行 IBM Software Hub ，同时仍可维护安全性，合规性和独立操作性。

多租户集群中的安全性基于:

设置网络策略以隔离每个 IBM Software Hub
设置 OpenShift 项目（命名空间），以符合 "最小权限原则 "。

最佳实践: 使用组来标识与特定 IBM Software Hub实例相关联的项目。您可以在创建网络策略时使用组。有关更多信息，请参阅最佳实践: 创建组以在多租户环境中管理项目。

审计日志记录

审计日志记录提供了责任、可跟踪性及合规性。可以将数据的 IBM Software Hub 配置为将可审计事件转发到多个安全信息和事件管理 (SIEM) 解决方案。更多信息，请参阅审计 IBM Software Hub。

合规

评估 IBM Software Hub 以了解各种隐私和合规性法规。 IBM Software Hub 提供了可供客户用于准备各种隐私和合规性评估的功能。这些功能并非详尽列表。很难组装如此详尽的功能列表，因为客户可以通过多种方式选择和配置功能。此外，可以通过各种方式将 IBM Software Hub 用作独立产品或与第三方应用程序和系统配合使用。

除技术级别 (例如，编码，数据类型和大小) 外， IBM Software Hub 不知道它正在处理的数据的性质。因此， IBM Software Hub 永远无法识别是否存在或缺少个人数据。客户必须跟踪 IBM Software Hub所使用的数据中是否存在个人信息。

更多信息，请参阅 " IBM Software Hub符合哪些规定？

其他安全措施

要保护 IBM Software Hub 实例，请考虑以下最佳实践。

网络隔离

最佳实践是使用网络策略来隔离部署了 IBM Software Hub 的 Red Hat OpenShift 项目 (名称空间)。请确保只有相应的服务可以在项目外部或集群外部访问。

有关更多信息，请参阅 Red Hat OpenShift 文档中的以下信息:

关于网络
关于网络策略

设置弹性负载均衡器

要过滤掉不需要的网络流量（例如，防止分布式拒绝服务 (DDoS) 攻击），请使用仅接受完全 HTTP 连接的弹性负载均衡器。使用配置了HTTP配置文件的弹性负载平衡器检查数据包，只将完整的HTTP请求转发到 "IBM Software Hub网络服务器。