Cloud Pak for Data 上的安全性

重要信息： IBM Cloud Pak® for Data 4.7 版本将于 2025 年 7 月 31 日结束支持 (EOS)。欲了解更多信息，请参阅 IBM Cloud Pak for Data 版本 4.X 的停止服务公告。

在 IBM Cloud Pak for Data 4.7 版本支持结束之前，升级到 IBM Software Hub 5.1 版本。更多信息，请参阅 IBM Software Hub 版本 5.1 文档中的升级 IBM Software Hub。

IBM Cloud Pak for Data 支持多种不同的机制来保护环境和数据。

安全工程实践

Cloud Pak for Data 遵循 IBM Security and Privacy by Design (SPbD)。 IBM Security and Privacy by Design (SPbD) 是一组重点突出的安全和隐私实践，其中包括漏洞管理、威胁建模、渗透测试、隐私评估、安全测试和补丁管理。

有关 IBM 安全工程框架 (SEF) 和 SPbD 的更多信息，请参阅下列资源：

Red Hat OpenShift Container Platform 上的基本安全功能

安全对每个企业都很重要，尤其是对政府，金融服务和医疗保健部门的组织而言。 Red Hat® OpenShift® Container Platform 提供了一组安全功能，用于通过强大的加密控制来保护敏感客户数据，并改进对应用程序和平台本身的访问控制的监督。

Cloud Pak for Data 通过创建服务帐户和角色来构建由 Red Hat OpenShift Container Platform 提供的安全功能，以便 Cloud Pak for Data pod 和用户具有所需的最低级别特权。 Cloud Pak for Data 还在 Red Hat OpenShift Container Platform 上进行了安全加固，并以安全且透明的方式安装。

Red Hat OpenShift Container Platform 使用安全上下文约束 (SCC) 来实施 pod 或容器的安全上下文。

大多数 Cloud Pak for Data 服务使用 restricted 或 restricted-v2 SCC。此 SCC 拒绝所有主机功能部件，并要求 pod 使用 UID (在名称空间中限定作用域的 SELinux 上下文) 运行。
某些 Cloud Pak for Data 服务需要定制 SCC。

Cloud Pak for Data 安装在 Red Hat OpenShift Container Platform 项目中。 Cloud Pak for Data 从安装软件的项目继承 SCC ， UID 范围和基于 SELinux的对进程，内存和文件系统的控制。

更多信息，请参阅 Red Hat OpenShift Container Platform 上的基本安全功能。

认证和授权

缺省情况下， Cloud Pak for Data 用户记录存储在内部 LDAP 中。 Cloud Pak for Data 的初始设置使用内部 LDAP。但是，在设置 Cloud Pak for Data之后，建议您使用企业级密码管理解决方案 (例如 SAML SSO 或 LDAP 提供程序) 进行密码管理。

用户管理

有关更多信息，请参阅下列资源：

授权

Cloud Pak for Data 提供用户管理功能以授权用户。有关更多信息，请参阅管理用户。

令牌和 API 键

不记名令牌

用户登录到 Cloud Pak for Data时，平台会自动生成不记名令牌和 cookie。 cookie 标记用户会话。不记名令牌在平台中进行高速缓存，并根据空闲会话超时设置自动更新。当令牌到期或用户因不活动而注销时，将从高速缓存中除去不记名令牌。
Cloud Pak for Data 在模型部署详细信息中提供加密的不记名令牌，应用程序开发者可以使用该令牌通过 REST API 在线评估模型。令牌永不到期，并且仅限于与其关联的模型。

API 密钥

必须使用 API 密钥才能使用 Cloud Pak for Data API。有关更多信息，请参阅生成授权令牌或 API 密钥。
您可以使用 API 密钥向特定 Cloud Pak for Data实例进行认证。有关更多信息，请参阅平台 API 密钥。
您可以使用 API 密钥向特定服务实例进行认证。有关更多信息，请参阅实例 API 密钥

JWT 令牌

在内部， Cloud Pak for Data 使用 JSON Web 令牌 (JWT) 向以下对象进行认证:

服务

某些服务支持 JWT 认证。支持 JWT 令牌的服务可以使用 Cloud Pak for Data 凭证向服务进行认证。有关更多信息，请参阅：

数据源

某些数据源支持 JWT 认证。创建与支持 JWT 令牌的数据源的连接时，可以选择使用我的平台登录凭证选项以允许连接使用用户的 Cloud Pak for Data 凭证进行认证。

当用户使用其用户名和密码登录到 Cloud Pak for Data 时， Cloud Pak for Data 会向浏览器返回 JWT 令牌。令牌将转发到数据源。用户无需输入凭证即可访问数据源。

令牌将根据空闲会话超时设置到期。

您可以选择配置以下数据源以使用 JWT 认证:

空闲 Web 客户机会话超时

您可以根据您的安全性和合规性要求，配置用户在其 Web 客户机会话到期之前可以处于空闲状态的时间长度。用户在 Web 浏览器中的会话处于空闲状态达到指定的时间长度时，该用户就会从 Web 客户机自动注销。您可以选择为具有管理平台许可权的用户设置较短的会话超时。有关更多信息，请参阅设置空闲会话超时。

并发会话限制

您可以指定 Cloud Pak for Data 用户可以拥有的最大并发会话数。每次用户登录到 Cloud Pak for Data时，都会创建一个会话。如果用户未从会话注销，那么他们可以结束多个并发会话。如果限制并发会话数，那么当用户达到限制时，将自动除去用户最旧的会话。有关更多信息，请参阅限制并发用户会话数

用于连接的共享凭证

缺省情况下，用户可以在创建连接时选择是使用共享凭证还是个人凭证。 (Web 客户机中的缺省选择是共享。) 但是，实例管理员可以关闭共享凭证以强制使用个人凭证。

通过共享凭证，有权访问连接的用户在访问连接时不会提示输入凭证; 因此，您无法确定谁访问了数据。如果必须遵守特定规定以确保安全和个人责任，管理员可以禁用共享凭证。

重要信息: 禁用共享凭证时，此设置仅影响新连接。现有连接将不受影响。

如果要阻止用户使用共享凭证创建连接，请先更改此设置，然后再授予用户对 Cloud Pak for Data的访问权。

加密

Cloud Pak for Data 支持保护静态和动态数据。

数据

通常，数据安全性由远程数据源管理。有关加密的更多信息，请参阅存储注意事项。

要确保安全地存储 Cloud Pak for Data 中的数据，可以对存储分区进行加密。有关更多信息，请参阅 Red Hat OpenShift Container Platform 文档中的在安装期间对磁盘进行加密和镜像 :

通信

您可以使用 TLS 或 SSL 来加密与 Cloud Pak for Data之间的通信。

如果您打算使用自己的 TLS 证书和私钥（均为 PEM 格式）启用 HTTPS 连接到 Cloud Pak for Data 。更多信息，请参阅使用自定义 TLS 证书 HTTPS 连接到平台。
最佳实践: 替换 Red Hat OpenShift Container Platform 入口控制器使用的缺省证书。有关更多信息，请参阅 Red Hat OpenShift Container Platform 文档中的设置定制缺省证书 :
- 版本 4.10
- 版本 4.12
您可以将同一证书用于入口控制器和 Web 客户机，也可以将另一个证书用于 Cloud Pak for Data 路由。
如果计划将 SSL 用于 IBM® Db2 连接或 IBM Db2 Warehouse 连接，请在创建与数据源的连接时选择使用 SSL 选项。
重要信息: 如果 IBM Db2 数据库使用自签名证书或由本地认证中心签署的证书，请参阅设置使用 TLS 和 SSL 的 Db2 连接
如果计划将 SSL 用于 Apache Kafka 连接，那么需要:
- 安装了认证中心 (CA) 证书的信任库。
- 具有密钥对的密钥库和 CA 签署的证书。

此外，建议您从端口 443 上的 Red Hat OpenShift Container Platform HAProxy 路由器禁用 TLS 1.0 和 TLS 1.1 。更多信息，请参阅在 HAproxy 路由器中禁用 TLS1.0 和 TLS1.1。

FIPS

Cloud Pak for Data 支持符合 FIPS (联邦信息处理标准) 的加密。有关更多信息，请参阅：

网络访问需求

要确保与 Cloud Pak for Data 集群之间的网络流量的安全传输，您需要配置 Cloud Pak for Data 集群所使用的通信端口。

主端口: 主端口是 Red Hat OpenShift 路由器公开的内容。
服务的通信端口: 在 Cloud Pak for Data 集群上供应新服务或集成时，这些服务可能需要从集群外部建立连接。; 更多信息，请参阅确保通信端口安全。
DNS 服务名称: 安装 Cloud Pak for Data control plane 控制平面时，安装指向缺省 Red Hat OpenShift DNS 服务名称。如果 OpenShift 集群配置为使用 DNS 服务的定制名称，那么集群管理员或实例管理员必须更新 DNS 服务名称以防止发生性能问题。
网络策略: 您可以使用网络策略来隔离集群上的软件。缺省情况下，项目中的所有 pod 都可以由其他 pod 和网络端点访问。项目管理员可以创建网络策略，以指定 pod 将允许入局连接的 pod 和网络端点。某些 Cloud Pak for Data 服务会自动创建防御网络策略。有关更多信息，请参阅单个服务实施的网络策略。

多租户与网络安全性

要有效使用基础结构并减少运营费用，您可以在单个 Red Hat OpenShift Container Platform 集群上以多租户方式运行 Cloud Pak for Data ，同时仍可维护安全性，合规性和独立操作性。

多租户集群中的安全性基于:

设置网络策略以隔离每个 Cloud Pak for Data
设置 OpenShift 项目（命名空间），以符合 "最小权限原则 "。

最佳实践: 使用组来标识与特定 Cloud Pak for Data实例相关联的项目。您可以在创建网络策略时使用组。有关更多信息，请参阅最佳实践: 创建组以在多租户环境中管理项目。

审计日志记录

审计日志记录提供了责任、可跟踪性及合规性。可以将数据的 Cloud Pak for Data 配置为将可审计事件转发到多个安全信息和事件管理 (SIEM) 解决方案。更多信息，请参阅审核 Cloud Pak for Data。

法规一致性

评估 Cloud Pak for Data 以了解各种隐私和合规性法规。 Cloud Pak for Data 提供了可供客户用于准备各种隐私和合规性评估的功能。这些功能并非详尽列表。很难组装如此详尽的功能列表，因为客户可以通过多种方式选择和配置功能。此外，可以通过各种方式将 Cloud Pak for Data 用作独立产品或与第三方应用程序和系统配合使用。

除技术级别 (例如，编码，数据类型和大小) 外， Cloud Pak for Data 不知道它正在处理的数据的性质。因此， Cloud Pak for Data 永远无法识别是否存在或缺少个人数据。客户必须跟踪 Cloud Pak for Data所使用的数据中是否存在个人信息。

有关更多信息，请参阅 Cloud Pak for Data 符合哪些法规?

其他安全措施

要保护 Cloud Pak for Data 实例，请考虑以下最佳实践。

网络隔离: 最佳实践是使用网络隔离来隔离部署了 Cloud Pak for Data 的 Red Hat OpenShift 项目 (Kubernetes 名称空间)。接着，必须确保在名称空间之外或集群之外只能访问相应的服务。
设置弹性负载均衡器: 要过滤掉不需要的网络流量（例如，防止分布式拒绝服务 (DDoS) 攻击），请使用仅接受完全 HTTP 连接的弹性负载均衡器。使用配置了 HTTP 配置文件的弹性负载平衡器检查数据包，只将完整的 HTTP 请求转发到 Cloud Pak for Data 网络服务器。