如何保护元数据

在 IBM® Cloud 数据中心为您的 IBM Storage Insights 服务收集、交付和存储的元数据提供端到端保护。 This protection includes meeting the requirements of the General Data Protection Regulation (GDPR).

云中的元数据收集、交付和存储

为了将元数据转换为洞察力并在 IBM Storage Insights 中展示,数据收集器/呼叫中心将元数据包转发到 IBM Cloud 数据中心(位于达拉斯)进行分析和存储。

受保护的元数据

为了保证元数据包在云端传输过程中的安全,数据收集器/呼叫中心使用超文本传输协议安全版( HTTPS )对元数据进行加密,并通过安全通道将元数据包发送到 IBM Cloud 数据中心。

在逆向代理网关上

在网关或反向代理网关,元数据包会收到将数据包交付给 IBM Storage Insights 服务的指令。 只有与服务关联的数据收集器才能收集和交付有关存储环境的元数据。

交付元数据包后,将对元数据进行解密、分析和存储。

从数据中心到因特网

HTTPS 连接用于压缩和加密收集到的有关存储系统的元数据,并将其发送到 数据中心。 IBM Cloud

注册后,您将获得 IBM Storage Insights 服务的主机名和端口号。 为了确保数据收集器和 IBM Storage Insights 之间在定义明确的安全网络端点 https://insights.ibm.com:443 上的出站通信安全,使用了安全套接字层 (SSL) 证书。 HTTPS 连接使用 Trust Services 签发的证书,并使用带有 256 字节密钥的 TLS 和 TLS。 Google 1.2 1.3

要发送元数据,请针对防火墙完成以下任务:
  • 更新防火墙规则以允许使用传输控制协议(TCP)在缺省 HTTPS 端口 443 上进行出站通信。 不支持用户数据报协议 (UDP)。
  • 更新防火墙规则以允许与以下网络端点进行出站通信:https://insights.ibm.com。 如果将代理服务器与单独的防火墙配合使用,请确保同时更新其规则。
提示: Web 浏览器会话的安全性也很重要。 为了保护您的会话,您将在 2 小时 30 分钟的不活动后自动注销。 为了在扩展使用期间获得更多安全性,活动登录会话的持续时间限制为大约 8 小时。 当您注销时,您可以再次登录,并在您离开的位置右拾起。

在 IBM Cloud 数据中心

IBM Storage Insights托管在IBM Cloud数据中心,这些数据中心符合较高的物理、技术和组织安全标准。

密钥安全性

IBM Storage Insights 的每个实例都使用专用于该实例并受密码保护的本地密钥存储。 在创建实例时随机生成密钥库的密码。 密钥库中的证书对于每个实例都是唯一的,并且密钥库密码已加密。 (加密不包括硬件加密。) 主密码在 IBM Cloud® 中安全位置的服务有效载荷配置中加密保存。

只有一个外部客户密钥,即 DigiCert 认证的公用密钥。 作为 TLS 握手和证书交换的一部分,客户端(Web 浏览器)使用签名证书来验证它是否在与 IBM Storage Insights 网关 IBM Cloud 进行通信,以及通信是否被篡改。 对于内部流量,每个客户的 IBM Storage Insights 实例都有一个唯一的密钥,该密钥由唯一的加密密码保护,并由 IBM 自行签名,以验证通信是在客户和客户实例之间进行的。
密钥轮换: 创建实例时以及升级实例时,将创建新的主密钥并将其添加到密钥库。 实例至少每三个月升级一次,这会产生不少于 90 天的隐式密钥轮换。 DigiCert 认证的公用密钥每 2 年更新一次。

这将为 IBM Storage Insights 的每个实例带来端到端的隐私和加密。

物理保护

对数据中心进行严格控制,并提供全天候现场安保。 仅限经过认证的员工访问服务器房间,并且由第三方人员审核安全性控制。

请参阅 https://www.ibm.com/cloud-computing/bluemix/data-centershttps://www.ibm.com/cloud/security

技术安全性

IBM Storage Insights 采用多租户 SaaS 架构。 多个 SaaS实例或租户由单一的多租户应用程序托管,该应用程序跨越许多共享服务器和服务的资源。 即使任何两个租户可以共享公共资源,但每个租户都看不到其他租户的数据,更不用说知道存在其他租户了。

在这种多租户 SaaS 架构中,IBM Storage Insights 使用了一种名为 "容器 "的虚拟化技术。 如果您熟悉 Docker,那么容器就是其背后的技术。 生成的容器仅由应用程序和非常小的依赖关系开销组成。 容器内的应用程序由基于功能区域的多个独立微服务组成。 例如,有一个微服务用于 Web 服务器,另一个用于处理性能数据。 各种微服务应用程序的所有容器集合构成了整个多租户 IBM Storage Insights 服务器。

为了跟踪所有 IBM Storage Insights 容器,Kubernetes 被用作容器管理工具。 Kubernetes将容器组织成 pod,部署在群集的节点上。 每个 IBM Storage Insights 租户都在 Kubernetes 集群中进行了容器化,从而实现了可扩展性、高可用性和容灾性。 Kubernetes 群集使用企业级 IBM Cloud 安全性,为 IBM Storage Insights 容器和服务提供最佳通信和更低的前端延迟。 此外,后端存储和 SAN 资源使用相同的企业级 IBM Cloud安全性。

日常使用以下安全软件和服务:
  • 众罢工 EDR 和众罢工防止防范恶意软件
  • IBM SOS ® 可满足安全和法规要求
  • IBM Security QRadar® SIEM ,用于存储和监视系统和应用程序日志

有关 IBM Cloud的合规性和认证的更多信息,请参阅 https://cloud.ibm.com/docs/overview?topic=overview-security

数据库安全

IBM Storage Insights 使用基于 Apache Cassandra 构建的 IBM Cloud 数据库。 它旨在为具有高可用性和大规模可扩展性的实时应用提供支持。 其NoSQL工作负载与IBM Cloud原生集成,可提供流畅、安全的体验。 Cassandra数据库可防止未经授权的访问,提供数据弹性,通过了 SOC/ISO 认证,并符合 GDPR/HIPAA/PCI DSS 标准。

有关 Cassandra的合规性和认证的更多信息,请参阅 https://cloud.ibm.com/docs/databases-for-cassandra?topic=databases-for-cassandra-security-compliance

组织安全性
IBM Storage Insights 的基础架构和实例的访问是受控的:
  • 通过将访问限制为 DevOps 团队和云服务基础架构团队(获取特权用户资格)的成员。
  • 通过在源代码级别和正在运行的实例上执行定期系统运行状况和漏洞扫描。
  • 通过执行定期渗透测试。 外部公司执行渗透测试。
GDPR: IBM Storage Insights 符合欧盟《通用数据保护条例》(GDPR)的要求。 有关 IBM 隐私政策的其他信息,请访问 https://www.ibm.com/privacy/us/en/