Vorgehensweise zum Schützen von Metadaten

Die Metadaten, die für Ihren IBM Storage Insights Service im IBM® Cloud Rechenzentrum erfasst, bereitgestellt und gespeichert werden, sind durchgängig geschützt. Dieser Schutz umfasst die Erfüllung der Anforderungen der Datenschutzgrundverordnung (DSGVO).

Metadatenerfassung, -bereitstellung und -speicherung in der Cloud

Um die Metadaten in Erkenntnisse umzuwandeln und sie in IBM Storage Insights zu präsentieren, leitet der Datensammler / Call Home die Metadatenpakete zur Analyse und Speicherung an das IBM Cloud-Rechenzentrum (mit Sitz in Dallas) weiter.

Damit das Metadatenpaket auf seinem Weg in die Cloud sicher ist, verwendet der Datensammler / Call Home das Hypertext Transfer Protocol Secure ( HTTPS ), das die Metadaten verschlüsselt und das Metadatenpaket über einen sicheren Kanal an das Datenzentrum IBM Cloud sendet.

Am Gateway oder Reverse-Proxy-Gateway erhält das Metadatenpaket Anweisungen zur Übermittlung des Pakets an Ihren IBM Storage Insights-Dienst. Nur Datenkollektoren, die Ihrem Service zugeordnet sind, können Metadaten zu Ihrer Speicherumgebung erfassen und bereitstellen.

Wenn das Metadatenpaket bereitgestellt wird, werden die Metadaten entschlüsselt, analysiert und gespeichert.

Vom Rechenzentrum ins Internet

HTTPS verbindungen werden verwendet, um die Metadaten zu komprimieren und zu verschlüsseln, die über Ihre Speichersysteme gesammelt und an das Rechenzentrum IBM Cloud gesendet werden.

Nachdem Sie sich angemeldet haben, erhalten Sie einen Hostnamen und eine Portnummer für Ihren IBM Storage Insights-Dienst. Zur Sicherung der ausgehenden Kommunikation zwischen dem Datensammler und IBM Storage Insights am genau definierten und sicheren Netzwerkendpunkt https://insights.ibm.com:443 wird ein Secure Sockets Layer (SSL)-Zertifikat verwendet. HTTPS verbindungen verwenden Zertifikate, die von Google Trust Services ausgestellt wurden, und verwenden TLS 1.2 und TLS 1.3 mit 256-Byte-Schlüsseln.

Führen Sie die folgenden Tasks für Ihre Firewall aus, um die Metadaten zu senden:

Aktualisieren Sie Ihre Firewallregeln, um die abgehende Kommunikation am HTTPS-Standardport 443 über TCP (Transmission Control Protocol) zuzulassen. UDP (User Datagram Protocol) wird nicht unterstützt.
Aktualisieren Sie Ihre Firewallregeln, um die abgehende Kommunikation mit dem folgenden Netzendpunkt zuzulassen: https://insights.ibm.com. Wenn Sie einen Proxy-Server mit einer separaten Firewall verwenden, müssen Sie auch die zugehörigen Regeln aktualisieren.

Tipp : Die Sicherheit Ihrer Web-Browser-Sitzung ist ebenfalls wichtig. Um Ihre Sitzung zu schützen, werden Sie nach 2 Stunden 30 Minuten Inaktivität automatisch abgemeldet. Für mehr Sicherheit während der erweiterten Nutzung ist die Dauer einer aktiven Anmeldesitzung auf ca. 8 Stunden begrenzt. Wenn Sie abgemeldet sind, können Sie sich erneut anmelden und an der Stelle weitermachen, an der Sie aufgehört haben.

Im IBM Cloud -Rechenzentrum

IBM Storage Insights werden in IBM Cloud Rechenzentren gehostet, die hohen physischen, technischen und organisatorischen Sicherheitsstandards entsprechen.

Schlüsselsicherheit

Jede Instanz von IBM Storage Insights verwendet einen lokalen Schlüsselspeicher, der für diese Instanz bestimmt und durch ein Passwort geschützt ist. Das Kennwort für den Keystore wird zufällig generiert, wenn die Instanz erstellt wird. Das Zertifikat im Keystore ist für jede Instanz eindeutig und das Keystore-Kennwort ist verschlüsselt. (Die Verschlüsselung umfasst keine Hardwareverschlüsselung.) Das Master-Kennwort wird verschlüsselt in der Konfiguration des Dienstes an einem sicheren Ort in IBM Cloud® aufbewahrt.

Es gibt nur einen externen Kundenschlüssel, der der öffentliche, von DigiCert zertifizierte Schlüssel ist. Als Teil des TLS-Handshake und des Zertifikatsaustauschs verwendet der Client (Webbrowser) das signierte Zertifikat, um zu überprüfen, dass er mit dem IBM Storage Insights-Gateway in der IBM Cloud kommuniziert und dass die Kommunikation nicht manipuliert wird. Für den internen Datenverkehr verfügt jede Kundeninstanz von IBM Storage Insights über einen eindeutigen Schlüssel, der mit einem eindeutigen, verschlüsselten Kennwort geschützt ist und von IBM selbst signiert wird, um zu bestätigen, dass die Kommunikation zwischen dem Kunden und der Kundeninstanz stattfindet.

Schlüsselrotation: Ein neuer Masterschlüssel wird erstellt und dem Keystore hinzugefügt, wenn die Instanz erstellt wird und wenn die Instanz aktualisiert wird. Die Instanzen werden mindestens einmal pro Quartal aktualisiert. Dies bedeutet, dass die implizite Schlüsselrotation nicht weniger als 90 Tage beträgt. Der öffentliche und von DigiCert zertifizierte Schlüssel wird alle 2 Jahre aktualisiert.

Dies führt zu einer durchgängigen Privatsphäre und Verschlüsselung für jede Instanz von IBM Storage Insights.

Physischer Schutz

Die Rechenzentren werden streng kontrolliert und die Sicherheit vor Ort ist rund um die Uhr gewährleistet. Der Zugriff zu den Serverräumen ist auf zertifizierte Mitarbeiter begrenzt und die Sicherheitskontrollen werden von Sicherheitsprüfern anderer Anbieter überprüft.

Siehe https://www.ibm.com/cloud-computing/bluemix/data-centers und https://www.ibm.com/cloud/security.

Technische Sicherheit

IBM Storage Insights ist mit einer mandantenfähigen SaaS-Architektur aufgebaut. Mehrere SaaS-Instanzen oder Tenants werden von einer einzigen mandantenfähigen Anwendung gehostet, die die Ressourcen vieler gemeinsam genutzter Server und Dienste umfasst. Obwohl zwei Tenants gemeinsame Ressourcen gemeinsam nutzen können, sieht jeder Tenant die Daten anderer Tenants nicht; geschweige denn weiß, dass andere vorhanden sind.

In dieser mandantenfähigen SaaS-Architektur verwendet IBM Storage Insights eine Virtualisierungstechnologie namens "Container". Wenn Sie mit Docker vertraut sind, ist Container die Technologie dahinter. Der resultierende Container besteht nur aus der Anwendung und einem sehr geringen Aufwand für Abhängigkeiten. Die Anwendung innerhalb des Containers besteht aus mehreren unabhängigen Mikroservices, die auf einem Funktionsbereich basieren. Es gibt beispielsweise einen Mikroservice für den Web-Server und einen anderen für die Verarbeitung von Leistungsdaten. Der gesamte mandantenfähige IBM Storage Insights-Server besteht aus einer Sammlung aller Container für die verschiedenen Micro-Service-Anwendungen.

Um den Überblick über alle IBM Storage Insights Container zu behalten, wird Kubernetes als Container-Verwaltungstool eingesetzt. Kubernetes organisiert Container in Pods, die auf den Knoten des Clusters bereitgestellt werden. Jeder IBM Storage Insights-Mieter ist in einem Kubernetes-Cluster untergebracht, was Skalierbarkeit, Hochverfügbarkeit und Disaster-Toleranz ermöglicht. Der Kubernetes-Cluster nutzt die IBM Cloud-Sicherheit der Unternehmensklasse und bietet optimale Kommunikation und geringere Front-End-Latenz für IBM Storage Insights-Container und -Dienste. Darüber hinaus nutzen Back-End-Storage- und SAN-Ressourcen die gleiche IBM Cloud-Sicherheit der Unternehmensklasse.

Folgende Sicherheitssoftware und Sicherheitsservices werden auf täglicher Basis verwendet:

Crowdstrike EDR und Crowdstrike Schutz vor Malware
IBM SOS ® zur Einhaltung von Sicherheits-und gesetzlichen Bestimmungen
IBM Security QRadar® SIEM zum Speichern und Überwachen von System-und Anwendungsprotokollen

Weitere Informationen zur Konformität und zu Zertifizierungen von IBM Cloudfinden Sie unter https://cloud.ibm.com/docs/overview?topic=overview-security.

Datenbanksicherheit

IBM Storage Insights verwendet IBM Cloud Datenbanken, die auf Apache Cassandra aufbauen. Es wurde entwickelt, um Echtzeitanwendungen mit hoher Verfügbarkeit und enormer Skalierbarkeit zu unterstützen. Mit seinen NoSQL-Workloads ist eine reibungslose und sichere Erfahrung nativ in die IBM Cloud integriert. Cassandra-Datenbank schützt vor unbefugtem Zugriff, bietet Datenausfallsicherheit, ist SOC/ISO-zertifiziert und GDPR/HIPAA/PCI DSS-konform.

Weitere Informationen zur Konformität und zu den Zertifizierungen von Cassandrafinden Sie unter https://cloud.ibm.com/docs/databases-for-cassandra?topic=databases-for-cassandra-security-compliance.

Organisatorische Sicherheit

Der Zugriff auf die Infrastruktur und die Instanzen für IBM Storage Insights, wird kontrolliert:

Durch das Beschränken des Zugriffs auf die Mitglieder des DevOps-Teams und der Cloud-Service-Infrastrukturteams, die als privilegierte Benutzer gelten.
Durch das Ausführen regelmäßiger Scans des Systemzustands und Scans auf Sicherheitslücken auf Quellcodeebene sowie für die aktiven Instanzen.
Durch das Durchführen regelmäßiger Penetrationstests. Die Penetrationstests werden von externen Unternehmen durchgeführt.

GDPR: IBM Storage Insights erfüllt die Anforderungen der EU-Datenschutzgrundverordnung (GDPR). Weitere Informationen über die IBM-Datenschutzrichtlinie finden Sie unter https://www.ibm.com/privacy/us/en/.