Seguridad
La protección de datos de las aplicaciones de la web a gran escala y de apps para móviles puede resultar muy complejo, especialmente en el caso de bases de datos distribuidas y NoSQL.
Así como reduce el esfuerzo de mantener sus bases de datos para mantenerlas en funcionamiento y creciendo sin parar, IBM® Cloudant® for IBM Cloud® también garantiza que sus datos permanezcan seguros y protegidos.
Plataformas físicas de nivel uno
El DBaaS de IBM Cloudant está alojado físicamente en proveedores de infraestructura de nube de Nivel 1 como IBM Cloud® y Amazon. Por lo tanto, los datos están protegidos por la red y por las medidas de seguridad física que emplean estos proveedores, incluidos (aunque sin limitarse a los mismos) los siguientes:
- Certificados: conformidad con SSAE16, SOC2 Tipo 1, ISAE 3402, ISO 27001, CSA y otros estándares.
- Gestión de acceso y de identidad.
- Seguridad física general de los centros de datos y supervisión del centro de operaciones de la red.
- Fortalecimiento del servidor.
- IBM Cloudant le ofrece la flexibilidad de elegir o conmutar entre distintos proveedores a medida que cambiar su SLA y sus requisitos de coste.
Encontrará más información sobre las certificaciones disponibles en el apartado sobre Información de conformidad.
Control de accesos seguro
IBM Cloudant tiene multitud de funciones de seguridad incorporadas para controlar el acceso a los datos:
| Característica | Descripción |
|---|---|
| Autenticación | Se accede a IBM Cloudant utilizando una API HTTPS. Cuando el punto final de la API lo requiere, el usuario se autentica para cada solicitud HTTPS que IBM Cloudant recibe. IBM Cloudant da soporte a los controles de acceso tanto heredados como IAM. Para obtener más información, consulte la guía de IAM o el documento de la API de autenticación heredada. |
| Autorización | IBM Cloudant admite los controles de acceso de IAM y los heredados. El equipo de IBM Cloudant recomienda el uso de controles de acceso de IAM para la autenticación siempre que sea posible. Si está utilizando IBM Cloudant autenticación heredada, IBM Cloudant el equipo recomienda que utilice Claves API en lugar de credenciales a nivel de cuenta para el acceso programático y los trabajos de replicación. Para obtener más información, consulte la guía de IAM o el documento de autenticación heredada y el documento de autorización heredada. |
| Cifrado en reposo | Todos los datos que se almacenan en una instancia de IBM Cloudant se han cifrado en reposo utilizando LUKS1 con Advanced Encryption Standard de 256 bits (AES-256). De forma predeterminada, IBM Cloudant gestiona las claves de cifrado para todos los entornos. Si necesita el cifrado de clave propia (BYOK) para el cifrado en reposo, BYOK se habilita utilizando la clave de cifrado que se almacena en una instancia de IBM Cloud Key Protect. IBM Cloudant da soporte a la característica BYOK para las nuevas instancias de plan de hardware dedicado de IBM Cloudant que se despliegan en todas las regiones. Para obtener más información, consulte la guía de aprendizaje Creación de una instancia del plan de hardware dedicado de IBM Cloudant si desea detalles sobre cómo elegir BYOK en el tiempo de suministro. |
| Cifrado en curso | Todo el acceso a IBM Cloudant está cifrado mediante HTTPS. |
| Cifrado del lado del cliente | Los clientes pueden utilizar el cifrado del lado del cliente para asegurarse de que la protección de datos está controlada por el propietario de los datos y que los datos nunca resultan visibles para el proveedor de servicios. |
| TLS | IBM Cloudant requiere el uso de TLS 1.2+. IBM Cloudant recomienda encarecidamente no anclar los certificados en la aplicación. Los certificados se renuevan regularmente, al menos una vez al año, y los certificados intermedios y raíz podrían cambiar cuando lo hagan. IBM Cloudant no envía notificaciones antes de las renovaciones de certificados. Le recomendamos que mantenga su almacén de confianza de certificados actualizado con los certificados raíz más recientes. IBM Cloudant adquiere sus certificados de DigiCert. Puede encontrar sus certificados raíz en la página DigiCert Trusted Root Authority Certificates. IBM Cloudant envía una notificación si cambiamos a una autoridad de certificación diferente. |
| Puntos finales públicos | Todas las instancias de IBM Cloudant se proporcionan con puntos finales externos accesibles públicamente. |
| Puntos finales privados | Todas las instancias que ha desplegado en entornos del plan Hardware dedicado también tienen puntos finales privados (internos). El uso de puntos finales privados permite que los clientes puedan conectarse a una instancia de IBM Cloudant a través de la red interna de IBM Cloud® para evitar que el tráfico de aplicación en sentido ascendente pase a través de la red pública y se incurra en cargos de ancho de banda. Para obtener más información, consulte la documentación de Service Endpoint, y también, consulte la documentación sobre la habilitación de Service Endpoints para su cuenta IBM Cloud®. Si desea que solo un subconjunto de direcciones IP pueda acceder a su aplicación, consulte la lista de elementos de IP permitidos en la siguiente fila. |
| lista de elementos de IP permitidos | IBM Cloudant customers, who have an IBM Cloudant Dedicated Hardware plan environment, can allowlist IP addresses to restrict access to only specified servers and users. La lista de elementos permitidos de IP no está disponible para ningún plan IBM Cloud Lite o Estándar público que se despliegue en entornos multiarrendatario. Abra una incidencia de soporte para solicitar una lista de elementos de IP permitidos para un conjunto específico de direcciones IP o rangos de IP. Las listas de elementos permitidos de redes públicas y privadas se pueden gestionar de forma independiente y la lista de elementos permitidos pública se puede establecer para bloquear todo el tráfico, de manera que todo el tráfico se realice sobre los puntos finales privados. Las listas de elementos permitidos de IP se aplican tanto a la API como al panel de control de IBM Cloudant, por lo que se debe ser consciente de incluir cualquier IP de administrador que necesite acceder directamente al panel de control de IBM Cloudant. |
| CORS | Habilitar el soporte CORS para determinados dominios mediante la API o el panel de control de IBM Cloudant. Para más información, consulte la documentación de la API CORS. |
Protección contra la pérdida de datos o la corrupción
IBM Cloudant dispone de diversas características que le ayudan a mantener la calidad y disponibilidad de los datos:
| Característica | Descripción |
|---|---|
| Almacenamiento de datos redundante y duradero | De forma predeterminada, IBM Cloudant guarda en disco tres copias de cada documento en tres nodos distintos de un clúster. El hecho de guardar las copias garantiza que siempre esté disponible una copia de migración en caso de error en funcionamiento de los datos, independientemente del error que se haya producido. |
| Réplica y exportación de datos | Puede replicar las bases de datos de forma continua entre clústeres en distintos centros de datos o Apache CouchDB. Otra opción consiste en exportar los datos de IBM Cloudant (en formato JSON) a otras ubicaciones o fuentes (como su propio centro de datos) para aumentar la redundancia de los datos. |