Sicurezza
Proteggere i dati dell'applicazione su larga scala per le applicazioni mobili e web può essere complesso, specialmente quando distribuiti a database NoSQL.
Così come si riduce lo sforzo di manutenzione dei database per farli funzionare e crescere senza sosta, IBM® Cloudant® for IBM Cloud® garantisce inoltre la sicurezza e la protezione dei dati.
Piattaforme fisiche di primo livello
Il IBM Cloudant DBaaS è fisicamente ospitato su fornitori di infrastrutture cloud Tier-1 come IBM Cloud® e Amazon. Pertanto, i tuoi dati sono protetti dalle misure di sicurezza fisiche e di rete utilizzate da questi provider, incluse (ma non limitate a):
- Certificazioni - Conformità agli standard SSAE16, SOC2 Type 1, ISAE 3402, ISO 27001, CSA e altri.
- Gestione identità e accesso.
- Sicurezza fisica generale dei data center e monitoraggio del centro operativo in rete.
- Protezione avanzata del server.
- IBM Cloudant ti fornisce la flessibilità di scegliere o di spostarti tra i diversi provider come la tua modifica dei requisiti dei costi e dello SLA.
Ulteriori dettagli sulle certificazioni sono disponibili nelle Informazioni sulla conformità.
Controllo di accesso sicuro
IBM Cloudant ha una moltitudine di funzioni di sicurezza integrate per controllare l'accesso ai dati:
| Funzione | Descrizione |
|---|---|
| Autenticazione | Si accede a IBM Cloudant utilizzando un'API HTTPS. Se l'endpoint dell'API lo richiede, l'utente viene autenticato per ogni richiesta HTTPS che IBM Cloudant riceve. IBM Cloudant supporta sia i controlli di accesso legacy che quelli IAM. Per ulteriori informazioni, consulta la guida IAM oppure il documento dell'API di autenticazione legacy. |
| Autorizzazione | IBM Cloudant supporta sia i controlli di accesso legacy che quelli IAM. Il team IBM Cloudant ti consiglia di utilizzare i controlli di accesso IAM per l'autenticazione quando possibile. Se si utilizza l'autenticazione legacy di IBM Cloudant, il team di IBM Cloudant consiglia di utilizzare le chiavi API piuttosto che le credenziali a livello di account per l'accesso programmatico e i lavori di replica. Per ulteriori informazioni, vedere il documento Guida IAM o il documento legacy Documento di autenticazione e il documento legacy Documento di autorizzazione. |
| Crittografia dei dati inattivi. | Tutti i dati memorizzati in un'istanza IBM Cloudant sono crittografati a riposo utilizzando LUKS1 con Advanced Encryption StandardAES-256) a 256 bit. Per impostazione predefinita, IBM Cloudant gestisce le chiavi di crittografia per tutti gli ambienti. Se si richiede la crittografia bring-your-own-key (BYOK) per la crittografia a riposo, BYOK viene attivata utilizzando la chiave di crittografia memorizzata in un'istanza IBM Cloud di Key Protect Istanza di Key Protect. IBM Cloudant supporta la funzione BYOK per le nuove istanze del piano IBM Cloudant Dedicated Hardware plan istanze che sono distribuite in tutte le regioni. Per ulteriori informazioni, consultare il tutorial Creare un'istanza di IBM Cloudant Per i dettagli su come scegliere BYOK al momento del provisioning. |
| Crittografia in volo | Tutto l'accesso a IBM Cloudant è crittografato utilizzando HTTPS. |
| Crittografia lato client | I clienti possono utilizzare la crittografia lato client per garantire che la protezione dei dati sia controllata dal proprietario dei dati e che i dati non siano mai visibili al fornitore di servizi. |
| TLS | IBM Cloudant richiede l'uso di TLS 1.2. IBM Cloudant consiglia vivamente di non utilizzare i certificati nelle applicazioni. I certificati vengono rinnovati regolarmente, almeno una volta all'anno, e i certificati intermedi e radice potrebbero cambiare. IBM Cloudant non invia notifiche prima del rinnovo dei certificati. Si consiglia di mantenere il truststore dei certificati aggiornato con i certificati root più recenti. IBM Cloudant acquista i suoi certificati da DigiCert. È possibile trovare i loro certificati radice alla pagina Certificati di autorità radice affidabiliDigiCert. IBM Cloudant invia una notifica se si passa a un'altra autorità di certificazione. |
| Endpoint pubblici | Tutte le istanze IBM Cloudant sono dotate di endpoint esterni pubblicamente accessibili. |
| Endpoint privati | Tutte le istanze distribuite sugli ambienti del piano Dedicated Hardware hanno anche endpoint privati (interni). L'uso di endpoint privati consente ai clienti di connettersi a un'istanza IBM Cloudant attraverso la rete interna IBM Cloud® per evitare che il traffico dell'applicazione a monte passi attraverso la rete pubblica e comporti costi di larghezza di banda. Per ulteriori informazioni, consultare la documentazione sugli Endpoint di servizio e anche la documentazione sull'abilitazione degli Endpoint di servizio per l'account IBM Cloud®. Se si desidera consentire l'accesso all'applicazione solo a un sottoinsieme di indirizzi IP, fare riferimento a IP allowlisting nella riga successiva. |
| Elenco dei permessi IP | {I clienti che hanno un ambiente con un piano IBM Cloudant IBM Cloudant, possono consentire l'accesso a un elenco di indirizzi IP solo a determinati server e utenti Possono inserire un elenco di indirizzi IP per limitare l'accesso solo a determinati server e utenti. L'elenco dei permessi IP non è disponibile per alcun IBM Cloud Public Lite o Standard distribuiti in ambienti multi-tenant. Aprire un ticket di assistenza per richiedere un elenco di permessi IP per una serie specifica di indirizzi IP o intervalli IP. Gli elenchi di permessi della rete pubblica e privata possono essere gestiti in modo indipendente e l'elenco di permessi pubblico può essere impostato per bloccare tutto il traffico in modo che tutto il traffico passi attraverso gli endpoint privati. Gli elenchi di permessi IP si applicano sia all'API IBM Cloudant che alla Dashboard API e alla Dashboard, quindi è bene includere gli indirizzi IP degli amministratori che devono accedere direttamente alla Dashboard IBM Cloudant Direttamente alla Dashboard. |
| CORS | Abilita il supporto CORS per specifici domini utilizzando l'API o il dashboard IBM Cloudant. Per ulteriori informazioni, consultare la sezione Documentazione API CORS. |
Protezione contro la perdita o il danneggiamento dei dati
IBM Cloudant dispone di numerose funzioni per aiutarti a mantenere la disponibilità e la qualità dei dati:
| Funzione | Descrizione |
|---|---|
| Archiviazione dati ridondante e durevole | Per impostazione predefinita, IBM Cloudant salva su disco tre copie di ogni documento su tre nodi differenti in un cluster. Il salvataggio dei dati garantisce che una copia di failover funzionante dei tuoi dati |
sia sempre disponibile, indipendentemente dagli errori. |
| Replica ed esportazione di dati. | È possibile replicare continuamente i database tra cluster in diversi data center o Apache CouchDB. Un'altra opzione è di esportare i dati da IBM Cloudant (nel formato JSON) in altre ubicazioni o origini (come il tuo data center) per la ridondanza dei dati aggiunti. |