在IBM Cloudant中确保您的数据安全}
IBM Cloudant DBaaS 数据保护和安全性
保护大型 Web 和移动应用程序的应用程序数据可能是很复杂的工作,尤其是使用了分布式数据库和 NoSQL 数据库的情况。
就像减少维护数据库的工作量一样 使其持续运行和增长、 IBM® Cloudant® for IBM Cloud®还能确保您的数据安全无虞。
一级物理平台
IBM Cloudant DBaaS 物理托管在Tier-1云基础设施提供商,如 IBM Cloud®和亚马逊。 因此,数据受到这些提供者采用的网络和物理安全措施的保护,包括(但不限于):
- 认证 - 符合SSAE16、SOC2Type 1、ISAE 3402、ISO 27001、CSA 及其他标准。
- 访问权和身份管理。
- 数据中心和网络操作中心监视的常规物理安全性。
- 服务器加固。
- 通过 IBM Cloudant,您能在 SLA 和成本需求变化时,灵活地选择或切换使用不同的提供者。
有关认证的更多详细信息在合规信息中提供。
安全访问控制
IBM Cloudant 中内置了许多安全功能,可供您控制对数据的访问:
| 功能 | 描述 |
|---|---|
| 认证 | IBM Cloudant 使用 HTTPS API 进行访问。 在 API 端点需要的情况下,IBM Cloudant收到的每个 HTTPS 请求都会对用户进行身份验证。IBM Cloudant支持传统和 IAM 访问控制。 有关详细信息,请参阅 IAM 指南 或传统 身份验证文档。 |
| 授权 | IBM Cloudant 支持旧凭证和 IAM 访问控制。 IBM Cloudant 团队建议您尽可能使用 IAM 访问控制进行认证。 如果使用IBM Cloudant传统身份验证,建议在程序访问和复制任务中使用 API 密钥而非账户级凭据。 有关详细信息,请参阅 IAM 指南 或传统 身份验证文档 和传统 授权文档。 |
| 静态加密 | IBM Cloudant实例中存储的所有数据在静态时都使用LUKS1和 256 位高级加密标准AES-256256)进行加密。 缺省情况下,IBM Cloudant 管理所有环境的加密密钥。 If you require bring-your-own-key (BYOK) encryption for encryption-at-rest, you enable it by using your encryption key that is stored in an IBM Cloud Key Protect instance. IBM Cloudant supports the BYOK feature for new IBM Cloudant Dedicated Hardware plan instances that are deployed in all regions. 有关如何在配置时选择 BYOK 的详细信息,请参阅 创建IBM Cloudant专用硬件计划实例 教程。 |
| 机上加密 | 使用 HTTPS 加密对 IBM Cloudant 的所有访问。 |
| 客户端加密 | 客户可以使用客户端加密,确保数据保护由数据所有者控制,服务提供商永远看不到数据。 |
| TLS | IBM Cloudant要求使用 TLS1.2。IBM Cloudant强烈建议您不要在应用程序中插入证书。 证书会定期更新,至少每年一次,中间证书和根证书在更新时可能会发生变化。IBM Cloudant不会在证书更新前发送通知。 我们建议您使用最新的根证书更新证书信任库。IBM Cloudant从DigiCert 获取证书。 您可以在 DigiCert可信根证书颁发机构证书页面找到它们的根证书。IBM Cloudant会在我们转移到其他证书颁发机构时发送通知。 |
| 端点 | 所有IBM Cloudant实例都提供可公开访问的外部端点。 2019 年 1 月 1 日后在欧盟管理的云之外创建的专用硬件环境也会为其上部署的所有标准计划实例添加内部端点。 使用内部端点将允许客户通过内部 IBM Cloudant 网络连接到 IBM Cloud® 实例,以避免上游应用程序流量通过公用网络传输并产生带宽费用。 有关为IBM Cloud®账户启用服务端点的详细信息,请参阅服务端点 文档。 |
| IP 允许列表 | IBM Cloudant customers, who have a dedicated IBM Cloudant environment, can allowlist IP addresses to restrict access to only specified servers and users. 任何IBM Cloud不提供 IP 允许列表功能。部署在多租户环境中的{{ite data.keyword.cloud_notm}} 公共精简版或标准版计划不可用。 打开支持票单,申请指定 IP 或 IP 范围的 IP 允许列表。 IP 允许列表适用于IBM CloudantAPI 和仪表板。API 和仪表板,因此请注意将需要访问IBM Cloudant管理员 IP 包括在内。仪表板的管理员 IP。 |
| CORS | 使用 IBM Cloudant 仪表板或 API 对特定域启用 CORS 支持。 更多信息,请参阅 CORS 文档。 |
防止数据丢失或损坏
IBM Cloudant 有若干功能可帮助您保持数据质量和可用性:
| 功能 | 描述 |
|---|---|
| 冗余和持久的数据存储 | 缺省情况下,IBM Cloudant 在将每个文档保存到磁盘时,会将三个副本保存到集群中的三个不同节点上。 保存这些副本可确保无论是否发生故障,数据的有效故障转移副本始终可用。 |
| 数据复制和导出 | 您可以在不同数据中心的集群或Apache CouchDB 之间连续复制数据库。 另一个选项是将数据从 IBM Cloudant(以 JSON 格式)导出到其他位置或源(例如,您自己的数据中心),以实现额外数据冗余。 |
在IBM Cloudant中删除您的数据}
您可以在IBM Cloudant中删除单个文档。控制面板或使用 API 删除单个文档。 从技术上讲,文件并没有被删除,而是被压缩了。
更多信息,请参阅 删除数据。
要删除文档,请按照以下步骤操作:
- 转到IBM Cloudant仪表板。
- 在数据库页面,单击包含要删除的文档的数据库。
- 单击要删除的文件旁边的复选框。
- 单击删除。
选择文件进行压缩。
更多信息,请参阅 API 参考文档中的 删除文档。
删除IBM Cloudant实例
您可以在IBM Cloudant中删除数据库实例。控制面板或使用 API 删除数据库实例。
删除实例后,数据库中的所有数据以及账户级信息(如身份验证数据)将在 7 天宽限期结束后自动删除。IBM Cloudant不保存使用平台创建的实例的任何联系信息。 如果您在IBM Cloudant中有共享信息(如电子邮件地址)的支持票单,该流程不会删除这些信息。
要删除数据库,请按照以下步骤操作:
- 转到IBM Cloudant仪表板。
- 在数据库页面,单击要删除的数据库旁边的删除。
- 键入要删除的数据库名称。
- 单击删除数据库。
数据库将从数据库列表中删除。
数据库删除无法撤销。
有关详细信息,请参阅 API 参考文档中的 删除数据库。
IBM Cloudant数据保留政策描述了在您删除服务后,您的数据会被保存多长时间。 数据保留政策包含在IBM Cloudant服务说明中,您可以在IBM Cloud中找到。条款和通知。
恢复IBM Cloudant已删除数据
如果您删除了账户,您有 7 天的宽限期,在此期间您可以取消删除账户的请求。
数据库删除无法撤销。