安全性和合规性
防止未经授权的访问
IBM Cloud® Databases for Elasticsearch 使用以下方法来保护传输中或存储中的数据。
- 所有 Databases for Elasticsearch 连接都对传输中的数据使用 TLS/SSL 加密。 此加密的当前受支持版本为 TLS 1.2。
- 通过 Identity and Access Management(IAM) 确保对账户、管理控制台用户界面和 API 的访问安全。
- 通过数据库提供的标准访问控制来保护对数据库的访问。 这些访问控制配置为需要有效的数据库级别凭证,这些凭证只能通过先前对数据库的访问或通过我们的管理控制台 UI 或 API 获取。
- 所有 Databases for Elasticsearch 存储器都在使用 AES-256通过 LUKS 加密的存储器上提供。 缺省密钥由 Key Protect 管理。 还可通过 Key Protect Integration 获取用于加密的自带密钥 (BYOK)。
- IP 允许列表-所有部署都支持 允许列表 IP 地址 以限制对服务的访问。
- 公用和专用网络- Databases for Elasticsearch 与 服务端点 集成。 您可以选择是使用公用网络和/或 IBM Cloud 内部网络上的连接。
- 专用核心-将专用核心分配给部署会将系统管理程序级别的隔离引入到数据库实例中,方法是使用隔离的虚拟机来确保数据处理与其他客户保持分离。 它还为您的部署提供了最少数量的 CPU。 具有相同资源组和 IBM Cloud 区域中的专用核心的部署可以共享虚拟机。
数据弹性
- 备份 包含在服务中。Databases for Elasticsearch 备份位于 IBM Cloud Object Storage 中,并且还 已加密。
- Databases for Elasticsearch 部署已配置为使用复制。 部署包含一个具有三个节点的集群,其中所有三个节点都是数据节点,任何节点都可以是主节点。 您还可以 添加节点 以在多节点故障中提供更多稳定性,因为您可能会丢失更多节点并维护定额。
- 如果部署到 IBM Cloud 单专区区域 (SZR),那么每个数据库节点都位于数据中心的不同主机上。
- 如果部署到 IBM Cloud 多专区区域 (MZR),那么节点将分布在该区域的可用性专区位置上。
SOC 2 类型 2 证书
IBM Databases for Elasticsearch 提供服务组织控制 (SOC) 2 类型 2 报告。 这些报告依据美国注册会计师协会 (AICPA) 信托服务原则所设置的标准来评估 IBM 的运营控制。 信托服务原则为 IBM Cloud 之类的服务供应商定义了充分的控制体系并建立了行业标准,以保护其客户的数据和信息。
您可以从客户门户网站请求 SOC 2 类型 2 报告或联系您的销售代表。 或者,您也可以通过以下方式开立支持票据 IBM Cloud 支持
ISO 27017 和 ISO 27018
Databases for Elasticsearch 符合适用于供应和使用 ISO 27017 和 ISO 27018中定义的云服务的信息安全控制准则。
通用数据保护条例 (GDPR)
如果您具有 IBM Cloud帐户,那么您的个人数据由 IBM Cloud拥有。 IBM 数据处理附录 (附录) 适用于 IBM 代表客户处理客户个人数据,以提供 IBM 标准服务。
IBM DPA
Databases for Elasticsearch 在运行服务和优化用户体验过程中处理有限的客户机个人信息 (PI)。
Databases for Elasticsearch 提供 数据表附录(DSA) 及其策略作为有关内容和数据保护的数据处理程序。
HIPAA
Databases for Elasticsearch 符合规定的 控制措施,与 1996 年《健康保险可携性和责任法案》(HIPAA)的安全和隐私规则要求相称。IBM 包括在 45 CFR 第 160 部分以及第 164 部分的子部分 A 和 C 中规定的对“业务伙伴”进行相应管理、物理和技术保护的要求。 必须在供应时请求 HIPAA,并要求代表与 IBM签署业务关联附录 (BAA) 协议。
PCI DSS
Databases for Elasticsearch 符合支付卡行业数据安全标准 (PCI DSS)。IBM Cloud 通过使用核准的合格安全评估程序 (QSA) 完成年度 PCI DSS 评估,并且根据客户请求提供生成的合规性认证 (AOC) 和服务责任矩阵 (SRM) 指南。 审计员在服务提供者级别 1 上查看了 Databases for Elasticsearch PCI DSS 版本 3.2.1 下的合规性。
客户负责其持卡人数据的存储,处理和传输,并且可以创建持卡人数据环境 (CDEs),可以使用 Databases for Elasticsearch来存储,传输或处理持卡人数据。 客户在寻求自己的 PCI DSS 认证时,可以请求并使用 IBM Cloud AOC 和 SRM 指南。 客户负责以符合 PCI DSS 的方式记录和操作通过使用 IBM Cloud Platform 服务构建的 CDEs 和应用程序。
客户负责熟悉这些流程,并根据客户的策略管理数据保留和从服务中移除。
可在 IBM Cloud 合规性页面 上找到 PCI DSS 就绪 IBM Cloud Platform 服务的完整列表以及用于请求 PCI DSS AOC 和 SRM 指南的选项。