Wesentliche IBM Cloud-Services für Sicherheit und Beobachtbarkeit
Diese Referenzarchitektur fasst den Einsatz und die Best Practices auf IBM Cloud für die Einstellung wesentlicher Sicherheitsdienste und ihrer zugehörigen Abhängigkeiten zusammen. Die wesentlichen Sicherheitsdienste von IBM Cloud sind entscheidend für die Gewährleistung von robuster Sicherheit und Compliance für Cloud-basierte Anwendungen und Daten. Ihr Hauptziel ist es, ein Framework für sichere und konforme IBM Cloud-Workloads bereitzustellen.
Hier ist eine kurze Übersicht über jeden Service:
Key Protect: Dieser Service bietet eine sichere und skalierbare Methode zur Verwaltung von Verschlüsselungsschlüsseln für Ihre Cloudanwendungen. Es stellt sicher, dass sensible Daten durch das Management und den Schutz von Verschlüsselungsschlüsseln geschützt werden, was die Einhaltung von Branchenstandards und gesetzlichen Bestimmungen erleichtert.
Secrets Manager: Mit diesem Service können Sie sensible Informationen wie API-Schlüssel, Berechtigungsnachweise und Zertifikate sicher speichern und verwalten. Durch die Zentralisierung des Managements geheimer Schlüssel verringert es das Risiko von Sicherheitsrisiken und vereinfacht den Prozess des Zugriffs auf und der Rotation geheimer Schlüssel, wodurch die Sicherheit verbessert wird.
Security and Compliance Center: Diese Plattform bietet eine umfassende Suite von Tools zur Bewertung, Überwachung und Verwaltung der Sicherheit und Compliance Ihrer Cloudumgebung. Es bietet Einblicke und Kontrollmechanismen, die Unternehmen dabei unterstützen, gesetzliche Bestimmungen einzuhalten, Best Practices einzuhalten und sich vor Sicherheitsbedrohungen zu schützen.
IBM Cloud Security and Compliance Center Workload Protection: Dieser Service bietet Funktionen zum Schutz von Workloads, für umfassende Cloud-und Containertransparenz, für das Management von Einsatzmöglichkeiten (Compliance, Benchmarks, CIEM), für Schwachstellensuche, Forensik sowie für die Erkennung und Blockierung von Sicherheitsbedrohungen.
Diese Referenzarchitektur zeigt, wie diese Services eine grundlegende Sicherheitsschicht bilden, die den Datenschutz verbessert, die Compliance vereinfacht und die Cloudsicherheit für alle Workloads in IBM Cloudinsgesamt verbessert.
Architekturdiagramm
Das folgende Diagramm stellt die Architektur für die IBM Cloud Essential Security and Observability Services bereit und verwendet die best practices für IBM Cloud Framework for Financial Services.
Die Architektur wird von drei grundlegenden Diensten getragen: Key Protect, Secrets Manager, und Security and Compliance Center. Diese Dienste bieten Integrationsendpunkte für jeden Kunden-Workload, der auf IBM Cloud gehostet wird.
- Key Protect
Key Protect ist für die zentrale Verwaltung des Lebenszyklus von Verschlüsselungsschlüsseln zuständig, die von IBM Cloud Object Storage-Buckets Secrets Managerund Ereignisbenachrichtigungsressourcen verwendet werden. Darüber hinaus kann er Verschlüsselungsschlüssel für jede Kundenworkload verwalten, die Schutz erfordert.
- Secrets Manager
Secrets Manager speichert und verwaltet sensible Informationen wie API-Schlüssel, Berechtigungsnachweise und Zertifikate sicher. Er verwendet Verschlüsselungsschlüssel aus Key Protect, um sensible Daten zu verschlüsseln und Vaults, die die geheimen Schlüssel enthalten, zu versiegeln und zu entsiegeln. Es ist vorkonfiguriert, Ereignisse an den Event Notifications-Service zu senden, sodass Kunden E-Mail- oder SMS-Benachrichtigungen einrichten können. Außerdem wird sie automatisch so konfiguriert, dass alle API-Protokolle an die Protokollierungsinstanz des Kunden weitergeleitet werden.
- Security and Compliance Center
Die Security Compliance Center-Instanz ist so vorkonfiguriert, dass alle Ressourcen gescannt werden, die von der Referenzarchitektur bereitgestellt werden. Sie kann um IBM Cloud Security and Compliance Center Workload Protection erweitert werden, um den besonderen Arbeitslasten der Kunden gerecht zu werden.
IBM Cloud Object Storage-Buckets werden für den Empfang von Protokollen von Protokollierungs-und Alerting-Services konfiguriert. Jedes Bucket ist so konfiguriert, dass ruhende Daten mithilfe von Verschlüsselungsschlüsseln verschlüsselt werden, die von Key Protectverwaltet werden.
Designkonzepte
- Speicher: Sicherung, Archivierung
- Netzbetrieb: Cloud-native Konnektivität
- Sicherheit: Datensicherheit, Identität und Zugriff, Anwendungssicherheit, Erkennung und Reaktion auf Sicherheitsbedrohungen, Infrastruktur und Endpunkte, Governance, Risiko und Compliance
- Ausfallsicherheit: Hohe Verfügbarkeit
- Service-Management: Überwachung, Protokollierung, Prüfung und Verfolgung, automatisierte Implementierung
Anforderungen
In der folgenden Tabelle sind die Anforderungen aufgeführt, die in dieser Architektur behandelt werden.
| Aspekt | Anforderungen |
|---|---|
| Netzbetrieb | Stellen Sie sichere, verschlüsselte Konnektivität zum privaten Netz der Cloud für Managementzwecke bereit. |
| Sicherheit | Verschlüsseln Sie alle Anwendungsdaten während der Übertragung und im Ruhezustand, um sie vor unbefugter Offenlegung zu schützen. Verschlüsseln Sie alle Sicherheitsdaten (Betriebs-und Prüfprotokolle), um vor unbefugter Offenlegung zu schützen. Verschlüsseln Sie alle Daten mithilfe von vom Kunden verwalteten Schlüsseln, um die Anforderungen an die Einhaltung gesetzlicher Bestimmungen für zusätzliche Sicherheit und Kundenkontrolle zu erfüllen. Schützen Sie geheime Schlüssel während ihres gesamten Lebenszyklus und schützen Sie sie mithilfe von Zugriffssteuerungsmaßnahmen. |
| Ausfallsicherheit | Unterstützung von Anwendungsverfügbarkeitszielen und Business-Continuity-Richtlinien Sicherstellung der Verfügbarkeit der Anwendung während geplanter und ungeplanter Betriebsunterbrechungen. Sichern Sie Anwendungsdaten, um die Wiederherstellung bei ungeplanten Betriebsunterbrechungen zu aktivieren. Stellen Sie hoch verfügbaren Speicher für Sicherheitsdaten (Protokolle) und Sicherungsdaten bereit. |
| Service Management | Überwachen Sie die Metriken und Protokolle für den System-und Anwendungszustand, um Probleme zu erkennen, die sich auf die Verfügbarkeit der Anwendung auswirken könnten. Generieren Sie Alerts/Benachrichtigungen zu Problemen, die sich auf die Verfügbarkeit von Anwendungen auswirken können, um entsprechende Antworten auszulösen, um Ausfallzeiten zu minimieren. Überwachen Sie Prüfprotokolle, um Änderungen zu verfolgen und potenzielle Sicherheitsprobleme zu erkennen. Stellen Sie einen Mechanismus zum Identifizieren und Senden von Benachrichtigungen über Probleme bereit, die in Prüfprotokollen gefunden werden. |
Komponenten
In der folgenden Tabelle sind die in der Architektur verwendeten Produkte oder Services für jeden Aspekt aufgeführt.
| Aspekte | Architekturkomponenten | Wie die Komponente verwendet wird |
|---|---|---|
| Speicher | IBM Cloud Object Storage | Statische Inhalte, Sicherungen, Protokolle (Anwendungs-, Betriebs-und Prüfprotokolle) für Webanwendungen |
| Netzbetrieb | Virtual Private Endpoint(VPE) | For private network access to IBM Cloud services, for example, Key Protect, Key Protect, Security and Compliance Center. |
| Sicherheit | IAM | Cloud Identity and Access Management |
| Key Protect | Eine Full-Service-Verschlüsselungslösung, mit der Daten gesichert und in IBM Cloud gespeichert werden können. | |
| Secrets Manager | Management von Zertifikaten und geheimen Schlüsseln | |
| Security and Compliance Center | Implementieren Sie Kontrollmechanismen für sichere Daten-und Workloadbereitstellungen und bewerten Sie die Sicherheit und Compliance | |
| IBM Cloud Security and Compliance Center Workload Protection | ||
| Service Management | IBM Cloud Monitoring | Apps und Betriebsüberwachung |
| IBM Cloud Log Analysis | Apps und Betriebsprotokolle | |
| Activity Tracker Event Routing | Prüfprotokolle |
Compliance
Stellt die Einhaltung einiger Kontrollmechanismen im CIS IBM Cloud Foundations Benchmark-Profil sicher. Führen Sie die folgenden Schritte aus, um die Liste der hinzugefügten Steuerelemente anzuzeigen:
- Gehen Sie zum IBM Cloud Katalog und suchen Sie nach der IBM Cloud Essential Security and Observability Services deploymentable architecture.
- Klicken Sie auf die Kachel für die bereitstellbare Architektur, um die Details zu öffnen. Auf der Registerkarte Sicherheit & Konformität werden alle Steuerelemente aufgelistet, die in der implementierbaren Architektur enthalten sind.