Base en la nube para seguridad y observabilidad
Esta arquitectura de referencia resume el despliegue y las mejores prácticas en IBM Cloud para establecer servicios de seguridad esenciales y sus dependencias asociadas. Los servicios de seguridad esenciales de IBM Cloud son cruciales para garantizar una seguridad y un cumplimiento sólidos de las aplicaciones y los datos basados en la nube. Su objetivo principal es proporcionar una infraestructura para cargas de trabajo IBM Cloud seguras y compatibles.
A continuación se ofrece una breve descripción general de cada servicio:
Key Protect: este servicio proporciona una forma segura y escalable de gestionar las claves de cifrado para las aplicaciones de nube. Garantiza que los datos sensibles se protejan gestionando y salvaguardando las claves criptográficas, facilitando el cumplimiento de los estándares del sector y los requisitos normativos.
Secrets Manager: este servicio ayuda a almacenar y gestionar de forma segura información confidencial como, por ejemplo, claves de API, credenciales y certificados. Al centralizar la gestión de secretos, reduce el riesgo de exposición y simplifica el proceso de acceso y rotación de secretos, mejorando así la postura de seguridad.
IBM Cloud Security and Compliance Center Workload Protection: este servicio ofrece características para proteger las cargas de trabajo, obtener una visibilidad profunda de la nube y el contenedor, gestión de la postura (conformidad, benchmarks, CIEM), exploración de vulnerabilidades, análisis forense y detección y bloqueo de amenazas.
Esta arquitectura de referencia muestra cómo estos servicios forman una capa de seguridad básica que mejora la protección de datos, simplifica la conformidad y refuerza la seguridad global de la nube para cualquier carga de trabajo en IBM Cloud.
Diagrama de la arquitectura
El siguiente diagrama representa la arquitectura para la base de la nube para la seguridad y la observabilidad arquitectura desplegable en y reutiliza las mejores prácticas para IBM Cloud Framework for Financial Services.
La arquitectura se basa en tres servicios fundamentales: " Key Protect" , " Secrets Manager y " Compliance Manager. Estos servicios proporcionan puntos finales de integración para cualquier carga de trabajo del cliente que esté alojada en IBM Cloud.
- Key Protect
Key Protect es responsable de gestionar de forma centralizada el ciclo de vida de las claves de cifrado que utilizan los grupos de IBM Cloud Object Storage, Secrets Managery los recursos de notificación de sucesos. Además, puede gestionar claves de cifrado para cualquier carga de trabajo de cliente que requiera protección.
- Secrets Manager
Secrets Manager almacena y gestiona de forma segura información confidencial, incluidas las claves de API, las credenciales y los certificados. Utiliza claves de cifrado de Key Protect para cifrar datos confidenciales y para sellar y desprecintar cajas fuertes que contienen los secretos. Está preconfigurado para enviar sucesos al servicio Event Notifications, lo que permite a los clientes configurar notificaciones de correo electrónico o SMS. Además, se configura automáticamente para reenviar todos los registros de API a la instancia de registro del cliente.
- IBM Cloud Security and Compliance Center Workload Protection
La instancia IBM Cloud Security and Compliance Center Workload Protection está preconfigurada con Cloud Security Posture Management (CSPM) habilitado utilizando las funciones del Agregador de configuraciones de la instancia App Configuration que también se aprovisiona como parte de esta solución.
Los grupos IBM Cloud Object Storage están configurados para recibir registros de los servicios de registro y alertas. Cada grupo se configura para cifrar datos en reposo utilizando claves de cifrado gestionadas por Key Protect.
Conceptos de diseño
- Almacenamiento: copia de seguridad, archivado
- Redes: conectividad nativa en la nube
- Seguridad: seguridad de datos, identidad y acceso, seguridad de aplicaciones, detección y respuesta de amenazas, infraestructura y puntos finales, gobierno, riesgo y conformidad
- Resiliencia: Alta disponibilidad
- Gestión de servicios: supervisión, registro, auditoría y seguimiento, despliegue automatizado
Requisitos
La tabla siguiente describe los requisitos que se tratan en esta arquitectura.
| Aspecto | Requisitos |
|---|---|
| Redes | Proporcionar conectividad segura y cifrada a la red privada de la nube con fines de gestión. |
| Seguridad | Cifre todos los datos de aplicación en tránsito y en reposo para protegerlos de la divulgación no autorizada. Cifre todos los datos de seguridad (registros operativos y de auditoría) para protegerse de la divulgación no autorizada. Cifre todos los datos utilizando claves gestionadas por el cliente para cumplir los requisitos de conformidad con la normativa para obtener seguridad adicional y control del cliente. Proteja los secretos a través de todo su ciclo de vida y protéjalas utilizando medidas de control de acceso. |
| Resiliencia | Dé soporte a los destinos de disponibilidad de aplicaciones y a las políticas de continuidad de negocio. Garantizar la disponibilidad de la aplicación durante paradas planificadas y no planificadas. Realice una copia de seguridad de los datos de aplicación para habilitar la recuperación durante paradas no planificadas. Proporcionar almacenamiento de alta disponibilidad para datos de seguridad (registros) y datos de copia de seguridad. |
| Gestión de servicios | Supervise las métricas de estado del sistema y de la aplicación y los registros para detectar problemas que puedan afectar a la disponibilidad de la aplicación. Generar alertas/notificaciones sobre problemas que pueden afectar a la disponibilidad de las aplicaciones para desencadenar respuestas adecuadas para minimizar el tiempo de inactividad. Supervise los registros de auditoría para realizar un seguimiento de los cambios y detectar posibles problemas de seguridad. Proporcione un mecanismo para identificar y enviar notificaciones sobre problemas que se encuentran en los registros de auditoría. |
Componentes
La tabla siguiente describe los productos o servicios utilizados en la arquitectura para cada aspecto.
| Aspectos | Componentes de arquitectura | Cómo se utiliza el componente |
|---|---|---|
| Almacenamiento | IBM Cloud Object Storage | Contenido estático de la app web, copias de seguridad, registros (registros de aplicación, operativos y de auditoría) |
| Redes | Punto final privado virtual(VPE) | Para acceder por red privada a los servicios de IBM Cloud, por ejemplo, Key Protect y Secrets Manager. |
| Seguridad | IAM | Cloud Identity and Access Management |
| Key Protect | Una solución de cifrado de servicio completo que permite proteger y almacenar datos en IBM Cloud | |
| Secrets Manager | Gestión de certificados y secretos | |
| IBM Cloud Security and Compliance Center Workload Protection | Implemente controles para proteger los datos y los despliegues de carga de trabajo, y evalúe la seguridad y la posición de conformidad | |
| Gestión de servicios | IBM Cloud Monitoring | Aplicaciones y supervisión operativa |
| IBM Cloud Logs | Apps y registros operativos | |
| Activity Tracker Event Routing | Registros de auditoría |
Conformidad
Garantiza la conformidad con algunos de los controles del perfil CIS IBM Cloud Foundations Benchmark. Para ver la lista de controles añadidos, siga estos pasos:
- Vaya al catálogo IBM Cloud y busque la arquitectura desplegable Cloud foundation for security and observability.
- Pulse el mosaico de la arquitectura desplegable para abrir los detalles. La pestaña Seguridad y conformidad lista todos los controles que se incluyen en la arquitectura desplegable.