安全性與可觀察性的雲端基礎設施
此參考架構總結了以下方面的部署和最佳實踐IBM Cloud用於設定基本安全服務及其相關相依性。IBM Cloud的基本安全服務對於確保基於雲端的應用程式和資料的強大安全性和合規性至關重要。 其主要目標是提供安全且合規的 IBM Cloud 工作量架構。
以下是每一個服務的簡要概觀:
Key Protect: 此服務提供安全且可擴充的方式來管理雲端應用程式的加密金鑰。 它可透過管理及保護加密金鑰來確保機密資料受到保護,從而促進符合業界標準及法規需求。
Secrets Manager: 此服務協助安全地儲存及管理機密性資訊,例如 API 金鑰、認證及憑證。 通過集中化密鑰管理,降低了曝光的風險,簡化了密鑰訪問和旋轉的過程,從而增強了安全態勢。
IBM Cloud Security and Compliance Center Workload Protection: 此服務提供下列特性: 保護工作量、取得深層雲端和儲存器可見性、情勢管理 (合規性、基準性能測試、CIEM)、漏洞掃描、取證以及威脅偵測和封鎖。
此參考架構展示這些服務如何在 IBM Cloud中形成基礎安全層,以加強資料保護、簡化合規性並加強任何工作量的整體雲端安全。
架構圖
下圖表示安全與可觀察性可部署架構上的雲端基礎架構,並重複使用 IBM Cloud Framework for Financial Services 的 最佳實作。
架構由三個基本服務支撐:Key Protect、Secrets Manager和Compliance Manager。 這些服務為託管在IBM Cloud上的任何客戶工作負載提供整合端點。
- Key Protect
Key Protect 負責集中管理 IBM Cloud Object Storage 桶、Secrets Manager 和事件通知資源所使用的加密金鑰的生命週期。 此外,它還可以針對任何需要保護的客戶工作負載管理加密金鑰。 若要使用 Key rings 和 Keys 自動佈建 Key Protect,您可以使用 Terraform IBM 模組(TIM) 為 Key Protect.
module "kms" {
source = "terraform-ibm-modules/kms-all-inclusive/ibm"
version = "<version>"
resource_group_id = "<resource_group_id>"
region = "<region>"
key_protect_instance_name = "<instance_name>"
keys = [
{
key_ring_name = "<key_ring_name>"
keys = [
{
key_name = "<root_key_name>"
force_delete = true
}
]
}
]
}
- Secrets Manager
Secrets Manager 安全地儲存和管理敏感資訊,包括 API 金鑰、憑證和證書。 它使用來自 Key Protect 的加密金鑰來加密敏感資料,並密封和解除密封存放秘密的保險庫。 它已預先設定將事件傳送至 Event Notifications 服務,讓客戶設定電子郵件或簡訊通知。 此外,它會自動配置為將所有 API 日誌轉遞至客戶的記載實例。 要自動化佈建,您可以使用 Terraform IBM 模組(TIM) 進行 Secrets Manager.
module "secrets_manager" {
source = "terraform-ibm-modules/secrets-manager/ibm"
version = "<version>"
resource_group_id = "<resource_group_id>"
region = "<region>"
secrets_manager_name = "<instance_name>"
}
- IBM Cloud Security and Compliance Center Workload Protection
IBM Cloud Security and Compliance Center Workload Protection 實例已使用 App Configuration 實例的 Configuration Aggregator 功能預先設定為啟用雲端 Security Posture Management (CSPM),而 實例也是此解決方案的一部分。
module "workload_protection" {
source = "terraform-ibm-modules/scc-workload-protection/ibm"
version = "<version>"
name = "<instance_name>"
region = "<region>"
resource_group_id = "<resource_group_id>"
}
IBM Cloud Object Storage 儲存區已設定為接收來自記載及警示服務的日誌。 每一個儲存區都配置為使用 Key Protect所管理的加密金鑰來加密靜態資料。
設計概念
- 儲存體: 備份、保存
- 網路: 雲端原生連線功能
- 安全: 資料安全、身分與存取、應用程式安全、威脅偵測與回應、基礎架構與端點、控管、風險與合規
- 備援: 高可用性
- 服務管理: 監視、記載、審核及追蹤、自動化部署
需求
下表概述此架構中解決的需求。
| 層面 | 需求 |
|---|---|
| 網路 | 提供安全且加密的雲端私有網路連線功能,以進行管理。 |
| 安全 | 加密傳輸中及靜止中的所有應用程式資料,以防止未獲授權的揭露。 加密所有安全資料 (作業及審核日誌) ,以防止未獲授權的揭露。 使用客戶管理的金鑰來加密所有資料,以符合其他安全及客戶控制的合規性需求。 在整個生命週期中保護密鑰,並使用存取控制措施來保護密鑰的安全。 |
| 備援 | 支援應用程式可用性目標和企業永續性原則。 確保應用程式在計劃性和非計劃性中斷執行期間的可用性。 備份應用程式資料以在意外中斷執行期間啟用回復。 為安全資料 (日誌) 和備份資料提供高可用性儲存體。 |
| 服務管理 | 監視系統及應用程式性能度量值和日誌,以偵測可能影響應用程式可用性的問題。 針對可能影響應用程式可用性的問題產生警示/通知,以觸發適當的回應來將關閉時間縮至最短。 監視審核日誌以追蹤變更並偵測潛在的安全問題。 提供機制來識別及傳送在審核日誌中找到的問題的相關通知。 |
元件
下表概述每一個層面在架構中使用的產品或服務。
| 各方面 | 架構元件 | 元件的使用方式 |
|---|---|---|
| 儲存空間 | IBM Cloud Object Storage | Web 應用程式靜態內容、備份、日誌 (應用程式、作業及審核日誌) |
| 網路 | 虛擬專用端點(VPE) | 用於私人網路存取 IBM Cloud 服務,例如 Key Protect 和 Secrets Manager。 |
| 安全 | IAM | Cloud Identity and Access Management |
| Key Protect | 完整服務加密解決方案,容許在 IBM Cloud 中保護及儲存資料 | |
| Secrets Manager | 憑證及密鑰管理 | |
| IBM Cloud Security and Compliance Center Workload Protection | 實作安全資料和工作負載部署的控制項,並評量安全與合規狀態 | |
| 服務管理 | IBM Cloud Monitoring | 應用程式及作業監視 |
| IBM Cloud Logs | 應用程式及作業日誌 | |
| Activity Tracker Event Routing | 審核日誌 |
合規性
確保符合 CIS IBM Cloud Foundations Benchmark 設定檔中的部分控制項。 若要檢視新增的控制項清單,請遵循下列步驟:
- 前往 IBM Cloud 目錄,搜尋 Cloud foundation for security and observability 可部署架構。
- 按一下可部署架構的磚,以開啟詳細資料。 安全與相符性標籤會列出可部署架構中包含的所有控制項。
Terraform IBM 模組 (TIM)
此架構中的服務以開放原始碼、適用於企業的 Terraform IBM Modules(TIM) 為基礎。 完整的堆疊原始碼,包括所有的模組接線和輸入配置,都可以在 雲端基礎的安全性和可觀察性 儲存庫中找到。