IBM Cloud Essential Security and Observability Services
此參考架構總結了以下方面的部署和最佳實踐IBM Cloud用於設定基本安全服務及其相關相依性。IBM Cloud的基本安全服務對於確保基於雲端的應用程式和資料的強大安全性和合規性至關重要。 其主要目標是提供安全且合規的 IBM Cloud 工作量架構。
以下是每一個服務的簡要概觀:
Key Protect: 此服務提供安全且可擴充的方式來管理雲端應用程式的加密金鑰。 它可透過管理及保護加密金鑰來確保機密資料受到保護,從而促進符合業界標準及法規需求。
Secrets Manager: 此服務協助安全地儲存及管理機密性資訊,例如 API 金鑰、認證及憑證。 通過集中化密鑰管理,降低了曝光的風險,簡化了密鑰訪問和旋轉的過程,從而增強了安全態勢。
Security and Compliance Center: 此平台提供綜合性工具套組,可用來評量、監視及維護雲端環境的安全與相符性。 它提供洞察和控制,以協助組織符合法規需求、遵守最佳作法,以及防範威脅。
IBM Cloud Security and Compliance Center Workload Protection: 此服務提供下列特性: 保護工作量、取得深層雲端和儲存器可見性、情勢管理 (合規性、基準性能測試、CIEM)、漏洞掃描、取證以及威脅偵測和封鎖。
此參考架構展示這些服務如何在 IBM Cloud中形成基礎安全層,以加強資料保護、簡化合規性並加強任何工作量的整體雲端安全。
架構圖
下圖表示了該架構的架構IBM Cloud基本安全性和可觀察性服務可部署架構並重複使用 最佳實踐 為了IBM Cloud Framework for Financial Services。
架構由三個基本服務支撐:Key Protect、Secrets Manager和Security and Compliance Center。 這些服務為託管在IBM Cloud上的任何客戶工作負載提供整合端點。
- Key Protect
Key Protect 負責集中管理 IBM Cloud Object Storage 儲存區、Secrets Manager所使用加密金鑰的生命週期,以及事件通知資源。 此外,它還可以針對任何需要保護的客戶工作負載管理加密金鑰。
- Secrets Manager
Secrets Manager 可安全地儲存及管理機密性資訊,包括 API 金鑰、認證及憑證。 它使用來自 Key Protect 的加密金鑰來加密機密資料,以及密封和解除密封保留密鑰的儲存庫。 它預先配置為將事件傳送至 Event Notifications 服務,容許客戶設定電子郵件或 SMS 通知。 此外,它會自動配置為將所有 API 日誌轉遞至客戶的記載實例。
- Security and Compliance Center
Security Compliance Center 實例已預先配置為掃描參照架構所佈建的所有資源。 它可以擴展為包含IBM Cloud Security and Compliance Center Workload Protection以適應客戶的獨特工作負載。
IBM Cloud Object Storage 儲存區已設定為接收來自記載及警示服務的日誌。 每一個儲存區都配置為使用 Key Protect所管理的加密金鑰來加密靜態資料。
設計概念
- 儲存體: 備份、保存
- 網路: 雲端原生連線功能
- 安全: 資料安全、身分與存取、應用程式安全、威脅偵測與回應、基礎架構與端點、控管、風險與合規
- 備援: 高可用性
- 服務管理: 監視、記載、審核及追蹤、自動化部署
需求
下表概述此架構中解決的需求。
| 層面 | 需求 |
|---|---|
| 網路 | 提供安全且加密的雲端私有網路連線功能,以進行管理。 |
| 安全 | 加密傳輸中及靜止中的所有應用程式資料,以防止未獲授權的揭露。 加密所有安全資料 (作業及審核日誌) ,以防止未獲授權的揭露。 使用客戶管理的金鑰來加密所有資料,以符合其他安全及客戶控制的合規性需求。 在整個生命週期中保護密鑰,並使用存取控制措施來保護密鑰的安全。 |
| 備援 | 支援應用程式可用性目標和企業永續性原則。 確保應用程式在計劃性和非計劃性中斷執行期間的可用性。 備份應用程式資料以在意外中斷執行期間啟用回復。 為安全資料 (日誌) 和備份資料提供高可用性儲存體。 |
| 服務管理 | 監視系統及應用程式性能度量值和日誌,以偵測可能影響應用程式可用性的問題。 針對可能影響應用程式可用性的問題產生警示/通知,以觸發適當的回應來將關閉時間縮至最短。 監視審核日誌以追蹤變更並偵測潛在的安全問題。 提供機制來識別及傳送在審核日誌中找到的問題的相關通知。 |
元件
下表概述每一個層面在架構中使用的產品或服務。
| 各方面 | 架構元件 | 組件的使用方式 |
|---|---|---|
| 儲存空間 | IBM Cloud Object Storage | Web 應用程式靜態內容、備份、日誌 (應用程式、作業及審核日誌) |
| 網路 | 虛擬專用端點(VPE) | 如需 IBM Cloud 服務的專用網路存取權,例如 Key Protect、Key Protect、Security and Compliance Center。 |
| 安全 | IAM | Cloud Identity and Access Management |
| Key Protect | 完整服務加密解決方案,容許在 IBM Cloud 中保護及儲存資料 | |
| Secrets Manager | 憑證及密鑰管理 | |
| Security and Compliance Center | 實作安全資料和工作負載部署的控制項,並評量安全與合規狀態 | |
| IBM Cloud Security and Compliance Center Workload Protection | ||
| 服務管理 | IBM Cloud Monitoring | 應用程式及作業監視 |
| IBM Cloud Log Analysis | 應用程式及作業日誌 | |
| Activity Tracker Event Routing | 審核日誌 |
合規性
確保符合 CIS IBM Cloud Foundations Benchmark 設定檔中的部分控制項。 若要檢視新增的控制項清單,請遵循下列步驟:
- 去IBM Cloud目錄並蒐索IBM Cloud基本安全性和可觀察性服務可部署架構。
- 按一下可部署架構的磚,以開啟詳細資料。 安全與相符性標籤會列出可部署架構中包含的所有控制項。