Sicherheit und Compliance

Schutz vor unbefugtem Zugriff

Von IBM Cloud® Messages for RabbitMQ werden die folgenden Methoden für den Schutz von Daten bei der Übertragung und ruhenden Daten verwendet.

Von allen Messages for RabbitMQ-Verbindungen wird für Daten bei der Übertragung die TLS/SSL-Verschlüsselung verwendet. Die aktuelle unterstützte Version dieser Verschlüsselung ist TLS 1.2.
Der Zugriff auf das Konto, die Benutzerschnittstelle der Managementkonsole und die API werden durch Identity and Access Management (IAM) geschützt.
Der Zugriff auf die Datenbank ist durch die von der Datenbank zur Verfügung gestellten standardmäßigen Mechanismen für die Zugriffssteuerung geschützt. Diese Zugriffssteuerungsmechanismen sind so konfiguriert, dass sie gültige Berechtigungsnachweise auf Datenbankebene erfordern, die nur durch den vorherigen Zugriff auf die Datenbank oder über die UI oder API der Managementkonsole erhältlich sind.
Der gesamte Messages for RabbitMQ-Plattenspeicher wird unter Verwendung von AES-256 auf Speicher bereitgestellt, der mit LUKS verschlüsselt ist. Die Standardschlüssel werden durch Key Protect verwaltet. Durch die Integration von Key Protect besteht auch die Möglichkeit zur BYOK-Verschlüsselung (Bring-Your-Own-Key).
IP-Zulassungsliste - Alle Bereitstellungen unterstützen Zulassungslisten für IP-Adressen, um den Zugriff auf den Service zu beschränken.
Öffentliche und private Netze - Messages for RabbitMQ ist in Serviceendpunkte integriert. Sie können auswählen, ob Verbindungen über das öffentliche Netz, das interne Netz von IBM Cloud oder über beide Netze verwendet werden sollen.
Dedizierte Kerne: Die Zuordnung dedizierter Kerne zu Ihrer Bereitstellung führt zu einer Isolation auf Hypervisorebene für Ihre Datenbankinstanz, indem isolierte virtuelle Maschinen verwendet werden, um sicherzustellen, dass Ihre Datenverarbeitung von anderen Kunden getrennt bleibt. Außerdem bietet dies eine garantierte Mindestzahl von CPUs für Ihre Bereitstellung. Implementierungen mit dedizierten Kernen in derselben Ressourcengruppe und IBM Cloud-Region können eine virtuelle Maschine gemeinsam nutzen.

Datenausfallsicherheit

Sicherungen sind im Service enthalten. Messages for RabbitMQ -Sicherungen befinden sich in IBM Cloud Object Storage und sind auch verschlüsselt.
RabbitMQ-Sicherungen enthalten nur Definitionen, Topologiedaten und Metadaten. In den Sicherungen werden nicht die Nachrichten gespeichert.
Alle Messages for RabbitMQ-Bereitstellungen werden mit einer Replikation konfiguriert. Die Bereitstellungen enthalten einen Cluster mit drei Knoten, wobei alle drei Knoten gleichgeordnet sind. Die Warteschlangen werden auf allen drei Knoten gespiegelt.
Wenn die Bereitstellung in einer IBM Cloud-Einzelzonenregion (SZR) erfolgt, befindet sich jeder Datenbankknoten auf einem anderen Host im Rechenzentrum.
Wenn die Bereitstellung in einer IBM Cloud-Mehrzonenregion (MZR) erfolgt, werden die Knoten auf die Standorte der Verfügbarkeitszonen der Region verteilt.

SOC 2 Type 2-Zertifizierung

IBM stellt einen Service Organization Controls (SOC) 2 Type 2-Bericht für Messages for RabbitMQ bereit. In diesem Bericht werden die Betriebssteuerungen von IBM im Hinblick auf die von den American Institute of Certified Public Accountants (AICPA) Trust Services Principles festgelegten Kriterien ausgewertet. Die Trust Services Principles definieren adäquate Steuersysteme und legen Branchenstandards für Service-Provider wie IBM Cloud fest, um die Daten und Informationen ihrer Kunden zu sichern.

Einen SOC 2-Bericht des Typs 2 können Sie über das Kundenportal anfordern oder sich zu diesem Zweck an Ihren Vertriebsbeauftragten wenden. Alternativ können Sie ein Support-Ticket mit IBM Cloud Support öffnen.

ISO 27017, ISO 27018

Messages for RabbitMQ entspricht den Richtlinien für Informationssicherheitskontrollen, die für die Bereitstellung und Verwendung von Cloud-Services gelten, die in ISO 27017 und ISO 27018definiert sind.

HIPAA (Health Insurance Portability and Accountability Act)

Messages for RabbitMQ erfüllt die erforderlichen IBM Kontrollmechanismen, die mit den Sicherheits- und Datenschutzregeln des Health Insurance Portability and Accountability Act von 1996 (HIPAA) einhergehen. Diese Anforderungen umfassen geeignete administrative, physische und technische Sicherheitsmaßnahmen, die von Geschäftspartnern eingehalten werden müssen (45 CFR Teil 160 und Abschnitte A und C von Teil 164). HIPAA muss zum Zeitpunkt der Bereitstellung angefordert werden und erfordert die Unterzeichnung der ergänzenden Vereinbarung 'Business Associate Addendum' mit IBM durch einen Bevollmächtigten.

PCI DSS

{{site.data.keyword.databases-for-rabbitmq}} entsprechen dem Payment Card Industry Data Security Standard (PCI DSS). IBM Cloud führt jährliche PCI-DSS-Bewertungen mithilfe eines zugelassenen qualifizierten Sicherheitsbewerters (Qualified Security Assessor, QSA) durch. Die daraus resultierenden AOCs (Attestations of Compliance) und SRM-Anleitungen (Service Responsibility Matrix) sind auf Kundenanforderung verfügbar. Auditoren haben {{site.data.keyword.databases-for-rabbitmq}} hinsichtlich der Einhaltung von PCI DSS Version 3.2.1 auf Service Provider Level 1 geprüft.

Kunden sind für die Speicherung, Verarbeitung und Übertragung ihrer Karteninhaberdaten verantwortlich und können Karteninhaberdatenumgebungen (CDEs) erstellen, die Karteninhaberdaten über {{site.data.keyword.databases-for-rabbitmq}} speichern, übertragen oder verarbeiten. Kunden können die IBM Cloud-AOCs und SRM-Leitfäden anfordern und verwenden, wenn sie eigene PCI-DSS-Zertifizierungen anstreben. Es liegt in der Verantwortung des Kunden, Karteninhaberdatenumgebungen und Anwendungen zu dokumentieren und zu betreiben, die unter Verwendung von IBM Cloud-Plattformservices auf PCI DSS-konforme Weise erstellt wurden.

Kunden müssen sich mit diesen Prozessen vertraut machen und die Datenaufbewahrung und -entfernung für den Service gemäß den eigenen Richtlinien verwalten.

Eine vollständige Liste der PCI DSS-fähigen IBM Cloud-Plattformservices und Optionen zum Anfordern eines PCI DSS AOC-und SRM-Handbuchs finden Sie auf der IBM Cloud-Konformitätsseite.