IBM Cloud Docs
Seguridad y conformidad

Seguridad y conformidad

Puede utilizar características integradas de seguridad en IBM Cloud Satellite® para análisis de riesgos y protección de la seguridad. Estas características le ayudan a proteger las cargas de trabajo de Satellite que se ejecutan en su infraestructura de ubicaciones y de la comunicación de red.

Seguridad de datos

Obtenga más información sobre las opciones para proteger los datos que utiliza para las cargas de trabajo en IBM Cloud Satellite.

¿Qué datos se almacenan cuando se utiliza Satellite? ¿Cómo puedo utilizar mis propias claves para cifrar mis datos?

Consulte Protección de los datos en IBM Cloud Satellite.

¿Qué medidas puedo tomar para proteger el acceso de usuario a los datos de mi ubicación?

Revise las siguientes maneras de proteger el acceso a su ubicación.

Acceso operativo de IBM

Puede obtener más información sobre el acceso operativo de IBM a la ubicación de Satellite y cómo supervisar las actividades iniciadas por IBM.

¿Qué acceso automatizado tiene IBM a mi ubicación?

Las operaciones como la conexión de host, la asignación de host y las actualizaciones de versiones mayores y menores para los hosts de plano de control de ubicaciones de Satellite se controlan por automatización a través del servidor de la API de IBM Cloud Satellite en IBM Cloud. El servidor API Satellite se comunica con el plano de gestión, que también existe en IBM Cloud, para realizar estos cambios en su ubicación.

El mantenimiento regular y las herramientas de automatización acceden a los maestros de los clústeres de servicio IBM Cloud habilitados para Satelliteen la ubicación a través del punto final de enlace openshift-api-<cluster_ID> predeterminado. Este punto final permite que la API de Red Hat OpenShift on IBM Cloud se comunique con el nodo maestro del clúster de servicio. Por ejemplo, si crea un clúster Red Hat OpenShift para ejecutar aplicaciones en su ubicación, todas las actualizaciones de versión para el maestro de ese clúster se aplican automáticamente a través del punto final predeterminado openshift-api-<cluster_ID> Link para ese clúster.

Las actualizaciones de los servicios IBM Cloud habilitados para Satelliteque se ejecutan en hosts de la ubicación los inicia el equipo de IBM Cloud para dicho servicio. Cuando un cambio está listo para ser desplegado en un servicio, el equipo de servicio IBM Cloud habilitado para Satelliteutiliza Satellite Config para subir una nueva versión del servicio a la suscripción en la que se incluye el clúster de servicio IBM Cloud habilitado para Satellite. Cuando se aplica la actualización mediante Satellite Config, el plano de control para el servidor API, que existe en IBM Cloud, despliega la actualización en el maestro del clúster de servicios IBM Cloud habilitado para Satellite en su ubicación a través del punto final de enlace predeterminado openshift-api-<cluster_ID>. El maestro del clúster aplica a continuación las actualizaciones en los nodos trabajadores del clúster.

¿Qué acceso tienen los SRS de IBM a mi plano de control de ubicación, incluidos los maestros de los clústeres de servicio IBM Cloud habilitados para Satellite?

El punto final predeterminado satellite-healthcheck-<location_ID> Link permite que el plano de gestión Satellite compruebe el estado del clúster del plano de control de su ubicación y alerta a los ingenieros de fiabilidad del sitio (SRE) de IBM cuando es necesaria una intervención manual.

  • Para resolver manualmente problemas con la gestión de la infraestructura de ubicación de Satellite, como por ejemplo la asignación o la conexión de hosts, los SRE de IBM utilizan herramientas para acceder al servidor de la API de IBM Cloud Satellite. El servidor de API de Satellite se comunica con el plano de gestión Satellite en IBM Cloud.
  • Para resolver manualmente problemas con los maestros de clústeres de servicio IBM Cloud habilitados para Satelliteen la ubicación, por ejemplo, si el maestro no puede desplegar correctamente, IBM SREs utiliza las herramientas para acceder al punto final de enlace openshift-api-<cluster_ID> predeterminado para el maestro del clúster de servicio.

Tenga en cuenta que las herramientas se controlan a través de la región de IBM Cloud desde donde se gestiona la ubicación de Satellite.

¿Qué acceso tienen los SRS de IBM a mis datos y cargas de trabajo que se ejecutan en mis clústeres de servicio IBM Cloud habilitados para Satellite?

Satellite Link utiliza un modelo de confianza cero: IBM Cloud no tiene acceso a sus cargas de trabajo de forma predeterminada. Cualquier gestión de la infraestructura en la ubicación iniciada por IBM ERE se produce a través del servidor de API de Satellite , que existe en IBM Cloud, y cualquier gestión de maestros de clúster de servicio IBM Cloud habilitados para Satellite se produce a través del punto final de enlace openshift-api-<cluster_ID> predeterminado para dicho clúster.

El acceso a través del punto final openshift-api-<cluster_ID> está aislado de las cargas de trabajo y las conexiones de red, como por ejemplo los puntos finales de enlace, que utilizan las cargas de trabajo. openshift-api-<cluster_ID> proporciona acceso solo al plano de control de ubicación de Satellite. Los ERE de IBM no tienen acceso a los hosts que se asignan como nodos de trabajo de los clústeres de servicio IBM Cloud habilitados para Satellite, donde se ejecutan cargas de trabajo en la ubicación, porque no se crean puntos finales de enlace predeterminados para las cargas de trabajo que se ejecutan en estos nodos de trabajo, y todo el acceso SSH está inhabilitado como parte del proceso de arranque del host.

¿Cómo puedo supervisar y gestionar el acceso de IBM a mi ubicación?

Los puntos finales predeterminados de Satellite Link se crean para el clúster de plano de control de la ubicación y para cualquier otro servicio habilitado para Satellite que ejecute en su ubicación. Estos puntos finales de Satellite Link predeterminados solo son accesibles desde la red privada de IBM Cloud. Para revisar estos puntos finales, consulte Puntos finales de enlace predeterminados para el acceso de IBM Cloud a la ubicación de Satellite. Tiene un control completo sobre estos puntos finales predeterminados, incluida la capacidad de inhabilitarlos. Sin embargo, la inhabilitación de estos puntos finales impide que la ubicación se pueda gestionar y actualizar por completo, y no se pueden eliminar los puntos finales.

El enlace Satellite proporciona controles incorporados para ayudarle a restringir qué clientes pueden acceder a los puntos finales, asegurándose de que no haya puntos de acceso de puerta trasera en los hosts. Para obtener más información, consulte Controles de acceso y auditoría.

Además, puede configurar la auditoría para supervisar los eventos iniciados por el usuario para los puntos finales de enlace. IBM Cloud Satellite se integra con IBM Cloud Logs para recopilar y enviar eventos de auditoría de todos los puntos finales de enlace de su ubicación a su instancia IBM Cloud Logs. Por ejemplo, tras configurar la auditoría de sucesos, puede revisar todos los sucesos relacionados con los maestros de los clústeres que se ejecutan en su ubicación, incluidos los sucesos que inicia IBM Cloud. Para empezar con la auditoría, consulte Auditoría de sucesos para acciones de punto final.

¿Qué ocurre si Satellite Link deja de estar disponible? ¿Puede IBM mantener mi ubicación de Satellite?

Satellite Link depende de la conectividad subyacente de la red local de los hosts para supervisar y mantener los servicios gestionados para su ubicación de Satellite. Si Satellite Link deja de estar disponible, los cambios solicitados en la ubicación de Satellite, como por ejemplo añadir hosts o solicitudes de control de acceso a los servicios de IBM a través de Cloud Identity and Access Management, se interrumpen. Una vez restablecida la conectividad, los registros y eventos se envían a sus instancias de IBM Cloud Logs.

Tenga en cuenta que las cargas de trabajo de su ubicación siguen ejecutándose de forma independiente incluso si la conectividad de la ubicación con IBM Cloud no está disponible. Sin embargo, si las aplicaciones utilizan un punto final de Link para comunicarse con IBM Cloud, la comunicación entre dichas apps y IBM Cloud se interrumpe.

Para obtener más información sobre cómo hacer que su ubicación de Satellite cuente con una alta disponibilidad, consulte Alta disponibilidad y recuperación tras desastre para IBM Cloud Satellite.

Certificados digitales para hosts y dominios de Satellite

Los certificados de Let's Encrypt se generan automáticamente para varios dominios y hosts de IBM Cloud Satellite. La renovación periódica de estos certificados ayuda a mantener protegidos los componentes de Satellite. Para ver las fechas de caducidad de cada certificado y saber si usted o IBM es responsable de volver a generar el certificado, revise la tabla siguiente.

Certificados para dominios y hosts de Satellite
Componente Ejemplo de dominio Caducidad del certificado Quién regenera Cómo regenerar
Punto final de API de Red Hat OpenShift on IBM Cloud predeterminado (openshift-api-<cluster_ID>) para cada clúster de servicio IBM Cloud habilitado para Satellite c-04.private.us-east.link.satellite.cloud.ibm.com 19800 horas (~ 2,26 años) Usted Regenerado durante una renovación maestra de clúster o actualización maestra de clúster.
Puntos finales predeterminados para servicios de IBM Cloud (IAM, Object Storage, Monitoring, IBM Cloud Logs) m65f0b26d6c5f695647f5-6b64a6ccc9c596bf59a86625d8fa2202-c000.us-east.satellite.appdomain.cloud 90 días IBM El servidor del túnel Link regenera el certificado, y el cliente del túnel Link se reinicia automáticamente para reflejar el certificado rotado.
Subdominios c000, c001, c002 y c003 de cada zona de ubicación s7033baaa45e1ae1a1060-d603ff82e51c94176a53d44566df9d79-c000.us-south.satellite.appdomain.cloud 19800 horas (~ 2,26 años) Usted Regenerado durante una renovación maestra de clúster o actualización maestra de clúster.
Subdominios ce00 de Ingress s7033baaa45e1ae1a1060-d603ff82e51c94176a53d44566df9d79-ce00.us-south.satellite.appdomain.cloud 90 días IBM Configuración de Ingress.
Conexión de nodo de trabajador con el servidor de API 10.240.128.09 3 años Usted Actualizar hosts asignados como nodos de trabajador.
Punto final de API de plano de gestión de Satellite http://c103-1.containers.cloud.ibm.com/ 19800 horas (~ 2,26 años) IBM Regenerado durante los despliegues automatizados de actualizaciones de versiones mayores y menores para los hosts del plano de gestión de ubicaciones Satellite.
Satellite hosts del plano de gestión
19800 horas (~ 2,26 años) IBM Actualizar hosts de plano de control.

Conformidad y certificación de plataforma

Obtenga más información sobre los estándares de conformidad para el servicio IBM Cloud Satellite.

¿A qué estándares de conformidad cumple el servicio?

Consulte los estándares de conformidad en las preguntas más frecuentes de Satellite.

¿De qué áreas de cumplimiento de seguridad soy responsable?

Para obtener una visión general de quién es el responsable de determinados recursos de nube cuando se utiliza IBM Cloud Satellite, consulte la tabla de Visión general de las responsabilidades compartidas. Para obtener una descripción detallada de las áreas en las que se comparten responsabilidades entre usted y IBM en cuanto a seguridad y conformidad normativa, consulte Tareas para responsabilidades compartidas: Seguridad y conformidad normativa.

¿Cuáles son las responsabilidades de conformidad de seguridad de los servicios IBM Cloud habilitados para Satellite?

Para ver las opciones de seguridad y los estándares de conformidad de un servicio IBM Cloud habilitado para Satellite, revise la documentación para cada servicio IBM Cloud habilitado para Satellite. Por ejemplo, para los clústeres de Red Hat OpenShift , consulte ¿Qué estándares de conformidad cumple el servicio? en la documentación de Red Hat OpenShift on IBM Cloud.