IBM Cloud Docs
Como garantir seus dados com criptografia

Como garantir seus dados com criptografia

Analise quais dados são armazenados e criptografados quando você usa o site IBM Cloud Schematics e como você pode excluir quaisquer dados de usuário armazenados.

Para garantir que você possa gerenciar seus dados com segurança ao usar o site Schematics, é importante saber quais dados são armazenados e criptografados e como você pode excluir os dados armazenados. A criptografia de dados é realizada com chaves gerenciadas por Key Protect ou Hyper Protect Crypto Services.

Como seus dados são armazenados e criptografados no Schematics

Todos os dados, as entradas do usuário e os dados gerados no tempo de execução durante a execução do código de automação do Terraform ou do Ansible são armazenados em IBM Cloud Object Storage. Os dados são criptografados em repouso com a criptografia AES GCM 256 usando uma técnica criptografia de envelope com IBM Cloud chaves raiz gerenciadas. Key Protect as chaves raiz gerenciadas são protegidas por FIPS 140-2 Level 3 baseadas em nuvem certificadas módulos de segurança de hardware(HSMs)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service..

Schematics suporta três tipos de gerenciamento de chave raiz:

  1. Schematics propriedade da raiz de propriedade gerenciada por Key Protect. (O padrão)
  2. Traga sua própria chave (BYOK), gerenciada pelo Key Protect.
  3. Mantenha a sua própria chave (KYOK), gerenciada por Hyper Protect Crypto Services (HPCS)

Consulte a integração do KMS para o BYOK ou KYOK para obter detalhes sobre o uso de chaves gerenciadas pelo usuário.

O Key Protect oferece rotação de chave manual e automática. Ao girar uma chave raiz, a chave registrada é usada para re-criptografar recursos do Schematics com uma nova versão da chave. Você pode acessar os metadados dos recursos do Schematics, como detalhes, até que a rotação seja concluída.

Exclusão ou desativação de chave

A exclusão de chave é uma ação destrutiva. Ao desativar ou excluir uma chave raiz usada para criptografar seus recursos do Schematics, não é possível acessar dados transacionais, como logs de atividades ou de tarefas, lista de recursos, armazenamento variável. No entanto, é possível acessar os detalhes dos metadados. Além disso, qualquer operação subsequente de implementação ou configuração por meio do site Schematics resultará em falha. Os eventos de exclusão ou de desativação de chave são enviados para o IBM Log Analysis Activity Tracker.

Ativação ou restauração de chave

Quando você pode habilitar ou restaurar uma chave raiz, os dados transacionais dos recursos do Schematics que estão inacessíveis devido à chave raiz desabilitada ou excluída agora podem ser acessados. Também é possível utilizar recursos do Schematics para operações de implementação ou de configuração. Os eventos de ativação ou de restauração da chave são enviados para o IBM Log Analysis Activity Tracker.

Quais informações técnicas são armazenadas em Schematics?

Os dados técnicos a seguir são criptografados e armazenados quando você cria e usa uma área de trabalho do Schematics: -Detalhes da área de trabalho; -variáveis da área de trabalho

  • Arquivos de configuração do Terraform para os quais seu espaço de trabalho aponta -Arquivos de estado Terraform -Arquivos de log Terraform -logs de atividades do usuário

Onde minhas informações são armazenadas?

Por padrão, todas as informações que são armazenadas no Schematics são criptografadas em trânsito e em repouso. Para garantir resiliência e alta disponibilidade, todos os dados armazenados nas geografias dos EUA e da UE são replicados em vários locais na mesma geografia. Ao escolher um local do Schematics com o qual trabalhar, verifique se seus dados podem ser armazenados nesses locais geográficos.

Informações de local
Geografia / local Terminal de API Dados armazenados Dados replicados
América do Norte Public
https://us.schematics.cloud.ibm.com

https://cloud.ibm.com/schematics/overview

Private
https://private-us.schematics.cloud.ibm.com (Descontinuado)		 As áreas de trabalho criadas com esse terminal e todos os dados associados são armazenados nos EUA. Os dados são replicados entre dois locais nos EUA.
Dallas Public
https://us-south.schematics.cloud.ibm.com

Private
https://private-us-south.schematics.cloud.ibm.com		 As áreas de trabalho que são criadas com esse terminal e todos os dados associados são armazenados no local de Dallas. Os dados são replicados entre dois locais nos EUA.
Washington Public
https://us-east.schematics.cloud.ibm.com

Private
https://private-us-east.schematics.cloud.ibm.com		 As áreas de trabalho que são criadas com esse terminal e todos os dados associados são armazenados no local de Washington. Os dados são replicados entre dois locais nos EUA.
Europa Public
https://eu.schematics.cloud.ibm.com

Private
https://private-eu.schematics.cloud.ibm.com (Descontinuado)		 As áreas de trabalho criadas com esse terminal e todos os dados associados são armazenados na Europa. Os dados são replicados entre dois locais na Europa.
Frankfurt Public
https://eu-de.schematics.cloud.ibm.com

Private
https://private-eu-de.schematics.cloud.ibm.com		 As áreas de trabalho que são criadas com esse terminal e todos os dados associados são armazenados em Frankfurt. Os dados são replicados entre dois locais na Europa.
Londres Public
https://eu-gb.schematics.cloud.ibm.com

Private
https://private-eu-gb.schematics.cloud.ibm.com		 As áreas de trabalho que são criadas com esse terminal e todos os dados associados são armazenados em Londres. Os dados são replicados entre dois locais na Europa.

Como minhas informações são criptografadas?

A imagem a seguir mostra os componentes principais IBM Cloud Schematics e fluxos de dados operacionais. As interações para criptografar dados do usuário usando o cliente-gerenciado do cliente Key Protect e Hyper Protect Crypto Services, e o armazenamento em IBM Cloud Object Storage estão representadas.

IBM Cloud Schematics arquitetura e processo de criptografia de dados
IBM Cloud Schematics arquitetura e processo de criptografia de dados

  1. Um usuário envia uma solicitação para criar um espaço de trabalho Schematics para o servidor da API Schematics. Uma solicitação do IAM é feita para verificar se o usuário está autorizado a executar operações Schematics para a área de trabalho.
  2. O servidor de API recupera o modelo do Terraform e as variáveis de entrada do repositório de origem do GitHub ou do GitLab ou um arquivo tar (.tar) transferido por upload da máquina local. Os dados do usuário no trânsito são protegidos com TLS.
  3. Todas as ações iniciadas pelo usuário, como criar um espaço de trabalho, gerar um plano de execução do Terraform ou aplicar um plano, são enviadas para RabbitMQ e adicionadas à fila interna. O mecanismo Schematics recupera pedidos de RabbitMQ e executa as ações. Os dados do usuário no trânsito são protegidos com TLS.
  4. O mecanismo Schematics executa as tarefas para provisionar, modificar ou excluir recursos da nuvem.
  5. Para proteger dados do usuário em repouso, o IBM Cloud Schematics criptografa dados com criptografia AES GCM 256. A criptografia de envelope com chaves raiz gerenciadas com Key Protect e Hyper Protect Crypto Services é usada para gerar e criptografar chaves de criptografia de dados exclusivas (DEK) para os objetos de dados.
  6. Os dados transacionais da área de trabalho são criptografados usando os DEKs, incluindo logs e o arquivo Terraform tf.state em repouso. Os dados criptografados armazenados em um balde IBM Cloud Object Storage.
  7. Dados operacionais de área de trabalho, área de trabalho e nomes de tarefas, ponteiros para os dados do usuário em IBM Cloud Object Storage e chaves de pesquisa, são armazenados em IBM Cloudant. Todas as informações armazenadas em Cloudant são criptografadas com AES 256. Para obter mais informações sobre a segurança e a criptografia de dados do Cloudant, consulte Cloudant Security.

Como excluir minhas informações?

Para remover seus dados do IBM Cloud Schematics, escolha entre as opções a seguir:

Excluir o espaço de trabalho
Quando você exclui seu espaço de trabalho, todos os dados relacionados a ele são excluídos permanentemente. Abra um caso de suporte em IBM Cloud
Entre em contato com o suporte IBM para remover seus espaços de trabalho e quaisquer dados associados, abrindo um caso de suporte. Para obter mais informações, veja Obtendo suporte. Encerrar sua assinatura do site IBM Cloud
Um trabalho de limpeza Schematics é executado várias vezes ao dia para verificar se todos os espaços de trabalho armazenados por IBM pertencem a uma conta IBM Cloud ativa. Se nenhuma conta ativa for encontrada, o espaço de trabalho e todos os dados armazenados associados serão excluídos.