IBM Cloud Docs
Protezione dei dati in VMware Solutions

Protezione dei dati in VMware Solutions

Conoscere i dati memorizzati e crittografati e le modalità di cancellazione dei dati memorizzati per garantire una gestione sicura dei propri dati personali quando si utilizza IBM Cloud® for VMware Solutions

Archiviazione e crittografia dei dati in VMware Solutions

Quando un utente si iscrive a VMware Solutions e ordina istanze, memorizziamo e gestiamo i dati utente di configurazione e i metadati associati all'utente e alle istanze ordinate. I dati dell'utente comprendono i seguenti elementi.

Per le istanze di VMware Cloud Foundation for Classic - Automated, i dati utente comprendono i seguenti elementi:

  • IBMid (e-mail)
  • Informazioni sulla configurazione dell'istanza
  • Informazioni sull'accesso all'istanza, come le credenziali di accesso a VMware Cloud Director, VMware vCenter Server® e VMware NSX® Manager
  • IBM Cloud credenziali classiche dell'infrastruttura (nome utente e chiave API)

Questi dati e metadati di configurazione sono archiviati e gestiti da IBM.È crittografato a REST e in transito. Inoltre, i dati sensibili, come le chiavi API e le informazioni di accesso, vengono crittografati con chiavi di crittografia specifiche per il cliente.

Per VCF for Classic - Automated, è possibile portare i propri dati su IBM Cloud server bare metal e IBM Cloud File Storage for Classic e IBM Cloud Block Storage for Classic gestiti dall'istanza VMware. Tutti questi dati sono gestiti dall'utente e non da IBM, e l'utente ha la possibilità di crittografarli utilizzando varie soluzioni.

Queste soluzioni comprendono le seguenti opzioni:

  • KMIP™ per il servizio VMware insieme a IBM Cloud Key Protect o IBM Cloud Hyper Protect Crypto Services per abilitare la crittografia di vSAN™ o VMware vSphere® per i carichi di lavoro
  • Altre tecnologie di crittografia autogestite VMware-compatibili

IBM per la protezione dei dati con Veeam

È possibile configurare il servizio Veeam in vari modi. Alcune opzioni includono il self-service, ma in tutti i casi IBM si imposta la conservazione dei punti di ripristino e delle catene di backup. Considerate le seguenti IBM per la protezione dei dati con Veeam.

Creazione di lavori di backup

Quando si crea un processo di backup, si aggiungono macchine virtuali o vApps al processo per la protezione dei dati e si definisce anche la pianificazione del processo di backup. La politica di IBM è di non rimuovere mai le macchine virtuali o le vApps dai lavori di backup o di eliminare i backup senza il vostro permesso.

Rimozione dei backup

Per rimuovere i backup, è possibile scegliere di rimuovere le macchine virtuali o le vApps dal processo di backup o di eliminare le macchine virtuali o le vApps di cui è stato eseguito il backup in precedenza. In entrambi i casi, l'utente è responsabile dell'eliminazione dei vecchi punti di ripristino. Prima di rimuovere le macchine virtuali o le vApps o di eliminare i punti di ripristino, considerare le seguenti informazioni.

Formato della catena di backup

Per Veeam 12 e successivi, il criterio IBM utilizza il backup per macchina con file di metadati separati per il formato della catena di backup. Per ulteriori informazioni, vedere Formati della catena di backup.

Politica di conservazione dei lavori di backup

Il criterio di conservazione del backup definisce il numero di punti di ripristino da conservare su disco. Una volta superato il numero consentito di punti di ripristino, Veeam applica il criterio di conservazione per rimuovere il primo punto di ripristino dalla catena di backup. A seconda dei requisiti aziendali, è responsabilità dell'utente impostare il criterio di conservazione al momento della creazione del processo di backup. Per ulteriori informazioni, consultare Politiche di conservazione a breve termine.

È possibile aggiornare il criterio di conservazione in un secondo momento. Tuttavia, le nuove impostazioni vengono applicate solo ai nuovi dati e non possono essere applicate ai dati precedenti che mantengono l'impostazione precedente del criterio di conservazione.

Rimozione dei punti di ripristino

Veeam mantiene almeno una catena di backup completa e non rimuove i vecchi punti di ripristino finché non viene creato un secondo backup completo (sintetico o attivo) e non inizia una nuova catena di backup. Per ulteriori informazioni, vedere Rimozione dei punti di ripristino.

Politica di conservazione degli elementi eliminati

Veeam ha l'impostazione Rimuovi i dati degli elementi eliminati dopo disponibile per ogni processo di backup per eliminare i punti di ripristino degli elementi eliminati dopo un determinato numero di giorni. Il criterio IBM non attiva questa impostazione per impostazione predefinita, ma può attivarla quando viene aperto un caso di assistenza. Per abilitare l'impostazione è necessario fornire le seguenti informazioni nel caso di assistenza.

  • I nomi dei processi di backup per i quali si desidera attivare l'impostazione.
  • Il valore, in giorni, da impostare per l'impostazione Rimuovi i dati degli elementi eliminati dopo.

Quando questa opzione è attivata, i punti di ripristino di qualsiasi VM o vApp non più elaborati dal processo di backup vengono eliminati definitivamente dopo il numero di giorni impostato.

Per ulteriori informazioni, vedere Politica di conservazione degli elementi eliminati.

Il criterio di conservazione viene applicato solo se il lavoro interrompe la creazione di backup per l'intera vApp. Pertanto, la rimozione delle macchine virtuali all'interno di vApps non comporta l'eliminazione automatica dei punti di ripristino. È responsabilità dell'utente eliminare i punti di ripristino.

Spostamento di elementi tra i processi di backup

È possibile spostare le macchine virtuali o le vApps tra i processi di backup. Qualsiasi VM o vApp spostata in un nuovo processo di backup comporta una nuova catena di backup e punti di ripristino sotto il nuovo processo di backup. La rimozione del backup originale e dei punti di ripristino in questo caso rientra nella stessa categoria della rimozione dei backup. L'utente è responsabile dell'eliminazione dei punti di ripristino originali.

Protezione dei dati sensibili in VMware Solutions

IBM Cloud Accesso al supporto

IBM Cloud L'assistenza ha accesso all'ambiente di virtualizzazione VMware.

Per VCF for Classic - Automated, IBM mantiene questo accesso per consentire le operazioni automatizzate del giorno 2, come l'espansione della capacità, e per consentire il supporto alla risoluzione dei problemi. Per ulteriori informazioni, vedere Politiche di accesso alle istanze dei clienti e Consenso all'accesso agli ambienti dei clienti.

Per VCF for Classic - Automated, è possibile adottare misure per limitare IBM Cloud l'accesso alla propria istanza. Queste fasi possono includere le seguenti azioni:

  • È necessario creare un account funzionale IBM Cloud per possedere la chiave API fornita a VMware Solutions per il provisioning. Assicuratevi di monitorare la casella di posta elettronica di questo account per verificare la presenza di eventuali avvisi.
  • È possibile rigenerare questa chiave API per revocare l'accesso all'automazione e all'assistenza alla propria chiave API. Quando è necessario ripristinare l'accesso IBM Cloud, ad esempio per distribuire un nuovo host, è necessario reinserire la chiave API nella pagina Impostazioni della console VMware Solutions.
  • IBM Cloud conserva un insieme di ID utente nella propria istanza. È possibile disattivare o revocare questi ID utente. Quando è necessario ripristinare l'accesso IBM Cloud, ad esempio per distribuire un nuovo host, è necessario riabilitare questi account. Se la password di questi account è stata modificata, è necessario aprire un ticket di assistenza per fornire la password aggiornata a IBM Cloud.

Informazioni sulle chiavi gestite dal cliente

Per VCF for Classic - Automated si utilizza la crittografia a busta per offrire chiavi gestite dal cliente. La crittografia delle buste all'interno di VMware Solutions utilizza il servizio KMIP per VMware per fornire la gestione delle chiavi per la crittografia di vSphere o vSAN.

Questa offerta utilizza IBM Cloud Key Protect o IBM Cloud Hyper Protect Crypto Services per l'impacchettamento e l'apertura delle chiavi. Key Protect offre la funzionalità BYOK (Bring Your Own Key) grazie all'utilizzo di moduli di sicurezza hardware (HSM) certificati FIPS 140-2 livello 3. Hyper Protect Crypto Services offre la funzionalità Keep Your Own Key (KYOK) grazie all'utilizzo di HSM certificati FIPS 140-2 livello 4.

Abilitazione delle chiavi gestite dal cliente per le VMware Solutions

È possibile utilizzare la gestione delle chiavi IBM Cloud con la crittografia vSphere o vSAN. Per ulteriori informazioni, consultare la guida all'implementazione di KMIP per VMware.

Lavorare con le chiavi gestite dai clienti per VMware Solutions

Per ulteriori informazioni sulle considerazioni relative alla gestione delle chiavi VMware, alla revoca e alla rotazione delle chiavi, vedere:

Eliminazione dei dati in VMware Solutions

Eliminazione delle istanze di VMware Solutions

Quando si elimina un'istanza VCF for Classic - Automated, tutti i dati del carico di lavoro dei clienti associati vengono eliminati. Anche le risorse IaaS sottostanti vengono eliminate alla fine del ciclo di fatturazione corrispondente

Insieme alla cancellazione dell'istanza, anche la configurazione e i metadati dell'istanza vengono contrassegnati come "inattivi". È possibile richiedere la cancellazione completa dei metadati tramite un ticket "secure wipe".

Ripristino dei dati eliminati per VMware Solutions

È responsabilità dell'utente provvedere al backup e al ripristino di tutti i dati forniti a VMware Solutions. IBM Cloud non esegue il backup dei dati del carico di lavoro e non può ripristinarli dopo l'eliminazione.