Hyper Protect Virtual Servers para VPC

O Hyper Protect Virtual Servers para VPC tira proveito do IBM Secure Execution para Linux para fornecer um limite em torno de cada instância e fornece os seguintes benefícios:

• Selecionar disponibilidade

  Os perfis de instância para as instâncias do Hyper Protect Virtual Server estão disponíveis nas regiões Sul dos EUA (Dallas), Leste dos EUA (Washington, DC), Canadá (Toronto), Brasil (São Paulo), Reino Unido (Londres), Alemanha (Frankfurt), Espanha (Madri) e Japão (Tóquio).

• Limite De Execução Seguro para proteção contra ameaças internas e externas

  O Hyper Protect Virtual Servers for VPC fornece garantia técnica de que usuários não autorizados, incluindo administradores do IBM Cloud, não têm acesso ao aplicativo. As cargas de trabalho são bloqueadas por limites seguros individuais, de nível de instância.

• Contrato multipartidário e atestado de implantação

  Aplique princípios de confiança zero desde o desenvolvimento da carga de trabalho até a implantação. Como várias pessoas e entidades jurídicas colaboram, é essencial separar o dever e o acesso. O Hyper Protect Virtual Servers for VPC é baseado em um conceito contrato criptografado recém-introduzido. Ele permite que cada pessoa forneça sua contribuição e seja assegurado por meio de criptografia que nenhuma das outras pessoas possa acessar esses dados ou propriedade intelectual. A implantação pode ser validada por um auditor por meio de um registro de atestado, que é assinado e criptografado para garantir que somente o auditor tenha esse nível de percepção.

• Proteções de malware

  O Hyper Protect Virtual Servers para VPC usa o Secure Build para configurar um processo de verificação para garantir que somente o código autorizado seja executado em um aplicativo. Ele implementa somente versões de contêineres que são validadas na implementação por meio do site digeridos ou assinados explícito e pode ser obtido somente de um site Container Registry privado com autenticação.

• Traga sua própria imagem OCI e use o serviço gerenciado Container Runtime

  Use qualquer imagem open container initiative(OCI) e obtenha os benefícios de uma solução de computação confidencial para níveis extras de proteção. Garanta, por meio de um contrato assinado, que apenas uma combinação específica de sua carga de trabalho e ambiente seja implementada.

• Construído na infraestrutura do Virtual Private Cloud (VPC) para segurança extra de rede

  Escolha entre vários tamanhos de perfil e cresça conforme necessário para proteger aplicativos conteinerizados e pay-as-you-go por hora.

  Aproveite seus grupos de segurança de rede e infraestrutura de registro existentes ou comuns.

Complete as etapas a seguir para iniciar com Hyper Protect Virtual Servers para VPC. Mais importante ainda, um contrato válido é necessário para a criação de uma instância.

Antes de Iniciar

É importante ler as informações a seguir e completar os preparativos necessários antes de criar um Hyper Protect Virtual Servers para a instância VPC.

• Planejamento

  Considere aspectos como perfis e imagens do sistema operacional. Para criar um Hyper Protect Virtual Servers para a instância VPC com uma imagem de estoque, escolha a imagem IBM Hyper Protect Container Runtime.

• Opte por construir a sua própria imagem com Hyper Protect Virtual Servers

  Além de usar a imagem de estoque, você pode optar por construir de forma segura a sua própria imagem com Hyper Protect Virtual Servers e usar essa imagem para prover um Hyper Protect Virtual Servers para a instância VPC. Para obter mais informações, consulte Hyper Protect Secure Build.

• Prepare um contrato

  Ao criar uma instância, você deve passar um contrato válido no campo Dados do Usuário. A imagem do IBM Hyper Protect Container Runtime consiste em diferentes componentes ou serviços que decriptografam o contrato (se ele estiver criptografado), valida o esquema do contrato, verifica a assinatura do contrato, cria a passphrase para criptografar o dispositivo de disco e ativa o contêiner especificado no contrato.

  Se nenhum contrato for repassado, a instância eventualmente embarca.

• Configurar a Criação de Log

  Para lançar um Hyper Protect Virtual Servers para a instância VPC, é necessário configurar a criação de log primeiro por adicionando a configuração de log no contrato. Após a implementação, você pode usar dois tipos de logging para visualizar o Hyper Protect Virtual Servers para logs de instância VPC.

  • Serviço de registro de logs que você configura

    Veja Logando para Hyper Protect Virtual Servers para VPC.

    Se a criação de logs não for configurada com sucesso, a instância se encerra automaticamente.

  • console serial

    Depois de selecionar o sistema operacional e continuar com a implementação, é possível visualizar o status da implementação e também visualizar os logs no console serial para confirmar se a instância é uma instância do Hyper Protect Virtual Servers para VPC.. Você também pode usar as informações deste log para solucionar problemas de fornecimento. Para obter mais informações, consulte Acessando instâncias de servidor virtual usando consoles VNC ou seriais.

• Volume de dados

  Atualmente, a instância suporta apenas um volume de dados que é criptografado por padrão com a seed ou a frase secreta que você fornecer, o que ajuda a garantir que os dados da sua carga de trabalho estejam protegidos. Mesmo que você possa adicionar vários volumes de dados, eles são ignorados e apenas um deles é criptografado. Recomenda-se anexar um volume de dados à instância durante a criação da instância para que os dados do contêiner sejam armazenados no volume de dados. Também é recomendável tirar um instantâneo do volume de dados para que você possa revertê-lo caso tenha algum problema no futuro.

  A partir da versão da imagem HPCR ibm-hyper-protect-container-runtime-1-0-s390x-9, para novas instâncias do Hyper Protect Virtual Servers para VPC, o volume de dados é particionado em duas partes. A primeira partição (100Mib) é reservada para metadados internos; a segunda partição permanece como o volume de dados para carga de trabalho. Somente novos volumes são particionados e não é possível usar o volume particionado com uma versão mais antiga da imagem HPCR. O fornecimento com um volume criptografado existente também funciona A diferença é que o volume existente não é particionado e também é possível voltar para uma imagem mais antiga com esse volume..

  Quando você cria uma instância Hyper Protect Virtual Servers para VPC com um volume de dados anexado, a remoção desse volume de dados faz com que a carga de trabalho em execução na instância falhe. É recomendável que você não descole o volume de dados.

• Grupo de segurança para portas

  As portas associadas ao contêiner ou à carga de trabalho devem ser abertas explicitamente por meio de grupos de segurança para que fiquem acessíveis. Portanto, deve-se criar um grupo de segurança com base nas portas que estão associadas ao contêiner e anexá-lo à VPC correspondente usada com a instância do Hyper Protect Virtual Servers for VPC.

Criando um Hyper Protect Virtual Servers para a instância VPC

Depois de finalizar o planejamento e ter o contrato pronto, você pode criar um Hyper Protect Virtual Servers para a instância VPC.

• Criação de uma instância usando a interface do usuário. Na página de fornecimento, certifique-se de selecionar IBM Z, LinuxONE para Arquitetura e ative a alternância Executar sua carga de trabalho com um S.O. e um perfil protegido por Execução segura em Computação confidencial.
• Criando uma instância usando a CLI

Consulte a documentação de resolução de problemas ou obtenha suporte se tiver problemas com a instância.

Você pode usar o Terraform para automatizar operações com Hyper Protect Virtual Servers para VPC.

Você pode usar seu Hyper Protect Virtual Servers para a instância de VPC em configurações de rede private-only, nas quais a VPC não tem um gateway público e a instância do servidor virtual não tem um IP flutuante. Você pode se conectar a pontos de extremidade privados de outros serviços, incluindo Container Registry e IBM Log Analysis. O pré-requisito é ter um servidor DNS conectado à sua instância de servidor virtual. Você não precisa fazer nenhuma configuração adicional.

Recuperando ou atualizando um Hyper Protect Virtual Servers para a instância VPC usando IBM Cloud VPC Snapshots.

Se o seu Hyper Protect Virtual Servers para VPC falhar por qualquer motivo, você poderá criar uma nova instância e anexar o volume de dados que foi anexado à instância falha (dentro de 15 minutes segundos de criação da nova instância). Certise-se de usar o mesmo contrato que foi usado originalmente para criar a instância.

Como alternativa, crie uma captura instantânea do volume de dados que foi anexado à instância com falha Em seguida, crie uma nova instância. Ao conectar o volume de dados, escolha restaurando um volume a partir de uma captura instantânea e selecione a captura instantânea que você tomou anteriormente para restaurar o volume. Certise-se de usar o mesmo contrato que foi usado originalmente para criar a instância.

Quando você quiser usar uma nova imagem Hyper Protect Container Runtime sempre que a IBM disponibiliza, você pode seguir qualquer um dos procedimentos que são mencionados que usa snapshots. Você deve usar o mesmo contrato que usou para criação da instância original.