IBM Cloud Docs
어시스턴트 보안 설정

어시스턴트 보안 설정

IBM은 고객과 파트너에게 혁신적인 데이터 개인정보 보호, 보안 및 통제 솔루션을 제공하기 위해 노력하고 있습니다.

주의사항

고객은 유럽 연합 일반 개인정보 보호법률(General Data Protection Regulation, GDPR)을 포함한 다양한 법령과 규정을 준수해야 할 책임이 있습니다.

고객은 고객의 사업에 영향을 미칠 수 있는 관련 법규를 파악하고 해석하기 위해 유능한 법률 고문으로부터 조언을 구하는 일과 그러한 법규를 준수하기 위해 고객이 취해야 할 모든 조치에 대해 전적으로 책임을 집니다.

여기에 설명된 제품, 서비스 및 기타 기능은 제한된 가용성을 가질 수 있으며 모든 클라이언트 상황에 적합하지는 않습니다. IBM 법률, 회계, 감사 관련 조언을 제공하지 않으며, 자사의 서비스나 제품이 어떠한 법률이나 규정을 준수할 수 있다고 주장하거나 보증하지 않습니다.

IBM Cloud® Watson 리소스에 대한 GDPR 지원을 요청해야 하는 경우:

어시스턴트에서 보안 소켓 계층 또는 전송 계층 보안(SSL/TLS) 인증서를 구성하여 서버 실행 코드와 상호 작용할 때 사용자 어시스턴트 데이터를 안전하게 유지할 수 있습니다. 자세한 내용은 보안 인증서 구성하기 를 참조하세요.

유럽 연합 GDPR(General Data Protection Regulation)

IBM 고객과 파트너에게 혁신적인 데이터 프라이버시, 보안, 거버넌스 솔루션을 제공하여 GDPR 준수를 위한 여정을 지원하기 위해 최선을 다하고 있습니다.

IBM의 자체 GDPR 준비 과정과 고객의 규정 준수 여정을 지원하기 위한 IBM GDPR 기능 및 오퍼링에 대해 자세히 알아보려면 IBM Cloud GDPR EU 컴플라이언스에서 확인하세요.

HIPAA(Health Insurance Portability and Accountability Act)

US HIPAA(Health Insurance Portability and Accountability Act) 지원은 워싱턴, DC 또는 댈러스 위치에서 호스팅되는 Enterprise 플랜에 사용할 수 있습니다. 자세한 정보는 계정에 HIPAA 지원 활성화하기를 참고하세요.

사용자가 작성하는 훈련 데이터(사용자 예제를 포함하는 엔티티 및 인텐트)에 PHI(Personal Health Information)를 추가하지 마십시오. 특히, 인텐트 또는 인텐트 사용자 예제 권장사항을 마이닝하기 위해 업로드하는 실제 사용자 발화(utterance)를 포함하는 파일에서 PHI를 제거해야 합니다.

보안 인증서 구성

어시스턴트에서 보안 인증서를 구성하여 다양한 애플리케이션에서 안전한 통신, 데이터 보호 및 개인 정보 보호를 보장할 수 있습니다. 보안 인증서는 신뢰를 구축하고 통신 당사자의 신원을 확인함으로써 디지털 정보의 기밀성, 무결성 및 가용성을 유지하는 데 도움이 됩니다. Security certificates (SSL/TLS) 섹션을 사용하여 어시스턴트에서 인증서를 업로드 및 다운로드하고, 오래된 인증서를 교체하고, 인증서를 삭제할 수 있습니다.

어시스턴트는 TLS 1.2 및 TLS 1.3을 지원하며, 여기서 TLS 1.3가 기본 버전입니다. 서비스에서 TLS 1.3 또는 1.2 버전을 지원하지 않는 경우 해당 서비스의 관리자에게 이러한 TLS 버전 중 하나에 대한 지원을 요청하세요.

어시스턴트가 사용자 지정 확장 프로그램, 대화 기술 또는 웹훅을 통해 사용자가 지정한 URL 연결하면 무단 액세스를 방지하고 보안 위험을 제거하기 위해 서비스 신원을 확인해야 합니다. 사용자가 지정한 URLHTTPS (하이퍼텍스트 전송 프로토콜 보안) 프로토콜을 사용하는 경우 어시스턴트는 세 가지 방법으로 보안 서비스의 신원을 확인합니다.

Table 1. Possibilities of identifying secure service 에서는 HTTPS 서비스로 연결될 때 어시스턴트가 보안 서비스의 신원을 확인할 수 있는 세 가지 방법에 대해 설명합니다.

보안 서비스 식별 가능성
설명 요구사항 인증서 검증기 보안 레벨 참고
어시스턴트가 호출하는 서비스에 대한 SSL 인증서를 가지고 있습니다. 어시스턴트에게 서비스용 SSL 인증서를 제공합니다. 어시스턴트가 직접 신원을 확인합니다. 가장 안전한 어시스턴트가 이미 인증서를 가지고 있는 경우 서명 확인이 필요하지 않으므로 SSL 인증서가 자체 서명된 경우에도 안전합니다.
어시스턴트가 호출하는 서비스의 인증서에 서명한 인증 기관의 SSL 인증서를 가지고 있습니다. 인증 기관의 SSL 인증서를 어시스턴트에게 제공하고, 해당 인증 기관이 서비스용 SSL 인증서에 서명해야 합니다. 어시스턴트는 인증 기관을 통해 서비스의 신뢰성을 확인합니다. 사용자가 인증서를 제공했기 때문에 인증 기관을 신뢰한다는 것을 알고 있습니다. 인증 기관이 매우 안전할 때 매우 안전합니다 이 접근 방식은 기업이 내부용으로 설정한 사설 인증 기관과 같은 사설 인증 기관에서 작동합니다.
이 서비스에는 신뢰할 수 있는 공인 인증 기관에서 서명한 SSL 인증서가 있습니다. 어시스턴트에게 SSL 인증서를 제공할 필요는 없지만, 서비스용 SSL 인증서는 신뢰할 수 있는 공인 기관에서 서명해야 합니다. 어시스턴트는 신뢰할 수 있는 공인 인증 기관을 사용하여 서비스의 진위 여부를 확인합니다. 매우 안전한 보안 공신력 있는 인증 기관은 모든 인증서에 서명하기 전에 개인 키의 소유권을 열심히 확인합니다.

연결 세부 정보가 거의 없는 어시스턴트를 위해 보안과 편의성 사이에서 최적의 균형을 이룰 수 있는 보안 인증서 구성 옵션에 대해 몇 가지 예를 들어 설명합니다. 자세한 내용은 보안 인증서 옵션 선택 방법 를 참조하세요.

Table 2. Security certificates configuration option 은 어시스턴트에서 사용 가능한 보안 인증서 구성 옵션과 그 설명에 대한 정보를 제공합니다.

보안 인증서 구성 옵션
보안 인증서 구성 옵션 설명 연결 사용량 업로드 옵션 지원
Trust uploaded certificates and any certificates signed by a trusted authority

어시스턴트는 모든 서비스에 연결할 수 있습니다:

  • 신뢰할 수 있는 authority.
  • 업로드된 인증서(해당 서비스의 인증서 또는 인증 기관의 인증서)로.
    다른 보안 서비스에는 연결할 수 없습니다.
  • 사용하기 편리합니다.
  • 어시스턴트가 연결하는 모든 서비스의 신원을 확인할 수 있습니다. 공신력 있는 기관에서 서명한 인증서가 있는 서비스의 경우 추가 작업이 필요하지 않습니다.
  • 공신력 있는 기관에서 서명한 인증서가 없는 경우 어시스턴트가 연결하는 서비스의 신원 확인을 위해 인증서 파일을 업로드해야 합니다.
모든 어시스턴트가 일반적으로 사용합니다.
Trust uploaded certificates 어시스턴트는 업로드된 인증서(해당 서비스의 인증서 또는 해당 인증 기관의 인증서)를 사용하여 모든 서비스에 연결할 수 있습니다.
다른 보안 서비스에는 연결할 수 없습니다.
  • use.
  • 어시스턴트는 업로드된 인증서 또는 해당 서명 기관의 인증서가 있는 보안 서비스에만 연결할 수 있습니다.
사용량 감소
Trust all certificates, operation insecure (Not recommended) 어시스턴트는 모든 서비스에 연결할 수 있으며, 가짜 서비스로부터 보호되지 않으므로 권장하지 않습니다.

합리적인 옵션

  • 어시스턴트에 독립적인 사용자나 민감한 데이터가 없는 개념 증명 또는 데모 어시스턴트용.
  • 공신력 있는 기관에서 서명하지 않은 서비스에 연결된 경우에도 어시스턴트를 계속 작동할 수 있도록 합니다.
기존 어시스턴트와 새 어시스턴트 모두에 대한 기본 옵션입니다. 아니오

SSL 인증서 구성 옵션
SSL 인증서 구성 옵션

보안 인증서 업로드

시작하기 전에

  • 파일이 최대 500KB 크기의 PEM 형식이어야 합니다.
  • 파일이 여러 개 있는 경우 하나의 파일로 병합하세요.

어시스턴트에서 자체 서명 인증서 또는 신뢰할 수 있는 기관의 인증서를 업로드하려면 다음과 같이 하세요:

  1. > 어시스턴트 설정으로 이동합니다.

  2. 보안 인증서(SSL/TLS) 섹션에서 요구 사항에 따라 Trust uploaded certificates and any certificates signed by a trusted authority 또는 Trust uploaded certificates 을 선택합니다.

  3. Upload을(를) 클릭하십시오.

  4. Upload certificate 대화 상자에서 인증서를 추가합니다. 폴더에서 인증서 파일을 드래그하거나 선택할 수 있습니다.

  5. Upload을(를) 클릭하십시오. Secure socket layer connected 메시지가 표시됩니다.

    SSL 업로드 옵션

기존 보안 인증서 교체

어시스턴트에서 기존 인증서를 새 인증서로 교체하려면 다음과 같이 하세요:

  1. > 어시스턴트 설정으로 이동합니다.

  2. 보안 인증서(SSL/TLS) 섹션에서 Upload 를 클릭합니다.

  3. Upload certificate 대화 상자에서 새 인증서를 추가합니다. 인증서 파일을 드래그하거나 업로드할 수 있습니다.

    이 옵션은 기존 인증서를 삭제하거나 덮어씁니다.

  4. Upload을(를) 클릭하십시오.

보안 인증서 다운로드

어시스턴트에서 기존 인증서를 보려면 다음과 같이 하세요:

  1. > 어시스턴트 설정으로 이동합니다.

  2. 보안 인증서(SSL/TLS) 섹션에서 Download 를 클릭합니다.

  3. 이제 다운로드한 파일을 열면 기존 인증서를 확인할 수 있습니다.

    SSL 다운로드 옵션

기존 보안 인증서 수정하기

어시스턴트에서 기존 인증서를 수정하려면 다음과 같이 하세요:

  1. 보안 인증서 다운로드하기 에 설명된 대로 보안 인증서를 다운로드합니다.
  2. 기존 파일에서 인증서를 추가하거나 제거합니다.
  3. 기존 PEM 파일을 기존 보안 인증서 교체하기 에 설명된 대로 수정한 파일로 교체합니다.

기존 보안 인증서 삭제하기

어시스턴트에서 기존 인증서를 삭제하려면 다음과 같이 하세요:

  1. > 어시스턴트 설정으로 이동합니다.
  2. 보안 인증서(SSL/TLS) 섹션에서 Delete 를 클릭합니다.
  3. 인증서 삭제 대화 상자에서 I acknowledge that I read and understand this warning 를 선택합니다.
  4. Yes을(를) 클릭하십시오.

선택한 옵션은 자동으로 Trust all certificates, operation insecure (Not recommended) 을 가리킵니다.

로그 데이터를 사용하지 않도록 선택

IBM 로그 데이터(엔터프라이즈 플랜 데이터는 제외)를 사용하여 watsonx Assistant 지속적으로 학습하고 개선합니다. 로그된 데이터는 공유되거나 공개되지 않습니다.

IBM 일반적인 서비스 개선을 위해 로그 데이터를 사용하는 것을 방지하려면 다음 작업 중 하나를 완료하십시오.

  • 사용자 지정 응용 프로그램을 사용하는 경우, 각 API /message 요청에 대해 X-Watson-Learning-Opt-Out 헤더 파라미터를 true 로 설정하십시오.

    자세한 정보는 데이터 콜렉션을 참조하십시오.

  • 웹 채팅 통합 기능을 사용한다면, 웹 페이지에 포함시킬 스크립트에 learningOptOut 파라미터를 추가하고, true 로 설정하세요.

    자세한 정보는 구성을 참조하십시오.

watsonx Assistant에서 데이터 레이블 지정 및 삭제

사용자가 작성하는 훈련 데이터(사용자 예제를 포함한 조치 및 단계)에 개인 데이터를 추가하지 마십시오. 특히, 사용자 추천을 위해 업로드하는 실제 사용자 발언이 담긴 파일에서 개인 식별 정보를 제거해야 합니다.

시범 및 베타 기능은 프로덕션 환경에서 사용하도록 개발된 것이 아니므로 데이터 레이블 지정 및 삭제 시 예상대로 작동하지 않을 수 있습니다. 실험적 기능과 베타 기능은 데이터의 라벨링과 삭제가 필요한 솔루션을 구현하는 데 사용할 수 없습니다.

watsonx Assistant 고객의 메시지 데이터를 제거해야 하는 경우, 메시지가 watsonx Assistant 전송될 때 메시지와 고객 ID를 연결하면 클라이언트의 고객 ID를 사용할 수 있습니다.

메시지 데이터를 제거하려면 개별 고객 ID에 대해서만 이벤트가 발생해야 합니다. 분석 로그를 사용 안함으로 설정하기 위해 데이터 격리 플랜이 있는 엔터프라이즈로 업그레이드할 수 있습니다.

  • 어시스턴트 미리보기 및 자동 Facebook 통합은 고객 ID를 기반으로 데이터의 레이블 지정 또는 삭제를 지원하지 않으며 고객 ID를 기반으로 데이터를 삭제하는 기능을 지원해야 하는 솔루션에서 사용할 수 없습니다.

  • Intercom의 경우 customer_idintercom_ 접두부가 있는 user_id 입니다. Intercom user_id 특성은 Intercom에 의해 정의된 대화 모델에서 id 메시지 오브젝트의 author입니다.

    • 이 ID를 가져오려면 웹 브라우저에서 채널을 여십시오. 웹 개발자 도구를 열어 콘솔을 보십시오. author를 찾으십시오.

    전체 고객 ID의 형식은 customer_id=intercom_5c499e5535ddf5c7fa2d72b3과 같습니다.

  • Slack의 경우 customer_idslack_ 접두부가 있는 user_id 입니다. Slack user_id 특성은 T09LVDR7Y와 같은 팀 ID와, W4F8K9JNF와 같은 사용자의 구성원 ID의 연결입니다. 예를 들어, T09LVDR7YW4F8K9JNF입니다.

    • 팀 ID를 가져오려면 웹 브라우저에서 채널을 여십시오. 웹 개발자 도구를 열어 콘솔을 보십시오. [BOOT] Initial team ID를 찾으십시오.
    • 구성원 ID는 사용자의 Slack 프로파일에서 복사할 수 있습니다.
    • 이 ID를 프로그래밍 방식으로 가져오려면 Slack API를 사용하십시오. 자세한 정보는 개요를 참조하십시오. 전체 고객 ID의 형식은 customer_id=slack_T09LVDR7YW4F8K9JNF와 같습니다.
  • 웹 대화 통합의 경우, 서비스는 전달된 user_id를 각 요청의 customer_id 헤더에 X-Watson-Metadata 매개변수값으로 추가합니다.

시작하기 전에

특정 사용자와 연관된 메시지 데이터를 삭제할 수 있으려면 먼저 각 메시지를 각 사용자의 고객 ID와 연관시켜야 합니다. /message API를 통해 전송되는 메시지에 고객 ID를 지정하려면 헤더에 X-Watson-Metadata: customer_id 속성을 포함하십시오. 예를 들어, 다음과 같습니다.

curl -X POST -u "apikey:3Df... ...Y7Pc9"
 --header
   'Content-Type: application/json'
   'X-Watson-Metadata: customer_id=abc'
 --data
   '{"input":{"text":"hello"}}'
  '{url}/v2/assistants/{assistant_id}/sessions/{session_id}/message?version=2019-02-28'

여기서 {url}은 인스턴스에 적합한 URL입니다. 자세한 정보는 서비스 엔드포인트를 참조하십시오.

customer_id 문자열에는 세미콜론(;) 또는 등호(=) 문자가 포함될 수 없습니다. 각 customer ID 특성이 고객마다 고유한지 확인해야 합니다.

X-Watson-Metadata 헤더에 전달된 첫 번째 고객 ID 값만 메시지 로그의 customer_id 문자열로 사용됩니다. 이 고객 ID 값은 DELETE /user_data v1 API 호출로 삭제할 수 있습니다.

어시스턴트에 검색을 추가하면 어시스턴트에 제출된 사용자 입력이 Discovery 서비스에 검색 조회로 전달됩니다. watsonx Assistant 통합이 고객 ID를 제공하는 경우 결과 /message API 요청은 고객 ID를 헤더에 포함시키며, 이 ID는 Discovery /query API 요청을 통해 전달됩니다.

특정 고객과 관련된 검색 데이터를 삭제하려면, 어시스턴트에 연결된 Discovery 직접 삭제 요청을 보내야 합니다. 자세한 정보는 Discovery 정보 보안 을 참조하십시오.

사용자 데이터 조회

특정 사용자 데이터에 대한 애플리케이션 로그를 검색하려면 v1 /logs 메소드의 filter 매개변수를 사용하십시오. 예를 들어, customer_id와 일치하는 my_best_customer에 특정한 데이터를 검색하려는 경우 조회는 다음과 같습니다.

curl -X GET -u "apikey:3Df... ...Y7Pc9" \
"{url}/v2/assistants/{assistant_id}/logs?version=2020-04-01&filter=customer_id::my_best_customer"

여기서 {url}은 인스턴스에 적합한 URL입니다. 자세한 정보는 서비스 엔드포인트를 참조하십시오.

자세한 정보는 필터 조회 참조를 참조하십시오.

데이터 삭제

어시스턴트가 저장할 수 있는 특정 사용자와 관련된 메시지 로그 데이터를 삭제하려면, DELETE /user_data v1 API 메소드를 사용하십시오. 요청과 함께 customer_id 매개변수를 전달하여 사용자의 고객 ID를 지정하십시오.

이 삭제 방법으로 삭제할 수 있는 데이터는 고객 ID가 연결된 POST /message API 엔드포인트를 사용하여 추가된 데이터뿐입니다. 다른 방법으로 추가된 데이터는 고객 ID를 기반으로 삭제할 수 없습니다. 예를 들어, 고객과의 대화에서 나온 엔티티와 인텐트는 이 방법으로 삭제할 수 없습니다. 개인 데이터는 이러한 메소드에 대해 지원되지 않습니다.

중요 사항 지정 customer_id 이것으로 모든 메시지를 삭제합니다 customer_id 삭제 요청 전에 수신된 정보는 watsonx Assistant 인스턴스 전체에 적용되며, 한 기술 내에서만 적용되는 것은 아닙니다.

예를 들어, watsonx Assistant 인스턴스에서 고객 ID abc 와 연관된 사용자 메시지 데이터를 삭제하려면 다음 cURL 명령을 전송하십시오.

curl -X DELETE -u "apikey:3Df... ...Y7Pc9" \
"{url}/v2/user_data?customer_id=abc&version=2020-04-01"

여기서 {url}은 인스턴스에 적합한 URL입니다. 자세한 정보는 서비스 엔드포인트를 참조하십시오.

비어 있는 JSON 오브젝트 {}가 리턴됩니다.

자세한 정보는 API 참조를 참조하십시오.

참고: 삭제 요청은 일괄적으로 처리되며 완료하는 데 최대 24시간이 걸릴 수 있습니다.

웹 대화 사용 데이터

watsonx Assistant 웹 대화는 제한된 사용 데이터를 진폭 서비스로 보냅니다. 사용자가 웹 대화 위젯과 상호작용할 때 사용 중인 기능 및 이벤트 (예: 위젯이 열리는 횟수 및 대화를 시작하는 사용자 수) 를 추적합니다. 이 정보에는 어시스턴트 교육 데이터 또는 대화 상호작용의 컨텐츠가 포함되지 않습니다.

진폭으로 전송된 정보는 클라우드 서비스 계약 (CSA) 에 정의된 컨텐츠가 아닙니다. 이 정보는 CSA의 9.d 절에 설명된 계정 사용 정보이며 IBM 개인정보처리방침에 설명된 대로 처리됩니다. 이 정보 수집의 목적은 웹 채팅의 사용과 효과에 대한 통계를 작성하고 개선하는 데 국한됩니다.

사설 네트워크 엔드포인트

Plus

Plus 또는 Enterprise 서비스 플랜의 일부인 watsonx Assistant 인스턴스에 대해 사설 네트워크를 설정할 수 있습니다. 개인 네트워크는 공용 인터넷을 통해 데이터가 전송되는 것을 방지하고 데이터 격리를 강화합니다.

사설 네트워크 엔드포인트는 공용 네트워크 대신 IBM Cloud 사설 네트워크를 통해 서비스를 라우팅하도록 지원합니다. 사설 네트워크 엔드포인트는 VPN 연결 없이 액세스할 수 있는 고유 IP 주소를 제공합니다.

자세한 정보는 공용 및 사설 네트워크 엔드포인트를 참조하십시오.

제품과 함께 제공되는 통합 기능은 공용 인터넷의 엔드포인트를 필요로 합니다. 따라서 어시스턴트에 대한 기본 제공 통합에는 공용 엔드포인트가 있습니다.