开源技术 * IBM 微讲堂:Kubeflow 系列(观看回放 | 下载讲义) 了解详情

利用加密数据库保护基于云的医疗健康数据

确保敏感数据受到妥善保护是公认的头等大事,处理敏感的医疗健康数据时尤为如此。 基于 IBM LinuxONE 构建的 Hyper Protect 云服务将安全性提升至更高水平。 该 DBaaS 服务无需任何应用程序更改,即可提供与生俱来的静态与动态数据加密。与其他 DBaaS 云服务不同,它可确保只有您才能访问自己的数据。 在云管理员无法访问密钥的情况下,加密服务使您能够完全掌控加密密钥管理情况。

很多时候,您的 DBaaS 都需要高质量的服务,例如:处理敏感的隐私信息,加密是访问信息的“钥匙”,也是保护隐私的“关键”;遇到意外的需求激增情况(如灾难来袭时),需要立即调整业务规模时;或者无法接受毫秒级延迟。无论您的应用是处理可在需要时挽救生命的数据,还是涉及业务关键型财务交易和敏感数据,这些应用都需要最高级别的安全性、可扩展性和即时性。IBM Cloud Hyper Protect DBaaS 为开发者们提供了强大的功能,让他们能够在自己的应用程序中交付这种高质量服务。

Hyper Protect DBaaS 作为一项 IBM Cloud 服务,可以按需提供高度安全的数据库。它提供了一个灵活且可扩展的平台,让您能够快速轻松地配置和管理自己选择的数据库。

此 IBM Cloud 产品提供了 MongoDB 数据库集群。每个数据库集群均由一个主数据库实例和两个用于备份主数据库实例的数据库实例副本组成。

借助 IBM Cloud Hyper Protect DBaaS,您可在 IBM Cloud 中创建数据库集群、管理数据库实例、管理数据库用户、创建并监视数据库。

IBM 在高度可用且十分安全的环境中托管您的数据库:

  • 底层技术可阻止 IBM 或第三方访问您的数据。IBM Secure Service Container 技术通过防篡改环境来保护系统。系统的访问权受到严格限制,仅支持通过明确定义的 RESTful API 进行访问。

  • 对静态和动态数据都进行加密。

  • 系统硬件、系统配置和数据库设置均旨在确保高可用性。

学习目标

在本教程中,您将学习如何轻松创建、访问和管理用于存储数据的安全且高性能的 MongoDB 集群。

前提条件

要完成以下所述步骤,您需熟悉 MongoDB 或者具备相关应用知识。

预估时间

完成此活动大约需要 20 分钟。

步骤

此操作指南包含三个主要步骤,用于创建和管理高度安全的数据库:

  1. 创建数据库集群
  2. 管理数据库集群
  3. 访问数据库

开始着手:创建数据库集群

首先从创建数据库集群开始。在 IBM Cloud Hyper Protect DBaaS 服务配置屏幕中输入所需的值,然后单击 Create。随后,IBM 会为您提供三个已创建的数据库实例的主机名和端口号。现在可使用此信息和您在目录中指定的用户凭证来创建并访问自己的数据库。

管理数据库集群

在数据库集群中,您可创建数据库、管理数据库实例、创建或删除用户,以及获取数据库日志。

IBM Cloud Hyper Protect DBaaS 提供了 DBaaS Manager,用于根据可用资源来管理并智能调度您的请求。

您可通过以下任一界面将请求传递给 DBaaS Manager:

  1. Web 用户界面
  2. RESTful API
  3. 命令行界面 (CLI)

访问数据库

创建数据库后,您可使用 mongo shell、首选的 MongoDB 驱动程序或诸如 MongoDB Compass 之类的工具,对数据库进行管理。

开始之前

为确保数据传输安全可靠,可从 https://api.hypersecuredbaas.ibm.com/cert.pem 获取证书颁发机构 (CA) 文件,并将其复制到相应的目录。

mongo shell

Hyper Protect DBaaS 仪表板提供连接数据库所需的信息。

  1. 您可运行 Hyper Protect DBaaS 仪表板上提供的 mongo shell 命令。单击命令旁的图标,将其复制到剪贴板。

  2. 如果安全数据连接失败并出现 SSL 错误,指定所获取的 CA 文件对服务器证书进行验证。添加 --sslCAfile 参数以指明该 CA 文件。

示例:

# mongo 'mongodb://<Hostname_1>:<PortNumber_1>,\
<Hostname_2>:<PortNumber_2>,\
<Hostname_3>:<PortNumber_3>/admin?replicaSet=<replicaSetName>' \
--ssl --username <userID> --password <password> --sslCAFile cert.pem

其中:

Hostname_i 是数据库副本的主机名(i=1、2 或 3)。

PortNumber_i 是数据库副本的端口号(i=1、2 或 3)。

replicaSetName 是返回的副本集的名称,在 Hyper Protect DBaaS 仪表板中指定。

userID 是 DBA 的用户 ID,在服务配置屏幕中指定。

password 是 DBA 用户 ID 的密码,在服务配置屏幕中指定。

其他工具

对于其他工具(如 MongoDB Compass 等),Hyper Protect DBaaS 支持通过 SSL 服务器证书验证来连接至主机。如果需要,可使用提供的 CA 文件。

结束语

现在,您已了解如何快速轻松地使用 IBM Cloud 服务来创建和管理超级安全的数据库。 要试用其他超级安全的服务,可参阅以下参考资料中列出的博客。

本文翻译自:Protect cloud-based data with an encrypted database(2018-05-24)