Optimisation des restrictions basées sur le contexte pour sécuriser les ressources

Ce tutoriel vous explique comment utiliser les restrictions basées sur le contexte comme une autre couche de protection de vos ressources. En le suivant, vous apprendrez à créer des zones réseau et des règles définissant des restrictions d'accès à des ressources spécifiques basées sur le contexte, en plus de l'identité IAM. Pour plus d'informations, voir Qu'est-ce qu'une restriction contextuelle?

Le tutoriel utilise un propriétaire de compte fictif nommé Xander. Xander a précédemment configuré l'accès pour les gestionnaires qui ont besoin du rôle administrator sur les services de gestion des comptes en utilisant les politiques IAM.

Xander fait confiance aux membres de son équipe pour gérer correctement leurs données d'identification personnelles et de service, mais il veut s'assurer que celles-ci sont protégées même au cas où elles seraient mal gérées. Comme Xander connaît les adresses IP utilisées par l'équipe, il peut restreindre l'accès au service de gestion des accès en fonction de l'emplacement des demandes d'accès sur le réseau. De cette manière, la création de la politique d'accès est limitée aux adresses IP qu'il définit. Etant donné que l'accès IAM ainsi que les restrictions basées sur le contexte doivent autoriser l'accès, les restrictions basées sur le contexte offrent une protection même si les données d'identification sont compromises ou mal gérées.

Avant de commencer

Configurez Activity Tracker pour surveiller vos règles activées et vos règles de rapport uniquement. Pour plus d'informations, voir Surveillance des restrictions basées sur le contexte.

Créer une zone réseau

Tout d'abord, créez une zone réseau pour l'équipe.

  1. Dans la console IBM Cloud, cliquez sur Gérer > Restrictions basées sur le contexte.
  2. Accédez à Zones réseau, puis cliquez sur Créer.
  3. Nommez la zone réseau management-team-zone.
  4. Entrez les adresses IP que l'équipe doit utiliser :
    1. Les membres de l'équipe à Austin utilisent les adresses IP suivantes : 4.4.4.1-4.4.4.99
    2. Un membre de l'équipe d'Austin dans un autre bâtiment utilise le sous-réseau suivant : 204.17.5.0/24
    3. Un membre de l'équipe à distance utilise l'adresse IP suivante : 3.3.3.56
  5. Cliquez sur Suivant.
  6. Examinez les détails de la zone réseau.
  7. Cliquez sur Créer.

Créer une règle

A présent, Xander peut utiliser la zone réseau qu'il a créée dans une règle.

  1. Accédez à Règles et cliquez sur Créer.

  2. Pour restreindre l'accès à la création de politiques IAM, sélectionnez le service de gestion des accès IAM.

  3. Cliquez sur Continu.

  4. Xander a des points d'extrémité publics dans sa zone réseau, il garde donc le commutateur de type de point d'extrémité sur Non, ce qui autorise les requêtes provenant de n'importe quel type de point d'extrémité.

  5. Sélectionnez la zone réseau management-team-zone.

  6. Cliquez sur Ajouter pour inclure votre configuration de contexte dans la règle.

  7. Cliquez sur Continu.

  8. Nommez la règle Management team

  9. Définissez l'application sur Rapport uniquement afin de pouvoir contrôler l'impact de la règle avant de l'activer. Vous pouvez mettre à jour l'application à tout moment après avoir créé la règle. Pour plus d'informations, voir Mise à jour des restrictions basées sur le contexte.

  10. Cliquez sur Continu.

  11. Cliquez ensuite sur Créer.

Xander enregistre et surveille les demandes de gestion des politiques en utilisant le mode rapport uniquement. Étant donné que l'équipe de gestion dispose des politiques d'accès correctes et utilise les adresses IP autorisées, elle est autorisée à exécuter les opérations de gestion des politiques. Toutes les demandes de gestion de la politique provenant d'adresses IP qui ne correspondent pas au contexte défini par Xander sont refusées lorsque la règle est activée.

Etapes suivantes

Après 30 jours de surveillance, mettez la règle à jour et activez-la pour commencer à appliquer vos restrictions.

Vous pouvez également utiliser des zones réseau pour restreindre l'accès au niveau du compte et de l'utilisateur. Pour plus d'informations, voir Autorisation d'adresses IP spécifiques.

Pour créer des restrictions basées sur le contexte de manière programmatique, consultez l'API Restrictions basées sur le contexte et le plug-in CLI Restrictions basées sur le contexte.

Pour plus d'informations sur la mise en œuvre de restrictions basées sur le contexte dans votre stratégie de sécurité, consultez le didacticiel Améliorer la sécurité du cloud en appliquant des restrictions basées sur le contexte.