Acerca de las cookies de este sitio Nuestros sitios web necesitan algunas cookies para funcionar correctamente (necesarias). Además, se pueden utilizar otras cookies con su consentimiento para analizar el uso del sitio, para mejorar la experiencia del usuario y para publicidad. Para obtener más información, consulte sus opciones de. Al visitar nuestro sitio web, acepta que procesemos la información tal y como se describe en ladeclaración de privacidad de IBM. Para facilitar la navegación, sus preferencias de cookies se compartirán entre los dominios web de IBM que se muestran aquí.
Buenas prácticas de seguridad para el servicio de metadatos
IBM se toma muy en serio la seguridad de los datos y le recomienda que siga estas prácticas recomendadas para garantizar el máximo nivel de protección de sus metadatos.
Visión general
Este tema describe cómo configurar las salvaguardias de seguridad para proteger los metadatos:
- Desactivación del servicio de metadatos para una instancia o una cuenta cuando no es necesario.
- Limitar o no asignar perfiles de confianza para identidades de recursos informáticos según sea necesario.
- Mejora de la seguridad de la red.
Inhabilitar el servicio de metadatos para una instancia o una cuenta
Se puede inhabilitar el servicio en una instancia existente donde esté habilitado. Véase Activar o desactivar el servicio de metadatos.
Utilice el cortafuegos iptables para limitar el acceso en Linux
Utilice la utilidad de cortafuegos iptables Linux para crear una barrera entre la dirección link-local del servicio de metadatos (red de confianza) e Internet (red no fiable). Definir reglas que regulen qué tráfico se permite y
cuál se bloquea.
El siguiente ejemplo utiliza Linux iptables y su módulo propietario, basado en su instalación por defecto Apache ID, para evitar que el servidor web Apache acceda a la dirección link-local de metadatos ( 169.254.169.254 ). Utiliza
una regla de denegación para rechazar todas las solicitudes de metadatos de cualquier proceso que se esté ejecutando como ese usuario.
sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner --uid-owner apache --jump REJECT
Este punto final es accesible a todos los comandos, procesos y aplicaciones de software que se ejecutan dentro de una instancia de servidor virtual. El acceso al punto final de API no está disponible fuera de la instancia de servidor virtual. Este paso añade otro nivel de seguridad.
Otra alternativa es utilizar reglas que permitan definir el acceso a determinados usuarios o grupos. Las reglas de autorización le obligan a decidir qué software necesita acceder a los metadatos de la instancia. Al definir reglas, puede evitar que el software acceda accidentalmente al servicio de metadatos si más adelante cambia el software o la configuración de la instancia.
También puede definir el uso de grupos de las reglas de permiso. Añada y elimine usuarios de un grupo permitido sin cambiar la regla del cortafuegos.
El siguiente ejemplo impide el acceso al servicio de metadatos a todos los procesos, excepto a los que se ejecutan en la cuenta de usuario trustworthy-user:
sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner ! --uid-owner trustworthy-user --jump REJECT
Limitar perfiles de confianza para identidades de recursos de cálculo
Limite los perfiles de confianza que cree para las identidades de recursos informáticos en IAM. Opcionalmente, no asigne una identidad de recurso de cálculo a una instancia.
Al eliminar perfiles deconfianzaeliminar perfiles de confianzaeliminarperfiles de confianza, los recursos informáticos y los usuarios federados se desvinculan del perfil y ya no pueden aplicar la identidad del perfil de confianza.
También puede actualizar los perfiles de confianza existentes redefiniendo la relación de confianza, asignando políticas de acceso y actualizando los límites de sesión. Para obtener más información, consulte Actualización de perfiles de confianza.
Medidas adicionales de seguridad de red
Tenga en cuenta las opciones siguientes para controlar el tráfico de red en las instancias de servidor virtual:
-
Restrinja el acceso a las instancias utilizando grupos de seguridad.
-
Asegúrese de que el límite de saltos de respuesta de la instancia esté configurado correctamente. Una configuración incorrecta puede producir errores de tiempo de espera excedido al intentar alcanzar el servicio. Para obtener más información, consulte Establecer el límite de salto de metadatos utilizando la interfaz de usuario.
-
Configure las listas de control de accesos(ACL) para controlar todo el tráfico de entrada y salida en IBM Cloud® Virtual Private Cloud. Una ACL es un cortafuegos virtual incorporado, similar a un grupo de seguridad. A diferencia de los grupos de seguridad, las reglas ACL controlan el tráfico hacia y desde las subredes, en lugar de hacia y desde las instancias.
-
Utilice Virtual Private Network (VPN) for VPC para establecer conexiones privadas desde sus redes remotas a sus VPC.
-
Utilice IBM Cloud® Virtual Private Endpoints (VPE) for VPC para conectarse a los servicios compatibles de IBM Cloud desde su red VPC utilizando las direcciones IP de su elección, que se asignan desde una subred dentro de su VPC. Los VPEs son interfaces IP virtuales que se vinculan a una pasarela creada por servicio o instancia de servicio.
-
Utilice Registros de flujo de IBM Cloud en la VPC para supervisar el tráfico que llega a las instancias.
-
Habilitar el acceso seguro al servicio de metadatos. Cuando el acceso seguro está activado, el servicio de metadatos sólo es accesible para la instancia del servidor virtual mediante el protocolo seguro encriptado HTTP ( HTTPS ).
Gestionar la seguridad y la conformidad con los servicios de infraestructura de VPC
Security and Compliance Center puede ayudarle a supervisar su infraestructura de VPC para validar las configuraciones de recursos en su cuenta con respecto a un perfil e identificar posibles problemas a medida que surgen.