Procedure ottimali di sicurezza per il servizio metadati dell'istanza
IBM prende sul serio la sicurezza dei dati e ti consiglia di seguire queste best practice per garantire il massimo livello di protezione per i tuoi metadati dell'istanza.
Panoramica
Questo argomento descrive come configurare le protezioni di sicurezza per proteggere i metadati:
- Disabilitazione del servizio metadati per un'istanza o un account.
- Limitazione o non assegnazione di profili attendibili per le identità delle risorse di calcolo.
- Migliorare la sicurezza della rete.
Disabilita il servizio metadati per un'istanza o un account
È possibile disabilitare il servizio su un'istanza esistente in cui è abilitato. Vedere Abilitazione o disabilitazione del servizio metadati dell'istanza.
Utilizzare il firewall iptables
per limitare l'accesso su Linux
Utilizzare l'utility firewall iptables
Linux per creare una barriera tra l'indirizzo locale del servizio di metadati (rete fidata) e Internet (rete non fidata). Definisce le regole che gestiscono il traffico consentito e bloccato.
L'esempio seguente utilizza Linux iptables
e il suo modulo proprietario, basato sull'ID predefinito dell'installazione Apache, per impedire al server Web Apache di accedere all'indirizzo locale del collegamento ai metadati ( 169.254.169.254
). Utilizza una regola di rifiuto per rifiutare tutte le richieste di metadati dell'istanza da qualsiasi processo in esecuzione come tale utente.
sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner --uid-owner apache --jump REJECT
Questo endpoint è accessibile a tutti i comandi, processi e applicazioni software in esecuzione all'interno di un'istanza del server virtuale. L'accesso all'endpoint API non è disponibile all'esterno dell'istanza del server virtuale. Questo passaggio aggiunge un altro livello di sicurezza.
Un'altra alternativa è quella di utilizzare le regole di autorizzazione per definire l'accesso a determinati utenti o gruppi. Le regole consentono di decidere quale software ha bisogno di accedere ai metadati dell'istanza. Definendo le regole, è possibile impedire al software di accedere accidentalmente al servizio metadati se successivamente si modifica il software o la configurazione sull'istanza.
È anche possibile definire l'utilizzo del gruppo delle regole di autorizzazione. Aggiungere e rimuovere utenti da un gruppo consentito senza modificare la regola del firewall.
Il seguente esempio impedisce l'accesso al servizio metadati dell'istanza da parte di tutti i processi, tranne per i processi in esecuzione nell'account utente trustworthy-user
:
sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner ! --uid-owner trustworthy-user --jump REJECT
Limita profili attendibili per le identità delle risorse di calcolo
Limita i profili attendibili creati per le identità delle risorse di calcolo. Facoltativamente, non assegnare un'identità di risorsa di calcolo a un'istanza.
Quando si utilizza 'rimuovere i profili affidabili 'rimuovere i profili affidabili 'rimuovere i profili affidabili, le risorse di calcolo e gli utenti federati vengono scollegati dal profilo e non possono più applicare l'identità del profilo attendibile.
È anche possibile aggiornare i profili attendibili esistenti ridefinendo la relazione di attendibilità, assegnando politiche di accesso e aggiornando i limiti della sessione. Per ulteriori informazioni, consultare Aggiornamento dei profili attendibili.
Ulteriori misure di sicurezza della rete
Considera le seguenti opzioni per controllare il traffico di rete alle tue istanze del server virtuale:
-
Limita l'accesso alle tue istanze utilizzando i gruppi di sicurezza.
-
Assicurarsi che il limite di hop di risposta dell'istanza sia configurato correttamente. Una configurazione non corretta può causare errori di timeout durante il tentativo di raggiungere il servizio. Per ulteriori informazioni, consultare Impostazione del limite di hop dei metadati utilizzando l'interfaccia utente.
-
Configura gli ACL(access control lists) per controllare tutto il traffico in entrata e in uscita in IBM Cloud® Virtual Private Cloud. Un ACL è un firewall virtuale integrato, simile a un gruppo di sicurezza. A differenza dei gruppi di sicurezza, le regole dell'ACL controllano il traffico da e verso le sottoreti, invece che da e verso le istanze.
-
Utilizza un Virtual Private Network (VPN) for VPC per stabilire connessioni private dalle tue reti remote ai tuoi VPC.
-
Utilizza IBM Cloud® VPE(Virtual Private Endpoints) (VPC) per VPC per connetterti ai servizi IBM Cloud supportati dalla tua rete VPC utilizzando gli indirizzi IP di tua scelta, che sono assegnati da una sottorete all'interno del tuo VPC. I VPE sono interfacce IP virtuali associate a un gateway endpoint creato in base al servizio o all'istanza del servizio.
-
Utilizza IBM Cloud flow Logs sul VPC per monitorare il traffico che raggiunge le tue istanze.
-
Abilita accesso sicuro al servizio metadati dell'istanza. Quando l'accesso sicuro è abilitato, il servizio di metadati è accessibile solo all'istanza del server virtuale tramite il protocollo sicuro criptato HTTP ( HTTPS ).
Gestire la sicurezza e la conformità con i VPC Infrastructure Services
Security and Compliance Center può aiutarti a monitorare la tua infrastruttura VPC per convalidare le configurazioni delle risorse nel tuo account rispetto a un profilo e identificare potenziali problemi man mano che si verificano.