VPC の IBM Cloud Hyper Protect Virtual Servers の追加のセキュリティー責任
VPC に IBM Cloud Hyper Protect Virtual Servers を使用する際に従う必要があるセキュリティー関連の責任について説明します。
よりセキュアな環境を維持するために役立つ、以下のセキュリティーのベスト・プラクティスに従う必要があります。
- 環境が使用可能になったときに、環境を最新の使用可能なイメージに定期的に更新するようにしてください。
- IBM からの定期的なセキュリティ通知に対して必要な措置を講じます。
- 必要なポートのみが開かれ、ポートが保護されている (TLS 有効) ことを確認します。 仮想サーバー・インスタンス上のポートを開く場合は、セキュリティーのベスト・プラクティスに従っていることを確認してください。 IBM は、ポートの使用に起因するセキュリティー・インシデントに対して責任を負いません。
- 信頼できるユーザーまたは既知のユーザーのみが、環境および仮想サーバーへのアクセスを許可されていることを確認してください。
- Docker 環境でのセキュリティー・リスクを最小限に抑えるために必要な最小限の特権の原則を採用します。 非 root ユーザーまたは特権コンテナーとしてコンテナーを実行することは避けてください。
- AppArmor Linux カーネル・セキュリティー・モジュールが仮想サーバー・インスタンスで有効になります。 詳しくは、 AppArmor を参照してください。
- 契約に関する以下のベスト・プラクティスに従う必要があります。
- 契約のすべてのセクションを暗号化することをお勧めします。 詳しくは、 契約の暗号化 を参照してください。
- 契約の整合性を確保するために、契約に署名することをお勧めします。 詳しくは、 契約署名 を参照してください。
- コンテナー・イメージに署名できます。 詳しくは、 IBM Hyper Protect Container Runtime イメージ を参照してください。
- 不注意によるセキュリティー・リスクを回避するために、作成した契約のコピーを安全に保管しておくのはお客様の責任です。契約が失われた後は、その契約を取得できなくなるためです。
- 入力データは、認証レコードを使用して検証できます。 詳しくは、 認証 を参照してください。
- 証明記録は、attestationPublicKey。
- 契約の暗号化および認証のためにダウンロードした証明書を検証できます。 詳しくは、 証明書の検証 を参照してください。
- 契約で使用するシードが、推測やひびが簡単なものではないことを確認します。
- 契約で定義するすべてのソフトウェアが信頼できるソースからのものであることを確認します。