IBM Cloud Docs
IP スプーフィング・チェックについて

IP スプーフィング・チェックについて

IBM Cloud® Virtual Private Cloud は、仮想サービス・インスタンスの各ネットワーク・インターフェイス上でIPスプーフィング・チェックを行い、そのネットワーク・インターフェイスから来るトラフィックに適切なアドレッシングが含まれていることを確認します。

IP スプーフィング・チェックを無効にすると、トラフィックがネットワーク・インターフェースで終了されずに、ネットワーク・インターフェースを経由できるようになります。 インスタンスを「ネクスト・ホップ」として使用する場合は、そのインスタンスのネットワーク・インターフェースで IP スプーフィングを許可する必要があります。 例えば、カスタムのロード・バランサー・インスタンスを使用する場合は、インスタンスにトラフィックが到達するように、allow_ip_spoofing を設定する必要があります。

トラフィックは、チェックの次の 2 つの時点でドロップできます。

  • 着信トラフィックは、選択されたネットワーク・インターフェースにアドレス指定されていることを確認するために検査されます。 トラフィックの宛先アドレスが、選択されているネットワーク・インターフェースのアドレスと一致しない場合、そのトラフィックはドロップされます。

  • 発信トラフィックの内容が、選択されているネットワーク・インターフェースのアドレスからの内容であるかどうかが検査されます。 選択されているネットワーク・インターフェースからのトラフィックの送信元アドレスが、選択されているネットワーク・インターフェースのアドレスと一致しない場合、そのトラフィックはドロップされます。

![仮想サーバー](images/as-deny.svg "とのトラフィックフローの失敗を示す図仮想サーバーインスタンスとのトラフィックフローの失敗を示す図IP" caption-side="bottom"}の"){: caption="を示す図*IPスプーフィングチェックの失敗を示す図

仮想サーバー
IP
の成功を示す図*IPスプーフィングチェックの成功を示す図

ID およびアクセス管理 (IAM) のIP スプーフィングのオペレーター特権を付与されているオペレーターのみが、VPC 内のインターフェースの IP スプーフィング・チェックを有効/無効にすることができます。 デフォルトでは、着信と発信の IP スプーフィング・チェックが有効になっています。

IP スプーフィング・チェックの有効化

仮想サーバー・インスタンスが作成された後に、IAM の IP スプーフィングのオペレーター役割を持っているネットワーク管理者が、IP スプーフィング・チェックを有効または無効にするようにネットワーク・インターフェースを更新できます。

IAM IP スプーフィング・オペレーターは、すべてのユーザーに対してデフォルトで無効になっています。

IAM権限の詳細については、以下を参照してください。VPC インフラストラクチャ サービスの IAM アクセスの管理

コンソールでIPスプーフィングを有効にするには、以下の手順を踏む:

  1. インスタンスの水平ナビゲーション・バーで 「管理」>「アクセス (IAM)」 に移動します。
  2. 「ID の管理」 セクションで 「ユーザー」 を選択し、IP スプーフィング・ロールを付与するユーザーを選択します。
  3. アクセスポリシータブでアクセスを割り当てるをクリックします。
  4. 「アクセス・ポリシー」 タイルを選択します。
  5. 「サービス」 セクションで「VPC インフラストラクチャー・サービス」を選択します。
  6. 「リソース」 セクションで「すべて」を選択します。
  7. 「役割とアクション」 セクションの「IP スプーフィング・オペレーター」にチェック・マークを付けます。
  8. 追加 をクリックします。

CLI から IP スプーフィングを有効にするには、次のコマンドを実行します。

ibmcloud iam user-policy-create YOUR_USER_EMAIL_ADDRESS --roles "IP Spoofing Operator" --service-name is

リスクについて

ネットワーク・インターフェースで IP スプーフィングを許可する場合は、それに伴う潜在的なセキュリティー・リスクを考慮してください。 IP Spoofing Operator ロールを持つ人は、仮想ネットワーク・アプライアンスを有効にする権限があるだけでなく、別のインスタンスの代わりにトラフィックを送信するようにインスタンスを構成することもできる。 この構成は、教育を受けていないユーザーや悪意のあるユーザーの行動によってプラットフォームが攻撃される可能性を高める。

IP Spoofing Operator ロールをユーザーに割り当てる場合は、注意してください。

IP スプーフィングのイベントについてのアラートの生成

IPスプーフィングがネットワークインターフェース上で変更されると、アクティビティ追跡ログが生成される。

VPCリソースによって生成された監査イベントは、同じ場所で利用可能な IBM Cloud Activity Tracker サービスインスタンスに自動的に転送されます。 サービスは、定義したターゲット・ストレージにイベントをルーティングすることができる。 ターゲットは、 IBM Cloud Object Storage (COS)ターゲットIBM Cloud Logs ターゲットIBM® Event Streams for IBM Cloud® ターゲットの いずれかである。 詳しくは、IBM Cloud Activity Tracker Event Routing の紹介を参照してください。

IBM Cloud Logs を使用して、アカウントで生成され、 IBM Cloud Activity Tracker Event Routing によって IBM Cloud Logs インスタンスにルーティングされたイベントを[視覚化]し、 [アラートする]ことができます。 IBM Cloud Logs UI へのアクセスについては、 IBM Cloud Logs ドキュメントの Navigating to UI を参照。