实例元数据服务的安全性最佳实践

IBM 认真对待数据安全性，并建议您遵循以下最佳实践，以确保对实例元数据进行最高级别的保护。

概述

本主题描述如何通过以下方法配置安全保护以保护元数据:

您可以在已启用服务的现有实例上禁用该服务。请参阅启用或禁用实例元数据服务。

使用 iptables Linux 防火墙工具，在元数据服务链接本地地址（受信任网络）和互联网（不受信任网络）之间建立屏障。定义用于管理允许和阻止哪些流量的规则。

下面的示例使用 Linux iptables 及其所有者模块（基于其默认安装 Apache ID）来阻止 Apache Web 服务器访问元数据链接本地地址 ( 169.254.169.254 )。它使用拒绝规则来拒绝来自以该用户身份运行的任何进程的所有实例元数据请求。

sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner --uid-owner apache --jump REJECT

此端点可供虚拟服务器实例中运行的所有命令，进程和软件应用程序访问。对 API 端点的访问在虚拟服务器实例外部不可用。此步骤将添加另一级别的安全性。

另一种替代方法是使用允许规则来定义对特定用户或组的访问权。允许规则要求您决定需要访问实例元数据的软件。通过定义规则，您可以防止软件在以后更改实例上的软件或配置时意外访问元数据服务。

您还可以定义允许规则的组用法。在不更改防火墙规则的情况下从允许的组添加和除去用户。

以下示例阻止所有进程访问实例元数据服务，但在用户帐户 trustworthy-user 中运行的进程除外:

sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner ! --uid-owner trustworthy-user --jump REJECT

限制为计算资源身份创建的可信概要文件。 (可选) 不要将计算资源标识分配给实例。

当您输入 "删除受信任的配置文件""删除受信任的配置文件""删除受信任的配置文件时，计算资源和联合用户将从配置文件中解除链接，并不再应用受信任的配置文件身份。

您还可以通过重新定义信任关系，分配访问策略和更新会话限制来更新现有可信概要文件。有关更多信息，请参阅更新可信概要文件。

请考虑以下选项来控制到虚拟服务器实例的网络流量:

通过使用安全组来限制对实例的访问。
确保正确配置了实例响应中继段限制。不正确的配置可能会导致尝试访问服务时发生超时错误。有关更多信息，请参阅使用 UI 设置元数据中继段限制。
设置访问控制表(ACL) 以控制 IBM Cloud® Virtual Private Cloud中的所有传入和传出流量。 ACL 是与安全组类似的内置虚拟防火墙。与安全组不同，ACL 规则控制的是进出子网的流量，而不是进出实例的流量。
使用 Virtual Private Network (VPN) for VPC 来建立从远程网络到 VPC 的专用连接。
使用 IBM Cloud® Virtual Private Endpoints (VPE) for VPC，通过使用您选择的 IP 地址 (从 VPC 内的子网分配) 从 VPC 网络连接到受支持的 IBM Cloud 服务。 VPE 是绑定到基于每个服务或服务实例创建的端点网关的虚拟 IP 接口。
在 VPC 上使用 IBM Cloud 流日志来监视到达实例的流量。
启用对实例元数据服务的安全访问。启用安全访问后，元数据服务只能通过加密的 HTTP 安全协议 ( HTTPS ) 访问虚拟服务器实例。

Security and Compliance Center 可帮助您监视 VPC 基础结构，以针对概要文件验证帐户中的资源配置，并在发生潜在问题时识别这些问题。