裸机服务器元数据服务的安全最佳实践

IBM 我们非常重视数据安全，建议您遵循这些最佳实践，以帮助确保您的裸机服务器元数据得到最高级别的保护。

概述

以下信息介绍了如何使用以下操作配置安全保护措施来保护元数据。

您可以在已启用该服务的现有裸机服务器上禁用该服务。请参阅启用或禁用裸机服务器元数据服务。

使用 iptables Linux 防火墙工具，在元数据服务链接本地地址（受信任网络）和互联网（不受信任网络）之间建立屏障。定义管理允许和阻止流量的规则。

下面的示例使用 Linux iptables 及其所有者模块（基于其默认安装 Apache ID）来阻止 Apache Web 服务器访问元数据链接本地地址 ( 169.254.169.254 )。它使用拒绝规则来拒绝来自以该用户身份运行的任何进程的所有裸机服务器元数据请求。

sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner --uid-owner apache --jump REJECT

裸机服务器中运行的所有命令、进程和软件应用程序都可以访问该端点。裸机服务器外无法访问 API 端点。这一步骤又增加了一层安全性。

另一种方法是使用允许规则来定义特定用户或组的访问权限。允许规则要求你决定哪些软件需要访问裸机服务器元数据。通过定义规则，可以防止软件意外访问元数据服务，如果你以后更改了裸机服务器上的软件或配置的话。

您还可以定义允许规则的分组使用。在不更改防火墙规则的情况下，从允许组中添加和删除用户。

下面的示例可阻止所有进程访问裸机服务器元数据服务，以用户账户 trustworthy-user 运行的进程除外：

sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner ! --uid-owner trustworthy-user --jump REJECT

限制为计算资源身份创建的受信任配置文件。可选择不为裸机服务器分配计算资源标识。

当您删除受信任的配置文件删除受信任的配置文件删除受信任的配置文件时，计算资源和联合用户将与配置文件取消链接，并且不能再应用受信任的配置文件身份。

您还可以通过重新定义信任关系、分配访问策略和更新会话限制来更新现有的受信任配置文件。更多信息，请参阅更新受信任的配置文件。

请考虑以下控制裸机服务器网络流量的选项：

使用安全组限制对裸机服务器的访问。
在 IBM Cloud® Virtual Private Cloud 中设置访问控制列表（ACL）以控制所有进出流量。 ACL 是与安全组类似的内置虚拟防火墙。与安全组不同，ACL 规则控制的是进出子网的流量，而不是进出裸机服务器的流量。
使用 Virtual Private Network (VPN) for VPC 建立从远程网络到 VPC 的专用连接。
使用 IBM Cloud® Virtual Private Endpoints (VPE) for VPC，通过使用从 VPC 内子网分配的 IP 地址，从 VPC 网络连接到支持的 IBM Cloud 服务。 VPE 是虚拟 IP 接口，绑定到按服务或服务裸机服务器创建的端点网关。
在 VPC 上使用 IBM Cloud 流量日志监控到达裸机服务器的流量。
启用对裸机服务器元数据服务的安全访问。启用安全访问后，元数据服务只能通过加密的 HTTP 安全协议 ( HTTPS ) 访问裸机服务器。

Security and Compliance Center 可帮助您监控 VPC 基础设施，根据配置文件验证账户中的资源配置，并在出现问题时及时发现。