概觀

本主題說明如何透過下列方式來配置安全保護措施以保護 meta 資料:

• 停用實例或帳戶的 meta 資料服務。
• 限制或不指派計算資源身分的授信設定檔。
• 加強網路安全。

停用實例或帳戶的 meta 資料服務

您可以在已啟用服務的現有實例上停用服務。 請參閱 啟用或停用實例 meta 資料服務。

使用 iptables 防火牆來限制 Linux 上的存取權

使用 iptables Linux 防火牆公用程式，在元資料服務連結本機位址 (信任網路) 和網際網路 (不信任網路) 之間建立屏障。 定義規則，以控管容許哪些資料流量及封鎖哪些資料流量。

以下範例使用 Linux iptables 及其擁有者模組，根據其預設安裝 Apache ID，防止 Apache Web 伺服器存取元資料連結本地位址 ( 169.254.169.254 )。 它使用拒絕規則來拒絕以該使用者身分執行之任何處理程序的所有實例 meta 資料要求。

sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner --uid-owner apache --jump REJECT

在虛擬伺服器實例內執行的所有指令、處理程序及軟體應用程式都可以存取此端點。 無法在虛擬伺服器實例外部存取 API 端點。 此步驟會新增另一個安全層次。

另一個替代方案是使用容許規則來定義特定使用者或群組的存取權。 容許規則需要您決定哪些軟體需要存取實例 meta 資料。 透過定義規則，如果您稍後變更實例上的軟體或配置，則可以防止軟體意外存取 meta 資料服務。

您也可以定義容許規則的群組用法。 在允許的群組中新增及移除使用者，而不變更防火牆規則。

下列範例會阻止所有處理程序存取實例 meta 資料服務，但在使用者帳戶 trustworthy-user 中執行的處理程序除外:

sudo iptables --append OUTPUT --proto tcp --destination 169.254.169.254 --match owner ! --uid-owner trustworthy-user --jump REJECT

限制計算資源身分的授信設定檔

限制您為計算資源身分建立的授信設定檔。 選擇性地，不要將計算資源身分指派給實例。

當您 刪除受信任的設定檔刪除受信任的設定檔 刪除 受信任的設定檔時，計算資源和聯合使用者將與設定檔取消鏈接，並且無法再套用受信任的設定檔身分。

您也可以重新定義信任關係、指派存取原則，以及更新階段作業限制，來更新現有的授信設定檔。 如需相關資訊，請參閱 更新授信設定檔。

其他網路安全措施

請考量下列選項，以控制虛擬伺服器實例的網路資料流量:

• 使用 安全群組 來限制對實例的存取權。

• 請確定已適當地配置實例回應躍點限制。 嘗試呼叫到服務時，不當的配置可能會導致逾時錯誤。 如需相關資訊，請參閱 使用使用者介面來設定 meta 資料躍點限制。

• 設定 存取控制清單(ACL)，以控制 IBM Cloud® Virtual Private Cloud中所有送入及送出的資料流量。 ACL 是內建的虛擬防火牆，類似於安全群組。 與安全群組不同的是，ACL 規則控制來自子網路的流量，而非來自實體的流量。

• 使用 Virtual Private Network (VPN) for VPC 來建立從遠端網路到 VPC 的專用連線。

• 使用 VPC 的 IBM Cloud® Virtual Private Endpoints (VPE)，透過使用您選擇的 IP 位址，從 VPC 網路連接至受支援的 IBM Cloud 服務，這些 IP 位址是從 VPC 內的子網路配置。 VPE 是虛擬 IP 介面，連結至每個服務或服務實例所建立的端點閘道。

• 使用 VPC 上的 IBM Cloud 流程日誌 來監視到達實例的資料流量。

• 對實例 meta 資料服務 啟用安全存取。 啟用安全存取時，只有虛擬伺服器實體可以透過加密的 HTTP 安全通訊協定 ( HTTPS ) 存取元資料服務。

管理 VPC 基礎架構服務的安全與合規

Security and Compliance Center 可協助您監視 VPC 基礎架構，以根據設定檔來驗證帳戶中的資源配置，並在發生潛在問題時加以識別。