關於 IP 盜用檢查
IBM Cloud® Virtual Private Cloud 在虛擬服務實例的每一個網路介面上包括 IP 盜用檢查,以確保來自該網路介面的資料流量包含適當的定址。
停用 IP 盜用檢查將允許資料流量通過網路介面,而不是終止於網路介面。 如果您使用實例作為「下一個中繼站」,則實例的網路介面必須容許 IP 盜用。 例如,如果您使用自訂負載平衡器實例,則必須設定 allow_ip_spoofing
,資料流量才會到達該實例。
可以在檢查中的兩個點放置資料流量:
-
會檢查送入的資料流量,以確定它已定址至選取的網路介面。 如果資料流量的目的地位址不符合選取的網路介面位址,則會捨棄資料流量。
-
會檢查送出的資料流量,以驗證內容來自選取的網路介面位址。 如果所選取網路介面的來源位址不符合所選取網路介面位址,則會捨棄來自所選取網路介面的資料流量。
只有具有 IP 盜用操作員 Identity and Access Management (IAM) 專用權的操作員才能在 VPC 內的介面上啟用或停用 IP 盜用檢查。 依預設會啟用 Ingress 及 Egress IP Spoofing 檢查。
啟用 IP 盜用檢查
建立虛擬伺服器實例之後,具有 IAM 中 IP 盜用操作員 角色的網路管理者可以更新網路介面,以啟用或停用 IP 盜用檢查。
依預設,所有使用者都會停用「IAM IP 盜用操作員」。
有關 IAM 權限的更多信息,請參閱 管理 VPC 基礎設施服務的 IAM 訪問。
若要在主控台中啟用 IP 詐騙,請執行下列步驟:
- 移至實例水平導覽列中的 管理> 存取權 (IAM)。
- 在 管理身分 區段中選取 使用者,然後選擇您要授與 IP 盜用角色的使用者。
- 在存取原則索引標籤中,按一下指定存取。
- 選取 存取原則 磚。
- 在 服務 區段中選取「VPC 基礎架構服務」。
- 在 資源 區段中選取「全部」。
- 在 角色和動作 區段中勾選「IP 盜用操作員」。
- 按一下新增。
若要從 CLI 啟用 IP 盜用,請執行下列指令:
ibmcloud iam user-policy-create YOUR_USER_EMAIL_ADDRESS --roles "IP Spoofing Operator" --service-name is
瞭解風險
當您容許在網路介面上進行 IP 盜用時,請考量所涉及的潛在安全風險。 具有 IP 盜用操作員 角色的任何人不僅有權啟用虛擬網路應用裝置,還可以配置實例來代表另一個實例傳送資料流量。 此配置會增加平台因未受教育或惡意使用者的動作而受到攻擊的機會。
將 IP 盜用操作員 角色指派給使用者時請小心。
IP 盜用事件的警示
在網路介面上修改 IP 詐騙時,會產生活動追蹤記錄。
由 VPC 資源產生的稽核事件會自動轉送至相同位置可用的 IBM Cloud Activity Tracker Event Routing 服務實體。 服務可以將事件路由到您定義的目標儲存位置。 目標可以是 IBM Cloud Object Storage(COS)目標、IBM Cloud Logs 目標 或 IBM® Event Streams for IBM Cloud® 目標。 如需相關資訊,請參閱開始使用 IBM Cloud Activity Tracker Event Routing。
您可以使用 IBM Cloud Logs [來視覺化]和[警示]在您帳戶中產生並由 IBM Cloud Activity Tracker Event Routing 路由到 IBM Cloud Logs 範例的事件。 如需存取 IBM Cloud Logs UI 的相關資訊,請參閱 IBM Cloud Logs 文件中的 Navigating to the UI。