安全实施和建议
一般安全准则
- 将 HTTPS 与公共 CA 证书结合使用。您需要一个可公开解析的主机名和公共 CA 证书。
- 将防火墙配置为仅允许入站流量的特定端口。
- 将防火墙配置为仅允许来自瞻博网络 Mist™ 公共源 IP 的入站流量。
- 将防火墙配置为仅允许出站流量的特定端口。
- 使用所有必需的安全修补程序更新 VM。
- 将瞻博网络警报格式中继虚拟机访问权限限制为仅授权用户。
- 仅允许 VM 和 SSH 访问内部/管理网络。
SSL 证书
您需要为瞻博网络警报格式中继公共 IP 指定可公开解析的 FQDN。我们建议使用公共证书颁发机构 (CA) 验证 SSL 证书。如果证书不可用,可以在安装过程中禁用证书验证要求。
默认情况下,瞻博网络警报格式中继可以生成和安装自签名证书。但是,建议将可公开解析的 FQDN 与公共 CA 证书一起使用。
允许来自 Webhook 公共源 IP 地址的入站流量
添加防火墙规则以允许来自瞻博网络 Mist 的 Webhook 流量。
瞻博网络 Mist 使用静态公共 IP 地址生成 Webhook,该地址不会更改。有关 Webhook 源 IP 的完整列表,请参阅《瞻博网络 Mist 管理指南》中的 有关 Webhook 的其他信息 。
作为第二层检查,瞻博网络警报格式中继仅允许来自瞻博网络 Mist 源 IP 的流量。
虚拟机互联网接入
可以禁用对瞻博网络警报格式中继 VM 的 Internet 访问,并仅在必要时提供条件访问。瞻博网络警报格式中继运行 API 查询来获取库存详细信息,因此虚拟机应该能够访问瞻博网络 Mist URL。有关完整列表,请参阅《瞻博网络 Mist 管理指南》中的 Mist 云 。
在虚拟机上,启用 APT/YUM 并允许访问这些存储库/镜像。
防火墙和 NAT 配置
您可以将瞻博网络 Mist 配置为将 Webhook 转发到公共 IP/FDQN。此公共 IP 可以位于防火墙上。配置 NAT 以将 Webhook 消息转发到专用 VIP,以便使用瞻博网络警报格式中继。瞻博网络警报格式中继将使用 Webhook HTTP 帖子消息的 HTTP 状态代码进行响应。您需要配置所需的静态/源 NAT 设置以允许此通信。
下图说明了来自瞻博网络 Mist 的流量如何通过防火墙传输到虚拟 IP 和虚拟机。
安全强化
以下是瞻博网络警报格式中继强化瞻博网络 Mist 网络以使其更抵御攻击的几种方法。
- 只有特定的 Web 端点才会向互联网公开。
- Web 端点配置为接收来自特定瞻博网络 Mist 公共 IP 的流量。
- 敏感信息以加密格式存储在本地。