IBM Cloud Docs
Informationen zu IBM Cloud Internet Services

Informationen zu IBM Cloud Internet Services

IBM Cloud® Internet Services, powered by Cloudflare, bietet einen schnellen, überaus leistungsfähigen, zuverlässigen und sicheren Internet-Service für Kunden, die Ihre Geschäftstätigkeit mit IBM Cloud ausführen.

IBM CIS ermöglicht Ihnen einen schnellen Einstieg, indem es Standardeinstellungen für Sie festlegt, die Sie mit Hilfe der Benutzeroberfläche oder der API leicht ändern können.

Uhrensynchronisation

ISO 27001 erfordert, dass die Uhren aller relevanten Informationsverarbeitungssysteme innerhalb einer Organisation oder Sicherheitsdomäne mit einer einzigen Referenzzeitquelle synchronisiert werden. CIS synchronisiert die Systeme mit einem NTP-Server (Network Time Protocol), um sicherzustellen, dass alle zeitbasierten Aktivitäten überall im Netz synchron ausgeführt werden.

IBM CIS verwendet die folgenden internen NTP-Server:

  • time.adn.networklayer.com/
  • time.service.networklayer.com

Sicherheitsmerkmale

Leiten Sie Ihre DNS-Datensätze oder eine globale Lastausgleichsfunktion über Proxys, um die Sicherheitsfunktionen zu nutzen. Der Proxy lässt den Datenverkehr durch unsere Server fließen und Sie können die Daten überwachen.

sicherheitsgrafik
Sicherheitsmerkmale

TLS

Schützen Sie Ihre Site und steuern Sie Ihre Einstellungen für Transport Layer Security (TLS). Verwalten Sie die Zertifikate, um den Datenverkehr für Ihre Site zu schützen.

Ursprung

Verwalten Sie die TLS-Zertifikate, die den Datenverkehr zwischen Ihrem Ursprungsserver und Ihren Benutzern verschlüsseln.

Durchsatzbegrenzung

Verwenden Sie Regeln zur Ratenbegrenzung, um Ihre Website oder API vor bösartigem Datenverkehr zu schützen, indem Sie Client-IP-Adressen blockieren, die einem URL-Muster entsprechen oder einen definierten Schwellenwert überschreiten.

Bereinigung des Datenverkehrs

CIS bietet eine globale Netzwerk-Edge-Kapazität von 248 Tbps und kann DDoS-Angriffe mit extrem hohen Paket- und HTTP-Anforderungsraten abschwächen.

Wenn eine DDoS-Attacke auftritt, verwendet CIS keine Bereinigungszentren. Die Aktivität wird auf der Edge analysiert, um DDoS-Attacken zu mindern, die der Quelle am nächsten sind.

Datenverkehr, der als "schmutzig" oder Teil eines Angriffs identifiziert wird, wird nicht in die Abrechnung einbezogen. Den Kunden wird der geschützte Datenverkehr in Rechnung gestellt, der aus dem reinen Datenverkehr besteht, der an den Ursprung weitergeleitet wird, und aus den Antworten, die vom Edge an den Kunden zurückgesendet werden.

Web Application Firewall (WAF)

WAF wird durch mehrere Regelsätze umgesetzt: OWASP, CIS und Exposed Credentials Check.

IP-Firewall

IBM Cloud Internet Services bietet mehrere Tools zur Steuerung Ihres Datenverkehrs, sodass Sie Ihre Domänen, URLs und Verzeichnisse gegen große Mengen an Datenverkehr, bestimmte Anforderergruppen und bestimmte anfordernde IP-Adressen schützen können.

IP-Regeln

Mit IP-Regeln können Sie den Zugriff für bestimmte IP-Adressen, IP-Bereiche, bestimmte Länder, bestimmte ASNs und bestimmte CIDR-Blöcke kontrollieren. Verfügbare Aktionen für eingehende Anforderungen sind:

  • Zulassungsliste
  • Block
  • Abfrage (Captcha)
  • JavaScript-Abfrage (Verteidigungsmodus)

Wenn Sie zum Beispiel bemerken, dass eine bestimmte IP-Adresse schädliche Anforderung stellt, können Sie diesen Benutzer über die IP-Adresse blockieren.

IP-Regeln gelten für TCP-, HTTP- und HTTPS-Range-Apps, da sie auf Open System Interconnection (OSI) Layer 3 und Layer 4 angewendet werden.

Blockierungsregeln für Benutzeragenten

Mit Regeln zum Blockieren von Benutzer-Agenten können Sie auf jede beliebige Benutzer-Agenten-Zeichenfolge reagieren, die Sie auswählen. Diese Funktion ist mit der Domänensperrung vergleichbar. Beim Blockieren wird jedoch nicht die IP-Adresse untersucht, sondern die eingehende Zeichenfolge des Benutzeragenten. Zum Auswählen der Verarbeitung für eine übereinstimmende Anforderung können Sie die Aktionsliste verwenden, die Sie in den IP-Regeln definiert haben (Blockierung, Sicherheitsabfrage und JavaScript-Abfrage). Die Blockierungsfunktion für Benutzeragenten gilt für Ihre gesamte Zone. Sie können Subdomänen nicht auf dieselbe Weise wie bei einer Domänensperre angeben.

Dieses Tool ist hilfreich zum Blockieren beliebiger Zeichenfolgen von Benutzeragenten, die Sie für verdächtig halten.

Domänensperrung

Wenn Sie die Domänensperrung verwenden, können Sie bestimmte IP-Adressen und IP-Bereiche in die Zulassungsliste aufnehmen, sodass alle anderen IP-Adressen in die Blockierliste aufgenommen werden. Die Domänensperrung unterstützt die folgenden Elemente.

  • Bestimmte Unterdomänen. Sie können beispielsweise der IP-Adresse 1.2.3.4 den Zugriff auf die Domäne foo.example.com gewähren und der IP-Adresse 5.6.7.8 den Zugriff auf die Domäne bar.example.com, ohne dass die Umkehrung zugelassen werden muss.
  • Bestimmte URLs. Sie können beispielsweise der IP-Adresse 1.2.3.4 den Zugriff auf das Verzeichnis example.com/foo/* gewähren und er IP-Adresse 5.6.7.8 den Zugriff auf das Verzeichnis example.com/bar/*, ohne dass die Umkehrung zugelassen werden muss.

Diese Funktion ist hilfreich, wenn Sie eine höhere Granularität für Ihre Zugriffsregeln benötigen, da Sie mit den IP-Regeln entweder alle Unterdomänen der aktuellen Domäne oder alle Domänen in Ihrem Konto blockieren können. URIs können nicht angegeben werden.

Firewallregeln

Erstellen Sie Regeln, damit der eingehende HTTP-Datenverkehr auf eine Gruppe von Filtern untersucht wird, um übereinstimmende Abfragen zu blockieren, mit einer Sicherheitsabfrage zu prüfen, zu protokollieren oder zuzulassen.

Im Allgemeinen sind Firewall-Regeln für Eigenschaften konzipiert, die in OSI Layer-7 ( HTTP ) offengelegt werden, wie z. B. Anforderungskopfzeilen und Body-Inhaltsmerkmale. Dies bedeutet, dass Firewallregeln auf HTTP/HTTPS-Range-Apps angewendet werden.

Ereignisse

Sie können Ereignisse anzeigen, die von einer aktiven Firewallregel für eine Webanwendung ausgelöst werden. Für jedes Ereignis können Sie die ausgelöste Aktion für die anfordernde IP-Adresse oder für die anfordernde Region als Ganzes ändern.

Spannweite

Erweitern Sie die Leistung von CIS DDoS, TLS und IP-Firewall auf Ihre Webserver und Ihre TCP-basierten Dienste, indem Sie Range-Anwendungen verwenden und diese online und sicher halten.

Erweiterte Sicherheit

Zu den erweiterten Sicherheitseinstellungen gehören die folgenden Funktionen, die Sie ändern, aktivieren und inaktivieren können.

  • Browserintegritätsprüfung - Bei der Browserintegritätsprüfung wird nach HTTP-Headern gesucht, die häufig von Spammern missbraucht werden. Sie verweigert Datenverkehr mit diesen Headern den Zugriff auf Ihre Seite. Außerdem werden Besucher, die keinen Benutzer-Agenten haben oder einen nicht standardmäßigen Benutzer-Agenten hinzufügen, blockiert oder herausgefordert. Diese Taktik wird häufig von böswilligen Bots, Crawlern oder APIs verwendet.
  • Challenge-Passage- Steuert, wie lange ein Besucher, der eine Challenge (oder JavaScript ) bestanden hat, Zugang zu Ihrer Website erhält, bevor er erneut herausgefordert wird. Diese Herausforderung basiert auf der IP des Besuchers und gilt daher nicht für Herausforderungen durch WAF-Regeln, da diese auf einer Aktion basieren, die der Benutzer auf Ihrer Website durchführt.
  • Sicherheitsstufe - Gibt die Sicherheitsstufe für Ihre Website an, die festlegt, für welche Besucher eine Sicherheitsabfrage angezeigt wird.
  • Immer HTTPS verwenden - Leitet alle Besucher zur HTTPS-Version um.
  • E-Mail-Verschleierung - Verhindert Spam von Harvester-Komponenten oder Bots, die versuchen, auf E-Mail-Adressen von Ihren Seiten zuzugreifen.
  • Automatische HTTPS-Umschreibvorgänge - Unterstützen die Korrektur von gemischten Inhalten durch das Ändern von http in https für alle Ressourcen (oder Links) auf Ihrer Website, die mit HTTPS bereitgestellt werden können.
  • Opportunistische Verschlüsselung- Ermöglicht es Browsern, von der verbesserten Leistung von HTTP/2 zu profitieren, indem sie darüber informiert werden, dass Ihre Website über eine verschlüsselte Verbindung verfügbar ist.
  • Universal SSL - Aktiviert universelle SSL-Zertifikate von Ihrer Zone bis zum Edge.
  • True-Client-IP-Header- Sendet die IP-Adresse des Benutzers im True-Client-IP-Header.

Sicherheitsstandards und -plattform

  • TLS (SHA2 und SHA1)
  • IPv4 und IPv6
  • HTTP/2

Netzangriffe und Risikominderung

Angriffe können in der Regel den beiden folgenden Kategorien zugeordnet werden:

Arten von Netzwerkangriffen
Layer-3- oder Layer-4-Angriffe Layer-7-Angriffe
Diese Angriffe bestehen aus einer Flut von Datenverkehr auf ISO-Schicht 3 (der Netzwerkschicht), z. B. ICMP-Floods, oder auf Schicht 4 (der Transportschicht), z. B. TCP SYN-Floods oder reflektierte UDP-Floods. Diese Angriffe senden bösartige ISO Layer-7-Anfragen (die Anwendungsschicht), wie z. B. GET-Floods.
Automatisch gesperrt unter CIS CIS begegnet diesen Angriffen mit Verteidigungsmodus, WAF und Sicherheitseinstellungen.

On-Demand-Anti-DDoS

IBM Cloud Internet Services nimmt Datenverkehr auf, indem eine CIS -IP-Adresse bei der DNS-Suche für eine Domäne anstelle des tatsächlichen Datensatzes für die IP-Adresse des Ursprungsservers zurückgegeben wird. Auf diese Weise kann CIS Daten aufnehmen, überprüfen und erneut verschlüsseln, bevor sie an das Ziel des Ursprungsservers gesendet werden. CIS kann auch im reinen DNS-Modus agieren und den tatsächlichen DNS-Datensatz zurückgeben, ohne die IP zu verschleiern, wodurch DDoS und die anderen Funktionen von CISinaktiviert werden. Um den CIS -Schutz zu aktivieren, wechseln Sie den Schieberegler "Proxy" neben jedem DNS-Eintrag zu am. Um den Schutz zu inaktivieren, wechseln Sie zu Aus.

Uneingeschränkte DDoS-Risikominderung

Die DDoS-Risikominderung ist in der Regel ein teurer Service, dessen Kosten bei einem Angriff noch steigen können. Die unbegrenzte DDoS-Risikominderung ist bei CIS ohne zusätzliche Kosten enthalten.

Angriffe der Ebene 7 mindern (Konfiguration)

Obwohl DDoS standardmäßig in CISaktiviert ist, können Sie die Sicherheit der Ebene 7 wie folgt weiter konfigurieren:

  • Konfigurieren der Empfindlichkeit und des Reaktionsverhaltens von WAF-Regelsätzen
  • Ratenbegrenzung hinzufügen
  • Firewallregeln hinzufügen

Verwenden Sie diese Funktionen, um die Layer 7-Risikominderung von volumetrischen und nicht volumetrischen Angriffen anzupassen.

Entschärfung nicht volumetrischer Angriffe

CIS WAF enthält Regelsätze zur Minderung nicht volumetrischer Angriffe, einschließlich Cross-Site Forgery, Cross-Site Scripting (XSS), Dateieinschluss und SQL-Injection. Weitere Informationen zu WAF finden Sie unter Konzepte der Webanwendungsfirewall.

Kostenschutz

CIS misst oder fakturiert keinen Datenverkehr, der als Teil der DDoS-Risikominderung, Firewall oder Ratenbegrenzung blockiert wird. Nur Anforderungen, die über das CIS-Netz an das Ursprungsziel übergeben werden, fallen Gebühren oder Nutzungsgebühren an.

CIS hilft auch, die Gebühren für die Ausgangsbandbreite von Ihrem Ursprung unter Kontrolle zu halten, indem nur gute Anforderungen übergeben werden, auf die der Ursprung antworten muss. Alle CIS-Pläne bieten eine unbegrenzte und ungemessene Minderung von DDoS-Angriffen. Sie werden nie für Angriffsdatenverkehr belastet. Es gibt keine Strafe für Lastspitzen aufgrund von Angriffsverkehr, so gibt es keine Rückerstattung durch den Kunden.

Zuverlässigkeitsmerkmale

zuverlässigkeitsgrafik
Zuverlässigkeitsmerkmale

Funktionen für globalen Lastausgleich

Der globale Lastausgleichsservice verteilt Ihren Datenverkehr auf mehrere Server durch eine Kombination aus Ursprungspools, Statusprüfungen und eine Lastausgleichsfunktion. Der globale Lastausgleich hat die folgenden Funktionen:

  • Proxy- und Nicht-Proxy-Optionen für den Lastausgleich
  • Ursprungspools und Statusprüfungen

Globales Anycast-Netz

Die verfügbaren Health-Check-Regionen basieren auf dem Cloudflare Global Anycast Network.

DNS-Funktionen

DNS in CIS bietet die folgenden Funktionen:

  • DNS-Management - Verwalten Sie Ihre DNS-Datensätze, steuern Sie die Proxy-Weiterleitung und aktivieren Sie die DNS-Sicherheit.
  • DNSSEC - DNS-Sicherheit signiert eine Zone kryptografisch, um sicherzustellen, dass die dem Benutzer bereitgestellten DNS-Einträge mit den auf dem DNS-Server veröffentlichten DNS-Einträgen übereinstimmen.

Unterstützung des gRPC-Protokolls

Das gRPC-Protokoll erstellt effiziente APIs mit kleineren Nutzdaten, was den Bandbreitenbedarf reduziert, die Latenzzeit verringert und die Implementierungszeit verlängert. CIS unterstützt das gRPC-Protokoll für alle weitergeleiteten gRPC-Endpunkte. Um die gRPC-Unterstützung zu aktivieren oder zu inaktivieren, navigieren Sie zum Abschnitt Zuverlässigkeit , wählen Sie die Registerkarte Erweitert aus und schalten Sie den gRPC-Switch um.

Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie gRPC:

  • Der gRPC-Endpunkt muss an Port 443 empfangsbereit sein
  • Der gRPC-Endpunkt muss TLS und HTTP/2 unterstützen.
  • HTTP/2 muss über Application-Layer Protocol Negotiation (ALPN) zugänglich gemacht werden.
  • Der Inhaltstyp-Header von gRPC-Anforderungen muss application/grpc oder application/grpc+<message type> verwenden.

Leistungsmerkmale

leistungsgrafik
Leistungsmerkmale

Zwischenspeichern

Steuern Sie, wie Ihre zwischengespeicherten Assets von CIS verwaltet werden.

Seitenregeln

Optimieren Sie das Caching-Verhalten und erstellen Sie optimierte Inhalte.

Routing

Vermeiden Sie übermäßig lange Latenzzeiten durch das Analysieren und Optimieren von Routing-Entscheidungen und durch die Verwendung von Echtzeit-Netzverbindungen.

Erweiterte Leistung

Im Abschnitt für erweiterte Leistungsmerkmale können Sie Brotli-Komprimierungsalgorithmen anwenden und das Upload-Volumen begrenzen.