IBM Cloud Docs
Best Practices für die CIS-Konfiguration

Best Practices für die CIS-Konfiguration

Da sich IBM Cloud® Internet Services in der Peripherie Ihres Netzes befindet, müssen Sie einige Schritte ausführen, um eine reibungslose Integration in Ihre CIS-Services zu garantieren. Beachten Sie die folgenden empfohlenen Best Practices für die Integration von CIS in Ihre Ursprungsserver.

Sie können diese Schritte ausführen, bevor oder nachdem Sie Ihr DNS geändert und unseren Proxy-Service aktiviert haben. Diese Empfehlungen ermöglichen, dass zwischen CIS und Ihren Ursprungsservern eine ordnungsgemäße Verbindung hergestellt wird. Sie helfen Ihnen, Probleme mit dem API- oder HTTPS-Datenverkehr auszuschließen, und sorgen dafür, dass Ihre Protokolle die richtigen IP-Adressen Ihrer Kunden erfassen und nicht die dem Schutz dienenden CIS-IP-Adressen.

Folgendes müssen Sie einrichten:

  • Ursprungs-IPs Ihrer Kunden wiederherstellen
  • CIS-IP-Adressen einbauen
  • Stellen Sie sicher, dass Ihre Sicherheitseinstellungen den API-Verkehr nicht beeinträchtigen
  • Ihre Sicherheitseinstellungen möglichst streng konfigurieren

Best Practice 1: Ursprungs-IPs Ihrer Kunden wiederherstellen

Als Reverse-Proxy CIS stellt die Ursprungs-IP in diesen Headern bereit:

  • CF-Connecting-IP
  • X-Forwarded-For
  • True-Client-IP (optional)

Sie können Benutzer-IP-Adressen wiederherstellen, indem Sie verschiedene Tools für Infrastrukturen verwenden, wie zum Beispiel Apache, Windows IIS und NGINX.

Best Practice 2: CIS-IP-Adressen für eine reibungslose Integration einbauen

Führen Sie die folgenden zwei Schritte aus:

  • Entfernen Sie ggf. die Drosselung von CIS-IP-Adressen
  • Richten Sie Ihre ACLs so ein, dass nur CIS-IP-Adressen und andere vertrauenswürdige Parteien zugelassen werden.

Sie finden die aktualisierte Liste mit IP-Bereichen für IBM CIS an dieser Position.

Best Practice 3: Sicherheitseinstellungen überprüfen, um sicherzustellen, dass sie den API-Datenverkehr nicht beeinträchtigen

IBM CIS beschleunigt den Datenverkehr in der Regel, indem der Systemaufwand für Verbindungen reduziert wird. Allerdings kann die Standardsicherheitseinstellung viele API-Aufrufe beeinträchtigen. Es wird empfohlen, die folgenden Aktionen auszuführen, um eine Beeinträchtigung Ihres API-Datenverkehrs zu vermeiden, wenn die Weiterleitung über Proxys aktiv ist.

  • Schalten Sie Ihre Sicherheitsfunktionen selektiv aus, indem Sie die Seitenregeln Merkmale.

    • Erstellen Sie eine Seitenregel mit dem URL-Muster Ihrer API, z. B. api.example.com.
    • Fügen Sie die folgenden Regelverhalten hinzu:
      • Legen Sie Sicherheitsstufe auf Praktisch aus fest.
      • Legen Sie TLS auf Aus fest.
      • Legen Sie Browserintegritätsprüfung auf Aus fest.
    • Wählen Sie Ressource bereitstellen aus.

  • Alternativ können Sie die Web Application Firewall global auf der Seite 'Sicherheit' inaktivieren.

Was macht der Browser Integrity Check?

Die Browserintegritätsprüfung sucht nach HTTP-Headern, die normalerweise von Spammern missbraucht werden. Sie verweigert Datenverkehr mit diesen Headern den Zugriff auf Ihre Seite. Außerdem werden Besucher blockiert, die keinen Benutzeragenten haben oder einen vom Standard abweichenden Benutzeragenten hinzufügen (diese Taktik wird häufig von Bots, Crawlern oder APIs für Missbrauch verwendet).

Best Practice 4: Ihre Sicherheitseinstellungen möglichst streng konfigurieren

CIS stellt eine Reihe von Optionen zum Verschlüsseln Ihres Datenverkehrs bereit. Als Reverse Proxy wird die TLS-Verbindung bei Cloudflare beendet und eine neue TLS-Verbindung zu Ihren Ursprungsservern geöffnet. Für Ihre Kündigung bei CIS können Sie ein benutzerdefiniertes Zertifikat von Ihrem Konto hochladen, ein Wildcard-Zertifikat verwenden, das für Sie bereitgestellt wird von CIS, oder beides.

Benutzerdefiniertes Zertifikat hochladen

Sie können Ihre öffentlichen und privaten Schlüssel hochladen, wenn Sie eine Enterprise-Domäne erstellen. Wenn Sie Ihr eigenes Zertifikat hochladen, erzielen Sie sofortige Kompatibilität mit verschlüsseltem Datenverkehr und behalten die Kontrolle über Ihr Zertifikat (z. B. ein EV-Zertifikat). Denken Sie daran, dass Sie für die Verwaltung Ihres Zertifikats verantwortlich sind, wenn Sie ein benutzerdefiniertes Zertifikat hochladen. Zum Beispiel, IBM CIS verfolgt die Ablaufdaten der Zertifikate nicht.

Alternativ ein von CIS bereitgestelltes Zertifikat verwenden

IBM CIS arbeitet mit mehreren Zertifizierungsstellen (CAs) zusammen, um unseren Kunden standardmäßig Domänen-Platzhalterzertifikate bereitzustellen. Zum Einrichten dieser Zertifikate ist möglicherweise eine manuelle Überprüfung erforderlich. Ihr Supportteam kann Ihnen bei der Durchführung dieser zusätzlichen Schritte behilflich sein.

Ändern Sie die TLS-Einstellung in 'End-to-End-CA-signiert'

Die meisten unserer Enterprise-Kunden verwenden die Sicherheitseinstellung 'End-to-End-CA-signiert'. Eine End-to-End-CA signiert-Einstellung erfordert ein gültiges, von einer Zertifizierungsstelle signiertes Zertifikat, das auf Ihrem Web-Server installiert ist. Das Ablaufdatum des Zertifikats muss in der Zukunft liegen und es muss einen übereinstimmenden Hostnamen oder alternativen Namen für Subjekt (Subject Alternative Name, SAN) aufweisen.