IBM Cloud Docs
Best Practices für die CIS-Konfiguration

Best Practices für die CIS-Konfiguration

Da sich IBM Cloud® Internet Services in der Peripherie Ihres Netzes befindet, müssen Sie einige Schritte ausführen, um eine reibungslose Integration in Ihre CIS-Services zu garantieren. Beachten Sie die folgenden empfohlenen Best Practices für die Integration von CIS in Ihre Ursprungsserver.

Sie können diese Schritte ausführen, bevor oder nachdem Sie Ihr DNS geändert und unseren Proxy-Service aktiviert haben. Diese Empfehlungen ermöglichen, dass zwischen CIS und Ihren Ursprungsservern eine ordnungsgemäße Verbindung hergestellt wird. Sie helfen Ihnen, Probleme mit dem API- oder HTTPS-Datenverkehr auszuschließen, und sorgen dafür, dass Ihre Protokolle die richtigen IP-Adressen Ihrer Kunden erfassen und nicht die dem Schutz dienenden CIS-IP-Adressen.

Hier ist, was Sie einrichten müssen:

  • Ursprungs-IPs Ihrer Kunden wiederherstellen
  • CIS-IP-Adressen einbauen
  • Stellen Sie sicher, dass Ihre Sicherheitseinstellungen den API-Datenverkehr nicht beeinträchtigen
  • Ihre Sicherheitseinstellungen möglichst streng konfigurieren

Best Practice 1: Ursprungs-IPs Ihrer Kunden wiederherstellen

Als Reverse-Proxy stellt CIS die Ursprungs-IP in diesen Headern zur Verfügung:

  • CF-Connecting-IP
  • X-Forwarded-For
  • True-Client-IP (optional)

Sie können Benutzer-IP-Adressen mit verschiedenen Tools für Infrastrukturen wie Apache, Windows IIS und NGINX wiederherstellen.

Best Practice 2: CIS-IP-Adressen für eine reibungslose Integration einbauen

Führen Sie die beiden folgenden Schritte aus:

  • Entfernen Sie ggf. die Drosselung von CIS-IP-Adressen
  • Richten Sie Ihre ACLs so ein, dass nur CIS-IP-Adressen und andere vertrauenswürdige Parteien zugelassen werden.

Sie finden die aktualisierte Liste mit IP-Bereichen für IBM CIS an dieser Position.

Best Practice 3: Sicherheitseinstellungen überprüfen, um sicherzustellen, dass sie den API-Datenverkehr nicht beeinträchtigen

IBM CIS beschleunigt den Datenverkehr in der Regel, indem der Systemaufwand für Verbindungen reduziert wird. Allerdings kann die Standardsicherheitseinstellung viele API-Aufrufe beeinträchtigen. Es wird empfohlen, die folgenden Aktionen auszuführen, um eine Beeinträchtigung Ihres API-Datenverkehrs zu vermeiden, wenn die Weiterleitung über Proxys aktiv ist.

  • Schalten Sie Ihre Sicherheitsfunktionen selektiv aus, indem Sie die Funktion Seitenregeln verwenden.

    • Erstellen Sie eine Seitenregel mit dem URL-Muster Ihrer API, z. B. api.example.com.
    • Fügen Sie die folgenden Regelverhalten hinzu:
      • Legen Sie Sicherheitsstufe auf Praktisch aus fest.
      • Legen Sie TLS auf Aus fest.
      • Legen Sie Browserintegritätsprüfung auf Aus fest.
    • Wählen Sie Ressource bereitstellen aus.

  • Alternativ können Sie die Web Application Firewall global auf der Seite 'Sicherheit' inaktivieren.

Was macht der Browser Integrity Check?

Die Browserintegritätsprüfung sucht nach HTTP-Headern, die normalerweise von Spammern missbraucht werden. Sie verweigert Datenverkehr mit diesen Headern den Zugriff auf Ihre Seite. Außerdem werden Besucher blockiert, die keinen Benutzeragenten haben oder einen vom Standard abweichenden Benutzeragenten hinzufügen (diese Taktik wird häufig von Bots, Crawlern oder APIs für Missbrauch verwendet).

Best Practice 4: Ihre Sicherheitseinstellungen möglichst streng konfigurieren

CIS stellt eine Reihe von Optionen zum Verschlüsseln Ihres Datenverkehrs bereit. Als Reverse Proxy wird die TLS-Verbindung bei Cloudflare beendet und eine neue TLS-Verbindung zu Ihren Ursprungsservern geöffnet. Für Ihre Kündigung mit CIS können Sie ein benutzerdefiniertes Zertifikat von Ihrem Konto hochladen, ein Wildcard-Zertifikat verwenden, das von CIS für Sie bereitgestellt wird, oder beides.

Benutzerdefiniertes Zertifikat hochladen

Sie können Ihre öffentlichen und privaten Schlüssel hochladen, wenn Sie eine Enterprise-Domäne erstellen. Wenn Sie Ihr eigenes Zertifikat hochladen, erzielen Sie sofortige Kompatibilität mit verschlüsseltem Datenverkehr und behalten die Kontrolle über Ihr Zertifikat (z. B. ein EV-Zertifikat). Denken Sie daran, dass Sie für die Verwaltung Ihres Zertifikats verantwortlich sind, wenn Sie ein benutzerdefiniertes Zertifikat hochladen. Auf IBM CIS wird zum Beispiel das Ablaufdatum des Zertifikats nicht verfolgt.

Alternativ ein von CIS bereitgestelltes Zertifikat verwenden

IBM CIS arbeitet mit mehreren Zertifizierungsstellen (CAs) zusammen, um unseren Kunden standardmäßig Domain-Wildcard-Zertifikate zur Verfügung zu stellen. Für die Einrichtung dieser Zertifikate kann eine manuelle Überprüfung erforderlich sein, und Ihr Support-Team kann Ihnen bei diesen zusätzlichen Schritten helfen.

Ändern Sie die TLS-Einstellung in 'End-to-End-CA-signiert'

Die meisten unserer Enterprise-Kunden verwenden die Sicherheitseinstellung 'End-to-End-CA-signiert'. Eine End-to-End-CA signiert-Einstellung erfordert ein gültiges, von einer Zertifizierungsstelle signiertes Zertifikat, das auf Ihrem Web-Server installiert ist. Das Ablaufdatum des Zertifikats muss in der Zukunft liegen und es muss einen übereinstimmenden Hostnamen oder alternativen Namen für Subjekt (Subject Alternative Name, SAN) aufweisen.