IBM Cloud Docs
CIS zum Zweck der optimalen Sicherheit verwalten

CIS zum Zweck der optimalen Sicherheit verwalten

Die Sicherheitseinstellungen von IBM Cloud® Internet Services (CIS) umfassen sichere Standardwerte, die darauf ausgelegt sind, Fehlalarme und negative Auswirkungen auf Ihren Datenverkehr zu verhindern. Diese sicheren Standardeinstellungen sind jedoch nicht unbedingt die beste Option für alle Kunden. Befolgen Sie diese Schritte, um sicherzustellen, dass Ihr CIS-Konto sicher konfiguriert ist.

  • Sichere Ursprungs-IP-Adressen durch Weiterleitung und zusätzliche Verschleierung
  • Selektive Konfiguration Ihrer Sicherheitsstufen
  • Sichere Aktivierung Ihrer Web Application Firewall (WAF)

Best Practice 1: Ursprungs-IP-Adressen sichern

Wenn eine Subdomain über CIS als Proxy verwendet wird, ist der gesamte Datenverkehr geschützt, da CIS aktiv mit IP-Adressen antwortet, die spezifisch für CIS sind (z. B. stellen alle Ihre Kunden zuerst eine Verbindung zu CIS-Proxys her und Ihre ursprünglichen IP-Adressen werden verschleiert).

CIS-Proxys für alle DNS-Datensätze für HTTP(S)-Datenverkehr von Ihrem Ursprung verwenden

Um die Sicherheit Ihrer Ursprungs-IP-Adresse zu verbessern, sollte der gesamte HTTP(S)-Datenverkehr über einen Proxy geleitet werden.

Sehen Sie sich den Unterschied selbst an - fragen Sie einen Nicht-Proxy- und einen Proxy-Datensatz ab:

dig nonproxied.theburritobot.com +short
1.2.3.4 (The origin IP address)

$ dig proxied.theburritobot.com +short
104.16.22.6 , 104.16.23.6 (CIS IP addresses)

Nicht-Proxy-Ursprungsdatensätze mit vom Standard abweichenden Namen unkenntlich machen

Alle Datensätze, die nicht über CIS weitergeleitet werden können und die immer noch Ihre ursprüngliche IP-Adresse verwenden, wie z. B. FTP, können durch zusätzliche Verschleierung gesichert werden. Insbesondere wenn Sie einen Datensatz für Ihre Herkunft benötigen, der nicht durch CIS vertreten werden kann, verwenden Sie einen nicht standardmäßigen Namen. Beispiel: Verwenden Sie anstelle von ftp.example.com [random word or-random characters].example.com. Diese Verschleierung führt dazu, dass Wörterbuchscans Ihrer DNS-Datensätze die Wahrscheinlichkeit verringern, dass Ihre Ursprungs-IP-Adressen zugänglich gemacht werden.

Ggf. separate IP-Bereiche für HTTP- und Nicht-HTTP-Datenverkehr verwenden

Manche Kunden verwenden separate IP-Bereiche für HTTP- und Nicht-HTTP-Datenverkehr. Auf diese Weise können alle Datensätze, die auf ihren HTTP-IP-Bereich verweisen, über einen Proxy geleitet werden, und der gesamte Nicht-HTTP-Datenverkehr mithilfe eines anderen IP-Teilnetzes unkenntlich gemacht werden.

Best Practice 2: Selektive Konfiguration Ihrer Sicherheitsstufen

Ihre Sicherheitsstufe legt die Sensitivität unserer IP-Reputationsdatenbank fest. Um negative Interaktionen oder Fehlalarme zu verhindern, konfigurieren Sie Ihre Sicherheitsstufe domänenweise, d. h. erhöhen oder verringern Sie die Sicherheit nach Bedarf.

Sicherheitsstufe für sensible Bereiche auf 'Hoch' setzen

Sie können diese Einstellung auf der Seite für erweiterte Sicherheit für Ihre Domäne verschärfen oder Sie können eine Seitenregel für Verwaltungsseiten oder Anmeldeseiten hinzufügen, um Brute-Force-Angriffe zu reduzieren:

  1. Erstellen Sie eine Seitenregel mit dem URL-Muster Ihrer API (z. B. www.example.com/wp-login).
  2. Legen Sie die Einstellung für die Sicherheitsstufe fest.
  3. Markieren Sie die Einstellung als Hoch.
  4. Wählen Sie Ressource bereitstellen aus.

Niedrigere Sicherheitsstufe für nicht sensible Pfade oder APIs festlegen, um Fehlalarme zu reduzieren

Diese Einstellung kann für allgemeine Seiten und allgemeinen API-Datenverkehr niedriger gewählt werden.

  1. Erstellen Sie eine Seitenregel mit dem URL-Muster Ihrer API (z. B. www.example.com/api/*).
  2. Legen Sie die Einstellung für die Sicherheitsstufe fest.
  3. Wählen Sie die Sicherheitsstufe Niedrig oder Praktisch aus aus.
  4. Wählen Sie Ressource bereitstellen aus.

Welche Bedeutung haben die Einstellungen für die Sicherheitsstufe?

Unsere Einstellungen für die Sicherheitsstufe sind an Bedrohungsbewertungen angelehnt, die bestimmten IP-Adressen aufgrund böswilligen Verhaltens in unserem Netz zugeordnet sind. Eine Bedrohungsbewertung über 10 wird als hoch gewertet.

  • HOCH: Bei Bedrohungsbewertungen über 0 wird eine Sicherheitsabfrage angezeigt.
  • MITTEL: Bei Bedrohungsbewertungen über 14 wird eine Sicherheitsabfrage angezeigt.
  • NIEDRIG: Bei Bedrohungsbewertungen über 24 wird eine Sicherheitsabfrage angezeigt.
  • PRAKTISCH AUS: Bei Bedrohungsbewertungen über 49 wird eine Sicherheitsabfrage angezeigt.
  • AUS: Nur Enterprise
  • Verteidigungsmodus: Sollte nur verwendet werden, wenn Ihre Website einem DDoS-Angriff ausgesetzt ist. Besuchern wird für die Dauer von ca. fünf Sekunden eine Interstitial-Seite angezeigt, während CIS den Datenverkehr und das Verhalten analysiert, um sicherzustellen, dass es ein berechtigter Besucher ist, der auf die Website zugreifen möchte. Der Verteidigungsmodus kann sich auf einige Aktionen in Ihrer Domain auswirken, z. B. auf die Verwendung einer API. Sie können eine angepasste Sicherheitsstufe für Ihre API oder einen beliebigen anderen Teil Ihrer Domäne festlegen, indem Sie eine Seitenregel für diesen Abschnitt erstellen.

Es wird empfohlen, die Einstellungen für die Sicherheitsstufe regelmäßig zu überprüfen. Anweisungen finden Sie unter Best Practices beim Einrichten von CIS.

Best Practice 3: Web Application Firewall (WAF) sicher aktivieren

Ihre WAF ist im Abschnitt Sicherheit verfügbar. Diese Einstellungen werden hier in umgekehrter Reihenfolge erläutert, um sicherzustellen, dass Ihre WAF möglichst sicher konfiguriert ist, bevor sie für die gesamte Domäne aktiviert wird. Diese anfänglichen Einstellungen können Fehlalarme reduzieren, indem die Sicherheitsereignisse für die weitere Optimierung befüllt werden. Ihre WAF wird automatisch aktualisiert, um neue Sicherheitslücken zu beheben, sobald sie erkannt werden. Weitere Informationen finden Sie im Abschnitt zur Verwendung der Funktionen für Sicherheitsereignisse.

Die WAF schützt vor den folgenden Typen von Angriffen:

  • SQL-Injection-Attacke
  • Cross-Site Scripting
  • Cross-Site Forgery

Die WAF enthält einen Standard-Regelsatz, der Regeln zum Abwehren der häufigsten Angriffe umfasst. Derzeit können Sie die WAF aktivieren oder deaktivieren und bestimmte Regeln in den WAF-Regelsätzen anpassen. Weitere Informationen zum Regelsatz und zum Verhalten der einzelnen Regeln finden Sie im Dokument zu den WAF-Aktionen.

Weitere Informationen finden Sie unter Web Application Firewall (WAF) - Konzepte.

Best Practice 4: TLS-Einstellungen konfigurieren

IBM CIS stellt einige Optionen für die Verschlüsselung Ihres Datenverkehrs bereit. Als Reverse Proxy schließen wir TLS-Verbindungen in unseren Rechenzentren und öffnen eine neue TLS-Verbindung zu Ihrem Ursprungsserver.

TLS bietet vier Betriebsarten:

  • Aus: In diesem Modus ist TLS inaktiviert; diese Einstellung wird nicht empfohlen.
  • Client-zu-Edge: TLS verschlüsselt den Datenverkehr von CIS zu Ihren Kunden, aber nicht den Datenverkehr von CIS zu Ihrem Ursprungsserver bzw. Ihren Ursprungsservern.
  • End-to-End flexibel: TLS verschlüsselt den gesamten Datenverkehr; Sie können jedoch den Datenverkehr zwischen CIS und Ihrem Ursprungsserver bzw. Ihren Ursprungsservern mit einem selbst signierten Zertifikat schützen.
  • Durchgängige CA-Signatur: (Empfohlen) TLS verschlüsselt den gesamten Datenverkehr; Sie müssen ein CA-signiertes Zertifikat verwenden.
  • Authentifizierte Pull-Operation für Ursprung: (Nur Enterprise) TLS-Clientzertifikat, das für die Authentifizierung bei der Pull-Operation für den Ursprung bereitgestellt wird Weitere Informationen finden Sie unter Authenticated origin pull.

Details finden Sie unter TLS-Optionen.

IBM CIS ermöglicht Ihnen die Verwendung benutzerdefinierter Zertifikate, oder Sie können ein Platzhalterzertifikat verwenden, das Ihnen von CIS bereitgestellt wird.

Benutzerdefinierte Zertifikate hochladen

Sie können Ihr benutzerdefiniertes Zertifikat hochladen, indem Sie auf "Zertifikat hinzufügen" klicken und Ihr Zertifikat, Ihren privaten Schlüssel und die Bündelungsmethode eingeben. Wenn Sie Ihr eigenes Zertifikat hochladen, erhalten Sie sofort Kompatibilität mit verschlüsseltem Datenverkehr und behalten die Kontrolle über Ihr Zertifikat (z. B. ein EV-Zertifikat). CIS unterstützt kein Certificate Pinning über bestellte oder universelle Zertifikate. Wenn Sie Zertifikate anheften möchten, wird empfohlen, dass Sie Ihr eigenes benutzerdefiniertes Zertifikat hochladen und verwalten.

Denken Sie daran, dass Sie für die Verwaltung Ihres Zertifikats verantwortlich sind, wenn Sie ein benutzerdefiniertes Zertifikat hochladen. Beispielsweise überwacht CIS nicht das Ablaufdatum des Zertifikats.

Dedizierte Zertifikate bestellen

CIS vereinfacht die Verwaltung Ihrer Zertifikate durch die Bereitstellung dedizierter Zertifikate. Sie müssen nicht mehr private Schlüssel generieren, Zertifikatsignieranforderungen (CSR) erstellen oder daran denken, Zertifikate zu verlängern. Sie können ein dediziertes Zertifikat bestellen, indem Sie auf "Zertifikat hinzufügen" klicken und ein Wildcard-Zertifikat bestellen oder Hostnamen eingeben, um ein dediziertes benutzerdefiniertes Zertifikat zu bestellen. Die Zertifikattypen sind:

  • Signiertes SHA-2/ECDSA-Zertifikat mit P-256-Schlüssel,
  • signiertes SHA-2/RSA-Zertifikat mit RSA 2048-Bit-Schlüssel und
  • signiertes SHA-1/RSA-Zertifikat mit RSA 2048-Bit-Schlüssel.

CIS kann für alle TLDs mit Ausnahme von .cu, .iq, .ir, .kp, .sd, .ssund .yeausgegeben werden. CIS verwaltet das Ablaufdatum. Um die Hostnamen in Ihrem dedizierten, angepassten Zertifikat zu bearbeiten, müssen Sie diese neu bestellen und dann löschen. Sie bestellen zum Beispiel ein dediziertes, angepasstes Zertifikat mit dem Hostnamen alpha.yourdomain.com. Um den Hostnamen beta.yourdomain.com zu Ihrem dedizierten, angepassten Zertifikat hinzuzufügen, bestellen Sie ein anderes dediziertes, angepasstes Zertifikat mit den Hostnamen alpha.yourdomain.com und beta.yourdomain.com. Anschließend müssen Sie das ursprüngliche dedizierte angepasste Zertifikat löschen

Wenn Sie zum ersten Mal ein dediziertes Zertifikat bestellen, wird der DCV-Prozess (Certificate Domain Control Validation) ausgeführt, der einen entsprechenden TXT-Datensatz generiert. Wenn Sie den TXT-Datensatz löschen, wird der DCV-Prozess erneut ausgeführt, wenn Sie ein anderes dediziertes Zertifikat bestellen. Wenn Sie ein dediziertes Zertifikat löschen, wird der entsprechende TXT-Datensatz für den DCV-Prozess nicht gelöscht.

Es folgen einige gängige Fehler, die bei der Bestellung dedizierter Zertifikate auftreten können.

  • Error connecting to certificate service.
  • Error while requesting from certificate service.

Wenn beim Bestellen von Zertifikaten ein Fehler ausgegeben wird, aktualisieren Sie die Seite und versuchen Sie es erneut.

Bereitgestelltes Zertifikat verwenden

IBM zählt diverse Zertifizierungsstellen (Certificate Authorities, CAs) zu seinen Partnern, um unseren Kunden Platzhalterzertifikate für Domänen bereitstellen zu können. Für die Konfiguration dieser Zertifikate kann eine manuelle Überprüfung erforderlich sein. Ihr Support-Team unterstützt Sie bei diesen zusätzlichen Schritten.

Zertifikatspriorität auf Ihrer Seite

Die Priorität mit der die Zertifikate auf Ihrer Seite angezeigt werden:

  1. Hochgeladen und angepasst
  2. Dediziert und angepasst
  3. Dediziert und Platzhalter
  4. Universell

Mindestversion von TLS

Siehe Mindestversion von TLS. Höhere Versionen von TLS bieten mehr Sicherheit, verhindern aber möglicherweise, dass Kunden Ihre Site erreichen.

Best Practice 5: Ratenbegrenzung konfigurieren

Die Hauptanwendungsfälle für die Ratenbegrenzung sind folgende:

  • Differenzierte Zugriffssteuerung für Ressourcen durchsetzen. Dazu gehört die Zugriffssteuerung auf der Basis von Kriterien wie Benutzeragent, IP-Adresse, Referrer, Host, Land und Weltregion.
    • Begrenzung nach Benutzeragenten: Ein allgemeiner Anwendungsfall ist die Begrenzung der Anforderungsrate, die von einzelnen Benutzeragenten ausgeführt wird.
    • Bestimmte IP-Adressen oder ASNs zulassen: Ein weiterer Anwendungsfall bei der Kontrolle des Zugriffs auf Ressourcen besteht darin, IP-Adressen oder ASNs (Autonomous System Numbers) von einer Regel zur Ratenbegrenzung auszuschließen oder einzuschließen.
    • Begrenzung nach Verweisseite: Einige Anwendungen empfangen Anforderungen, die von anderen Quellen stammen (z. B. von Anzeigen, die Links zu Seiten anderer Anbieter erstellen). Sie können die Anzahl der von einzelnen Referrer-Seiten generierten Anforderungen begrenzen, um Kontingente zu verwalten oder indirekte DDoS-Attacken zu vermeiden.
    • Nach Zielhost begrenzen: Erstellen Sie eine Regel zur Ratenbegrenzung, die den Host als Zählmerkmal verwendet.
  • Schützen Sie sich vor Attacken zur Füllung von Berechtigungsnachweisen und zur Kontoübernahme.
  • Begrenzen Sie die Anzahl der von einzelnen Clients ausgeführten Operationen. Dazu gehören die Verhinderung des Scrapings durch Bots, der Zugriff auf sensible Daten, die Massenerstellung neuer Konten und der programmgesteuerte Einkauf in E-Commerce-Plattformen.
    • Inhaltsscraping verhindern (über Abfragezeichenfolge)
    • Content-Scraping verhindern (über Hauptteil)
    • Anforderungen von Bots begrenzen
  • Schützen Sie REST-APIs vor Ressourcenerschöpfung (zielgerichtete DDoS-Attacken) und Ressourcen vor Missbrauch im Allgemeinen.
    • Volumetrische Angriffe verhindern
    • Ressourcen schützen
  • Schützen Sie GraphQL-APIs, indem Sie Serverüberlastung verhindern und die Anzahl der Operationen begrenzen.
    • Anzahl der Operationen begrenzen
    • Serverüberlastung verhindern