IBM Cloud Docs
Acerca de IBM Cloud Internet Services

Acerca de IBM Cloud Internet Services

IBM Cloud® Internet Services, basado en Cloudflare, proporciona un servicio de Internet rápido, muy eficiente, fiable y seguro para clientes que gestionan su negocio en IBM Cloud.

IBM CIS te pone en marcha rápidamente estableciendo valores por defecto, que puedes cambiar fácilmente utilizando la interfaz de usuario o la API.

Sincronización del reloj

ISO 27001 requiere que los relojes de todos los sistemas de proceso de información relevantes dentro de una organización o dominio de seguridad estén sincronizados con una única fuente de tiempo de referencia. CIS sincroniza los sistemas con un servidor de Network Time Protocol (NTP) para garantizar que todas las actividades basadas en el tiempo se producen de forma síncrona en todas partes de la red.

IBM CIS utiliza los servidores NTP internos siguientes:

  • time.adn.networklayer.com/
  • time.service.networklayer.com

Características de seguridad

Envíe por proxy sus registros de DNS o un equilibrador de carga global para utilizar las características de seguridad. El proxy permite que el tráfico fluya a través de nuestros servidores y usted puede controlar los datos.

caption-side=bottom
de seguridad*

TLS

Proteja su sitio y controle los valores de Seguridad de la capa de transporte (TLS). Gestione los certificados que se utilizan para proteger el tráfico a su sitio.

Origen

Gestione los certificados TLS que cifran el tráfico entre su servidor de origen y sus usuarios.

Limitación de velocidad

Utilice reglas de limitación de velocidad para proteger su sitio o API del tráfico malicioso bloqueando las direcciones IP de los clientes que coincidan con un patrón de URL o superen un umbral definido.

Limpieza del tráfico

CIS ofrece 248 Tbps de capacidad de borde de red global y puede mitigar ataques de denegación de servicio distribuido ( DDoS ) que tienen tasas de paquetes y solicitudes de denegación de servicio distribuido ( HTTP ) extremadamente altas.

Cuando se produce un ataque de DDoS, CIS no utiliza centros de depuración; la actividad se analiza en el extremo, lo que ayuda a mitigar los ataques de DDoS más cerca de origen.

El tráfico que se identifica como "sucio" o como parte de un ataque no se incluye en la facturación. A los clientes se les factura por el tráfico protegido, que consiste en el tráfico limpio que se reenvía al origen y las respuestas que se devuelven desde el borde al cliente.

Cortafuegos de aplicaciones web (WAF)

WAF se implementa a través de múltiples conjuntos de reglas: OWASP, CIS y Exposed Credentials Check.

Cortafuegos de IP

IBM Cloud Internet Services le ofrece varias herramientas para controlar el tráfico y permitirle proteger los dominios, los URL y los directorios de volúmenes de tráfico, de determinados grupos de solicitantes y, en particular, de las IP solicitantes.

Reglas de IP

Con las reglas IP puede controlar el acceso para direcciones IP específicas, rangos IP, países específicos, ASN específicos y determinados bloques CIDR. Las acciones disponibles en las solicitudes entrantes son:

  • Lista de elementos permitidos
  • Bloquear
  • Desafío (Captcha)
  • Desafío de JavaScript (modalidad de defensa)

Por ejemplo, si observa que una IP determinada está causando solicitudes maliciosas, puede bloquear ese usuario por dirección IP.

Las reglas de IP se aplican a apps Range TCP, HTTP y HTTPS, porque las reglas IP se aplican a Open System Interconnection (OSI) de capa 3 y de capa 4.

Reglas de bloqueo de agente de usuario

Con las reglas de bloqueo de agente de usuario, puede actuar sobre cualquier cadena de agente de usuario que seleccione. Esta prestación funciona como el bloqueo de dominio, con la diferencia de que el bloqueo examina la serie de entrada del agente de usuario en lugar de la IP. Puede elegir cómo manejar una solicitud coincidente con la misma lista de acciones que ha establecido en las reglas de IP (bloqueo, desafío y desafío JS). El bloqueo del agente de usuario se aplica a toda la zona. No puede especificar subdominios de la misma manera que con un bloqueo de dominio.

Esta herramienta es útil para bloquear cualquier serie de agente de usuario que considere sospechosa.

Bloqueo de dominio

Al utilizar el bloqueo de dominio, puede incluir en la lista de elementos permitidos direcciones IP y rangos de IP específicos, de modo que todas las demás IP estén en la lista de elementos bloqueados. El bloqueo de dominio da soporte a los siguientes elementos.

  • Subdominios específicos: por ejemplo, puede permitir el acceso de la IP 1.2.3.4 al dominio foo.example.com y permitir el acceso de la IP 5.6.7.8 al dominio bar.example.com, sin permitir lo contrario.
  • URL específicos: por ejemplo, puede permitir el acceso de la IP 1.2.3.4 al directorio example.com/foo/* y de la IP 5.6.7.8 al directorio example.com/bar/*, pero no permitir lo contrario.

Esta funcionalidad resulta útil cuando necesita más granularidad en las reglas de acceso porque, con las reglas de IP, puede aplicar el bloqueo a todos los subdominios del dominio actual o a todos los dominios de la cuenta. No puede especificar URI.

Reglas de cortafuegos

Cree reglas para examinar el tráfico HTTP entrante por comparación con un conjunto de filtros a fin de bloquear, autenticar, registrar o permitir las solicitudes que cumplan las condiciones de filtro.

En general, las reglas de cortafuegos están diseñadas para las propiedades que se exponen en OSI Layer-7 ( HTTP ), como las cabeceras de las peticiones y las características del contenido del cuerpo. Por lo tanto, las reglas de cortafuegos se aplican a apps Range HTTP/HTTPS.

Sucesos

Ver los sucesos desencadenados por una regla de cortafuegos activa de aplicación web. Para cada suceso, puede cambiar la acción desencadenada según la dirección IP del solicitante o según la región solicitante.

Rango

Extienda la potencia de CIS DDoS, TLS, y el cortafuegos IP a sus servidores web y a sus servicios basados en TCP mediante aplicaciones Range, manteniéndolos en línea y seguros.

Seguridad avanzada

Los valores de seguridad avanzados incluyen las características siguientes, que puede cambiar, habilitar o inhabilitar.

  • Comprobación de integridad del navegador: la comprobación de integridad del navegador busca cabeceras HTTP de las que normalmente abusan los emisores de spam. Deniega el acceso del tráfico con dichas cabeceras a su página. También bloquea o reta a los visitantes que no tienen agente de usuario, o que añaden un agente de usuario no estándar. Esta táctica la utilizan normalmente los bots, los rastreadores o las API de abuso.
  • Pasaje del desafío - Controla cuánto tiempo un visitante que pasó un desafío (o desafío JavaScript ) obtiene acceso a su sitio antes de ser desafiado de nuevo. Este desafío se basa en la IP del visitante, y por lo tanto no se aplica a los desafíos presentados por las reglas WAF porque se basan en una acción que el usuario realiza en su sitio.
  • Nivel de seguridad: establece el nivel de seguridad del sitio web para determinar qué visitantes reciben una página de cambio.
  • Utilizar siempre HTTPS: redirige a todos los visitantes a la versión HTTPS.
  • Ofuscación de correo electrónico: evita el correo no deseado de los cosechadores y los bots que intentan acceder a direcciones de correo electrónico en las páginas.
  • Reescrituras automáticas de HTTPS: ayuda a solucionar el contenido mixto cambiando http por https para todos los recursos (o enlaces) del sitio web que se pueden servir con HTTPS.
  • Cifrado oportunista: permite que los navegadores se beneficien del mejor rendimiento de HTTP/2 informándoles de que su sitio está disponible a través de una conexión cifrada.
  • SSL universal: activa los certificados SSL universales de la zona al borde.
  • Cabecera True client IP - Envía la dirección IP del usuario en la cabecera True-Client-IP.

Estándares de seguridad y plataforma

  • TLS (SHA2 y SHA1)
  • IPv4 y IPv6
  • HTTP/2

Ataques de red y mitigación

Generalmente, los ataques pertenecen a dos categorías:

Tipos de ataques a la red
Ataques de capa 3 o de capa 4 Ataques de capa 7
Estos ataques consisten en una inundación de tráfico en la capa ISO 3 (la capa de red), como las inundaciones ICMP, o en la capa 4 (la capa de transporte), como las inundaciones TCP SYN o las inundaciones UDP reflejadas. Estos ataques envían peticiones maliciosas ISO Layer-7 (la capa de aplicación), como inundaciones GET.
Bloqueo automático en el borde de CIS CIS gestiona estos ataques con el modo Defensa, WAF y ajustes de nivel de seguridad.

Anti-DDoS on-demand

IBM Cloud Internet Services ingiere el tráfico devolviendo una dirección IP de CIS en la búsqueda de DNS para un dominio, en lugar del registro real para la dirección IP del servidor de origen. Esto permite que CIS ingiera, inspeccione en un solo paso y vuelva a cifrar los datos antes de enviarlos al destino del servidor de origen. CIS también puede actuar en modalidad de solo DNS, devolviendo el registro DNS real sin ocultar la IP, lo que inhabilita DDoS y las otras funciones de CIS. Para activar las protecciones de CIS, active el control deslizante "proxy" situado junto a cada registro DNS; para desactivar las protecciones, desactívelas.

Mitigación de DDoS ilimitado

La mitigación de DDoS es normalmente un servicio costoso que puede crecer en costo cuando es atacado. Se incluye mitigación de DDoS ilimitada con CIS sin ningún coste adicional.

Mitigar ataques de capa 7 (configuración)

Aunque DDoS está habilitado de forma predeterminada en CIS, puede seguir configurando la seguridad de la capa 7 mediante:

  • Configuración de la sensibilidad del conjunto de reglas WAF y comportamiento de respuesta
  • Adición de limitación de velocidad
  • Adición de reglas de cortafuegos

Utilice estas características para personalizar la mitigación de la capa 7 de ataques volumétricos y no volumétricos.

Mitigar ataques no volumétricos

CIS WAF contiene conjuntos de reglas para mitigar ataques no volumétricos, incluyendo falsificación entre sitios, script entre sitios (XSS), inclusión de archivos e inyección de SQL. Para obtener más información sobre WAF, consulte Conceptos sobre Web Application Firewall.

Protección de costes

CIS no mide ni factura el tráfico que se bloquea como parte de la mitigación DDoS, el cortafuegos o la limitación de velocidad. Solo las solicitudes que se pasan a través de la red CIS al destino de origen incurren en cargos o uso.

CIS también ayuda a mantener bajo control los cargos de ancho de banda de Egress desde su origen pasando solo las buenas solicitudes a las que el origen necesita responder. Todos los planes de CIS ofrecen una mitigación ilimitada y sin medición de los ataques DDoS. Nunca se le cobra por el tráfico de ataque. No hay penalización por picos debido al tráfico de ataque, por lo que no hay reembolso por parte del cliente.

Características de fiabilidad

![](images/reliability-graphic.png "de fiabilidad*Imagen que describe las características de " caption-side="bottom"} de "){: caption="

Características del equilibrio de carga global

El servicio de equilibrio de carga global distribuye el tráfico en varios servidores con una combinación de agrupaciones de origen, comprobaciones de estado y un equilibrador de carga. El equilibrio de carga global tiene las características siguientes:

  • Opciones de proxy y de no proxy para el equilibrio de carga
  • Agrupaciones de origen y comprobaciones sanitarias

Red anycast global

Las regiones de comprobación de estado disponibles se basan en la Red Global Anycast de Cloudflare.

Características de DNS

DNS en CIS ofrece las siguientes prestaciones:

  • Gestión de DNS: gestione los registros de DNS, controle el envío por proxy y habilite la seguridad de DNS.
  • DNSSEC - La seguridad DNS firma criptográficamente una zona para garantizar que los registros DNS proporcionados al usuario son los mismos que los registros DNS publicados en el servidor DNS.

Soporte de protocolo gRPC

El protocolo gRPC crea API eficientes con cargas útiles más pequeñas, lo que reduce los requisitos de ancho de banda, disminuye la latencia y aumenta el tiempo de implementación. CIS da soporte al protocolo gRPC para cualquier punto final de gRPC de proxy. Para habilitar o inhabilitar el soporte de gRPC, vaya a la sección Fiabilidad, seleccione la pestaña Avanzado y active el conmutador gRPC.

Antes de utilizar gRPC:

  • El punto final de gRPC debe escuchar en el puerto 443
  • El punto final de gRPC debe dar soporte a TLS y HTTP/2
  • HTTP/2 se debe anunciar a través de ALPN (Application-Layer Protocol Negotiation)
  • La cabecera content-type de las solicitudes gRPC debe utilizar application/grpc o application/grpc+<message type>

Características de rendimiento

![](images/performance-graphic.png "de rendimiento*Imagen que describe las características de " caption-side="bottom} de "){: caption="

Almacenamiento en memoria caché

Controle cómo CIS gestiona los activos en la memoria caché.

Reglas de página

Ajuste el comportamiento de la memoria caché y cree optimización de contenido.

Direccionamiento

Elimine la latencia de exceso analizando y optimizando las decisiones de direccionamiento a través de la Internet global utilizando conexiones de red en tiempo real.

Rendimiento avanzado

Aplique la compresión de Brotli y restrinja los tamaños de carga en la sección de rendimiento avanzado.