IBM Cloud Docs
Prácticas recomendadas para la configuración de CIS

Prácticas recomendadas para la configuración de CIS

Dado que IBM Cloud® Internet Services está posicionado en el borde de la red, deberá realizar algunos pasos para garantizar una integración fluida con los servicios de CIS. Tenga en cuenta estas prácticas recomendadas para integrar CIS con los servidores de origen.

Puede realizar estos pasos antes o después de cambiar su DNS y de activar nuestro servicio de proxy. Estas recomendaciones permiten a CIS conectarse a sus servidores de origen correctamente. Le ayudarán a evitar problemas con el tráfico de la API o HTTPS, y ayudarán a sus registros a capturar las direcciones IP correctas de sus clientes, en lugar de las direcciones IP de CIS de protección.

Esto es lo que tienes que configurar:

  • Restaurar las IP de origen de sus clientes
  • Incorporar direcciones IP de CIS
  • Asegúrese de que su configuración de seguridad no interfiere con el tráfico de la API
  • Configurar los valores de seguridad tan estrictamente como sea posible

Mejor práctica 1: Saber cómo restaurar las IP de origen de sus clientes

Como proxy inverso, CIS proporciona la IP de origen en estas cabeceras:

  • CF-Connecting-IP
  • X-Forwarded-For
  • True-Client-IP (opcional)

Puede restaurar las direcciones IP de los usuarios utilizando varias herramientas para infraestructuras como Apache, Windows IIS y NGINX.

Mejor práctica 2: Incorporar direcciones IP de CIS para facilitar la integración

Sigue estos dos pasos:

  • Eliminar cualquier limitación de velocidad de direcciones IP de CIS
  • Configurar los ACL para permitir solo direcciones IP de CIS y otras partes de confianza

Puede encontrar la lista actualizada de rangos de IP para IBM CIS en esta ubicación.

Mejor práctica 3: Revisar la configuración de seguridad para asegurarse de que no interfiera con el tráfico de API

IBM CIS normalmente acelera el tráfico de API eliminando la sobrecarga de conexión. Sin embargo, la postura de seguridad predeterminada puede interferir con muchas llamadas de API. Se recomienda realizar algunas acciones para evitar la interferencia con el tráfico de API una vez que el proceso mediante proxy esté activo.

  • Desactive las funciones de seguridad de forma selectiva mediante las funciones de reglas de página.

    • Cree una Regla de página con el patrón de URL de la API, como api.example.com
    • Añada los siguientes comportamientos de reglas:
      • Seleccione Nivel de seguridad en Esencialmente desactivado
      • Seleccione TLS en Desactivado
      • Seleccione Comprobación de seguridad del navegador en Desactivado
    • Seleccione Suministro de recursos

  • Como alternativa, puede desactivar Cortafuegos de aplicaciones web globalmente desde la página Seguridad.

¿Qué hace la comprobación de integridad del navegador?

La comprobación de integridad del navegador busca cabeceras HTTP de las que normalmente abusan los emisores de spam. Deniega el acceso del tráfico con dichas cabeceras a su página. También bloquea a los visitantes que no tienen un agente de usuario, o que añaden un agente de usuario no estándar (esta táctica suele ser utilizada por los robots de abuso, los rastreadores o las API).

Mejor práctica 4: Configurar los valores de seguridad tan estrictamente como sea posible

CIS proporciona algunas opciones para cifrar el tráfico. Como proxy inverso, la conexión TLS termina en Cloudflare y se abre una nueva conexión TLS a los servidores de origen. Para su terminación con CIS, puede cargar un certificado personalizado desde su cuenta, utilizar un certificado comodín que le aprovisione CIS, o ambos.

Carga de un certificado personalizado

Puedes subir tus claves públicas y privadas cuando crees un dominio Enterprise. Si carga su propio certificado, obtendrá compatibilidad inmediata con tráfico cifrado, y mantendrá el control sobre su certificado (por ejemplo, un certificado Validación ampliada (EV)). Recuerde que usted es responsable de la gestión de su certificado si carga un certificado personalizado. Por ejemplo, IBM CIS no hace un seguimiento de las fechas de caducidad de los certificados.

Como alternativa, utilice un certificado suministrado por CIS

IBM CIS trabaja con varias Autoridades de Certificación (CA) para proporcionar certificados comodín de dominio a nuestros clientes, por defecto. Puede ser necesaria una verificación manual para configurar estos certificados, y su equipo de asistencia puede ayudarle a realizar estos pasos adicionales.

Cambie el valor de TLS a Firmado por una entidad emisora de certificados de extremo a extremo

La mayoría de nuestros clientes Enterprise utilizan la configuración de seguridad Firmado por una entidad emisora de certificados de extremo a extremo. Un valor Firmado por una entidad emisora de certificados de extremo a extremo requiere un certificado firmado por una entidad emisora de certificados válido instalado en el servidor web. La fecha de caducidad del certificado debe estar en el futuro, y debe tener una coincidencia de nombre de host o de SAN (Subject Alternative Name).