IBM Cloud Docs
Meilleures pratiques pour la configuration de CIS

Meilleures pratiques pour la configuration de CIS

IBM Cloud® Internet Services étant placé à l'extrémité du réseau, certaines mesures supplémentaires sont nécessaires pour veiller à l'intégration harmonieuse de vos services CIS. Prenez en compte les meilleures pratiques recommandées pour l'intégration de CIS à vos serveurs d'origine.

Vous pouvez réaliser ces opérations avant ou après avoir changé votre DNS et activé votre service proxy. En suivant ces recommandations, vous garantirez une intégration parfaite de CIS à vos serveurs d'origine. De plus, vous éviterez les problèmes liés à l'API ou au trafic HTTPS, et vous permettrez aux journaux de collecter les vraies adresses IP de vos clients et non les adresses IP CIS de protection.

Voici ce qu'il faut faire :

  • Restaurer les adresses IP d'origine de vos clients
  • Incorporer les adresses IP de CIS
  • Assurez-vous que vos paramètres de sécurité n'interfèrent pas avec le trafic API
  • Configurer vos paramètres de sécurité de la façon la plus rigoureuse possible

Meilleure pratique 1 : Savoir restaurer les adresses IP d'origine de vos clients

En tant que proxy inverse, CIS fournit l'adresse IP d'origine dans ces en-têtes :

  • CF-Connecting-IP
  • X-Forwarded-For
  • True-Client-IP (facultatif)

Vous pouvez restaurer les adresses IP des utilisateurs en utilisant divers outils pour des infrastructures telles que Apache, Windows IIS et NGINX.

Meilleure pratique 2 : Incorporer les adresses IP CIS pour une intégration en douceur

Suivez les deux étapes suivantes :

  • Supprimez toutes les limites d'adresses IP CIS.
  • Configurez vos listes de contrôle d'accès (ACL) de manière à n'autoriser que les adresses IP provenant de CIS ou d'autres tiers de confiance.

Pour obtenir la liste à jour des plages d'adresses IP valides pour IBM CIS cliquez ici.

Meilleure pratique 3 : Vérifier que les paramètres de sécurité n'interfèrent pas avec le trafic API

En règle générale, IBM CIS accélère le trafic API en supprimant la surcharge de connexion. Toutefois, la configuration de la sécurité par défaut peut interférer avec de nombreux appels API. Il est conseillé d'effectuer quelques actions supplémentaires afin d'empêcher toute interférence avec le trafic API une fois que la mise en proxy est activée.

  • Désactivez vos fonctions de sécurité de manière sélective en utilisant les fonctions de règles de page.

    • Créez une règle de page avec le masque d'URL de votre API, par exemple api.example.com
    • Ajoutez les comportements de règles suivants :
      • Définissez Niveau de sécurité sur Essentiellement désactivé
      • Définissez TLS sur Désactivé
      • Définissez Contrôle d'intégrité navigateur sur Désactivé
    • Sélectionnez Provisionner 1 ressource

  • Vous pouvez également désactiver totalement l'option Pare-feu d'application Web sur la page de sécurité.

A quoi sert le contrôle d'intégrité du navigateur ?

Le contrôle d'intégrité du navigateur recherche les en-têtes HTTP les plus fréquemment utilisés par les spammeurs. Il leur refuse alors tout accès à votre page. Il bloque également les visiteurs qui n'ont pas d'agent utilisateur ou qui ajoutent un agent utilisateur non standard (cette tactique est généralement utilisée par des robots ou des API).

Meilleure pratique 4 : Configurer vos paramètres de sécurité de la façon la plus rigoureuse possible

CIS propose des options de chiffrement de votre trafic. En tant que proxy inverse, la connexion TLS est arrêtée sur Cloudflare et une nouvelle connexion TLS est ouverte sur vos serveurs d'origine. Pour votre résiliation avec CIS, vous pouvez télécharger un certificat personnalisé à partir de votre compte, utiliser un certificat générique qui est fourni pour vous par CIS, ou les deux.

Télécharger un certificat personnalisé

Vous pouvez télécharger vos clés publiques et privées lorsque vous créez un domaine Enterprise. Si vous téléchargez votre propre certificat, vous êtes immédiatement assuré de sa compatibilité avec le trafic chiffré et vous gardez le contrôle sur votre certificat, par exemple, un certificat à confirmation étendue (EV). N'oubliez pas que vous êtes responsable de la gestion de votre certificat si vous téléchargez un certificat personnalisé. Par exemple, IBM CIS ne suit pas les dates d'expiration des certificats.

Ou utiliser un certificat fourni par CIS

IBM CIS travaille avec plusieurs autorités de certification (AC) pour fournir à ses clients des certificats de domaine par défaut. Une vérification manuelle peut être nécessaire pour configurer ces certificats. Votre équipe d'assistance peut vous aider à effectuer ces étapes supplémentaires.

Modifier votre paramètre TLS en Signé CA de bout en bout

La plupart de nos clients d'entreprise utilisent le paramètre de sécurité signé par une CA de bout en bout. Le paramètre Signé CA de bout en bout nécessite qu'un certificat signé par une autorité de certification valide soit installé sur votre serveur Web. La date d'expiration ne doit pas être dépassée, et le certificat doit posséder un nom d'hôte ou un autre nom de sujet correspondant.