IBM Cloud Docs
Gestion de CIS pour une sécurité optimale

Gestion de CIS pour une sécurité optimale

Les paramètres de sécurité de IBM Cloud® Internet Services ( CIS ) comprennent des valeurs par défaut sûres qui sont conçues pour éviter les faux positifs et les influences négatives sur votre trafic. Toutefois, ces paramètres de sécurité par défaut ne sont pas forcément adaptés aux besoins de chaque client. Suivez ces étapes pour vous assurer que votre compte CIS est configuré de manière sûre et sécurisée.

  • Sécurisez vos adresses IP d'origine en utilisant des proxys et en renforçant l'obscurcissement.
  • Configurez votre niveau de sécurité de manière sélective.
  • Activez votre Web Application Firewall (WAF) en toute sécurité.
  • Configurez vos paramètres TLS.

Meilleure pratique 1 : sécurisez vos adresses IP d'origine

Lorsqu'un sous-domaine utilise CIS comme serveur mandataire, tout le trafic est protégé car CIS répond avec des adresses IP spécifiques qui lui sont associées. Ce processus permet de s'assurer que vous vous connectez d'abord aux proxys CIS, ce qui masque vos adresses IP d'origine.

Utilisez des proxys CIS pour tous les enregistrements DNS pour le trafic HTTP provenant de votre origine

Pour améliorer la sécurité de votre adresse IP d'origine, vous devez mettre en place un proxy pour tout le trafic HTTP et HTTPS.

Voyez la différence en interrogeant un enregistrement non mandaté et un enregistrement mandaté :

dig nonproxied.theburritobot.com +short
1.2.3.4 (The origin IP address)

$ dig proxied.theburritobot.com +short
104.16.22.6 , 104.16.23.6 (CIS IP addresses)

Masquez les enregistrements d'origine sans proxy par des noms non standard

Tous les enregistrements qui ne peuvent pas faire l'objet d'une procuration via CIS, et qui utilisent toujours votre IP d'origine, tels que FTP, peuvent être sécurisés en créant un obscurcissement supplémentaire. En particulier, si vous avez besoin, pour votre origine, d'un enregistrement qui ne peut pas être remplacé par CIS, utilisez un nom non standard. Par exemple, au lieu de ftp.example.com, utilisez [random word or-random characters].example.com.. Ce brouillage rend les analyses de dictionnaire de vos enregistrements DNS moins susceptibles d'exposer vos adresses IP d'origine.

Utilisez des plages IP distinctes pour le trafic HTTP et non HTTP si possible

Certains clients utilisent des plages d'adresses IP distinctes pour le trafic HTTP et le trafic non HTTP. Cette approche leur permet d'obtenir par procuration tous les enregistrements pour leur plage IP HTTP et de cacher tout le trafic non HTTP avec un sous-réseau IP différent.

Meilleure pratique 2 : configurez votre niveau de sécurité de manière sélective

Votre Niveau de sécurité définit la sensibilité de votre base de données de réputation IP. Afin d'éviter les interactions négatives ou les faux positifs, configurez votre niveau de sécurité par domaine de manière à renforcer ou diminuer la sécurité en fonction des besoins.

Augmentez le niveau de sécurité des zones sensibles sur 'Haut'

Vous pouvez augmenter ce niveau dans la page Sécurité avancée de votre domaine, ou en ajoutant une règle de page pour les pages d'administration ou de connexion afin de réduire les tentatives de force brute :

  1. Créez une règle de page avec le masque d'URL de votre API (par exemple, www.example.com/wp-login).
  2. Recherchez le paramètre Niveau de sécurité.
  3. Définissez-le sur la valeur Haut.
  4. Sélectionnez Provisionner 1 ressource.

Diminuez le niveau de sécurité des chemins d'accès ou API non sensibles afin de réduire les faux positifs

Vous pouvez réduire ce niveau pour les pages générales et le trafic API :

  1. Créez une règle de page avec le masque d'URL de votre API (par exemple, www.example.com/api/*).
  2. Recherchez le paramètre Niveau de sécurité.
  3. Réglez le niveau de sécurité sur Faible ou Essentiellement désactivé.
  4. Sélectionnez Provisionner 1 ressource.

Que signifient les paramètres du niveau de sécurité?

Nos paramètres de niveau de sécurité sont alignés sur les scores de menace obtenus par certaines adresses IP sur la base des comportements malveillants sur notre réseau. Un score de menace supérieur à 10 est considéré comme élevé.

  • HAUT : les scores de menace supérieurs à 0 font l'objet d'une demande d'authentification.
  • MOYEN : les scores de menace supérieurs à 14 font l'objet d'une demande d'authentification.
  • BAS : les scores de menace supérieurs à 24 font l'objet d'une demande d'authentification.
  • ESSENTIELLEMENT DESACTIVE : les scores de menace supérieurs à 49 font l'objet d'une demande d'authentification.
  • DESACTIVE : Enterprise uniquement
  • Mode défense: Ce niveau ne doit être utilisé que lorsque votre site web fait l'objet d'une attaque DDoS. Les visiteurs reçoivent une page interstitielle pendant environ cinq secondes pendant que CIS analyse le trafic et le comportement pour s'assurer qu'il s'agit bien d'un visiteur légitime qui essaie d'accéder à votre site web.Le mode de défense peut affecter certaines actions sur votre domaine, comme l'utilisation d'une API. Vous pouvez définir un niveau de sécurité personnalisé pour votre API ou toute autre partie de votre domaine en créant une règle de page pour cette section.

Pensez à revoir régulièrement vos paramètres de sécurité. Pour les instructions, reportez-vous à la rubrique Meilleures pratiques pour la configuration de CIS.

Meilleure pratique 3 : Activez votre pare-feu d'application Web (WAF) en toute sécurité

Votre WAF est disponible dans la section Sécurité. Ici, nous parcourons ces paramètres dans l'ordre inverse afin de nous assurer que votre WAF est configuré de la manière la plus sûre possible avant de l'activer pour l'ensemble de votre domaine. Ces paramètres initiaux peuvent permettre de réduire les faux positifs en renseignant les événements de sécurité pour de meilleurs réglages. Des mises à jour automatiques assurent une parfaite protection contre les nouvelles menaces, à mesure qu'elles sont identifiées. Pour plus d'informations, reportez-vous à la rubrique décrivant l'utilisation de la fonction Evénements de sécurité.

Le pare-feu d'application Web (WAF) vous protège contre les types d'attaques suivants :

  • Injection SQL
  • Transfert de script entre sites (XSS)
  • Falsification intersite

Le WAF contient un jeu de règles par défaut, qui comprend des règles permettant d'arrêter les attaques les plus courantes. Actuellement, nous vous permettons d'activer ou de désactiver le WAF et d'affiner les règles spécifiques dans les ensembles de règles du WAF. Voir le document Actions WAF pour plus de détails sur le jeu de règles et le comportement de chaque règle.

Pour plus d'informations, reportez-vous à la rubrique Concepts WAF (Web Application Firewall).

Meilleure pratique 4 : Configurez vos paramètres TLS

IBM CIS fonctionne comme un proxy inverse et offre plusieurs options de cryptage de votre trafic. En notre qualité de proxy inverse, nous fermons les connexions TLS au niveau de nos centres de données et nous ouvrons une nouvelle connexion TLS vers votre serveur d'origine.

TLS propose six modes de fonctionnement, du plus sûr au moins sûr (désactivé):

  1. Origine authentifiée(Authenticated Origin Pull ): (Enterprise only)
  2. Extraction d'origine HTTPS uniquement (Enterprise uniquement)
  3. Signé CA de bout en bout (valeur par défaut et recommandée)
  4. Souple de bout en bout (les certificats entre le serveur de périphérie et le serveur d'origine peuvent être autosignés)
  5. Client à périphérie (absence de chiffrement entre le serveur de périphérie et le serveur d'origine, absence de prise en charge des certificats autosignés)
  6. Désactivé (non recommandé)

Voir les options TLS pour plus de détails sur les différents modes de fonctionnement.

Avec IBM CIS, vous pouvez utiliser des certificats personnalisés ou un certificat générique provisionné pour vous par CIS.

Téléchargez des certificats personnalisés

Vous pouvez télécharger votre certificat personnalisé en cliquant sur Ajouter un certificat et en saisissant votre certificat, votre clé privée et votre méthode de regroupement. Après avoir téléchargé le certificat personnalisé, vous bénéficiez d'une compatibilité immédiate avec le trafic crypté et vous conservez le contrôle de votre certificat (par exemple, un certificat Extended Validation (EV)). CIS ne prend pas en charge l'épinglage de certificats par le biais de certificats commandés ou universels. Si vous souhaitez utiliser la fonction de certificat pinning, il est recommandé de télécharger et de gérer votre propre certificat personnalisé.

Vous êtes responsable de la gestion de votre certificat si vous téléchargez un certificat personnalisé. Par exemple, CIS ne suit pas la date d'expiration du certificat.

Commandez des certificats dédiés

CIS simplifie la gestion de vos certificats en proposant des certificats dédiés. Vous n'avez plus besoin de générer de clés privées, de créer des demandes de signature de certificat (CSR) ou de vous souvenir de renouveler les certificats. Vous pouvez commander un certificat dédié en cliquant sur Ajouter un certificat et en commandant un certificat joker ou en saisissant des noms d'hôtes pour commander un certificat personnalisé dédié. Les types de certificats sont les suivants :

  • SHA-2/ECDSA qui utilise la clé P-256,
  • SHA-2/RSA qui utilise une clé RSA de 2048 bits, et
  • SHA-1/RSA qui utilise une clé RSA de 2048 bits.

CIS peut délivrer des certificats pour tous les domaines de premier niveau (TLD), à l'exception des suivants :

  • .cu (Cuba)
  • .iq (Irak)
  • .ir (Iran)
  • .kp (Corée du Nord)
  • .sd (Soudan)
  • .ss (Sud Soudan)
  • .ye (Yémen)

CIS gère la date d'expiration du certificat. Pour modifier les noms d’hôte sur votre certificat personnalisé dédié, vous devez les réorganiser puis les supprimer. Par exemple, vous commandez un certificat personnalisé dédié avec le nom d’hôte alpha.yourdomain.com. Pour ajouter le nom d’hôte beta.yourdomain.com à votre certificat personnalisé dédié, commandez un autre certificat personnalisé dédié avec les noms d’hôte alpha.yourdomain.com et beta.yourdomain.com. Ensuite, vous devez supprimer le certificat personnalisé dédié d'origine.

La première fois que vous commandez un certificat dédié, le processus de validation du contrôle du domaine (DCV) se produit, ce qui génère un enregistrement TXT correspondant. Si vous supprimez l'enregistrement TXT, le processus DCV se reproduit lorsque vous commandez un autre certificat dédié. Si vous supprimez un certificat dédié, l'enregistrement TXT correspondant au processus DCV n'est pas supprimé.

Les erreurs suivantes sont courantes lorsque vous commandez des certificats dédiés :

  • Error connecting to certificate service.
  • Error while requesting from certificate service.

Si vous recevez une erreur lorsque vous commandez des certificats, rafraîchissez la page et réessayez.

Utilisez un certificat personnalisé

IBM s'est associé à un grand nombre d'autorités de certification (CA) pour fournir des certificats génériques à vos clients. Une vérification manuelle peut être nécessaire pour établir ces certificats. Votre équipe de support peut vous aider à réaliser ces étapes supplémentaires.

Priorité des certificats au niveau de notre serveur de périphérie

La liste suivante indique la priorité selon laquelle les certificats sont affichés sur notre site :

  1. Personnalisé téléchargé
  2. Personnalisé dédié
  3. Générique dédié
  4. Universel

Version minimale de TLS

Des niveaux supérieurs de TLS offrent plus de sécurité, mais peuvent empêcher les clients de se connecter à votre site. Pour plus d'informations, voir Version minimale de TLS.

Meilleure pratique 5: Configurer la limitation de débit

Utilisez des règles de limitation de débit pour protéger votre site ou votre API contre le trafic malveillant en bloquant les adresses IP des clients qui correspondent à un modèle URL ou qui dépassent un seuil défini. Les principaux cas d'utilisation de la limitation de débit sont les suivants :

  • Appliquez un contrôle d'accès granulaire aux ressources. Ce processus comprend le contrôle d'accès basé sur des critères tels que l'agent utilisateur, l'adresse IP, le référent, l'hôte, le pays et la région du monde.
    • Limite par agent d'utilisateur: un cas d'utilisation courant consiste à limiter le débit des demandes effectuées par des agents d'utilisateur individuels.
    • Autoriser des adresses IP ou des ASN spécifiques : Un autre cas d'utilisation pour contrôler l'accès aux ressources consiste à exclure ou à inclure des adresses IP ou des numéros de systèmes autonomes (ASN) d'une règle de limitation de débit.
    • Limitation par référent : certaines applications reçoivent des requêtes provenant d'autres sources (par exemple, utilisées par des publicités qui renvoient à des pages de tiers). Vous pouvez limiter le nombre de requêtes générées par des pages de référence individuelles afin de gérer les quotas ou d'éviter les attaques indirectes DDoS.
    • Limite par hôte de destination : créer une règle de limitation de débit qui utilise l'hôte comme caractéristique de comptage.
  • Protégez-vous contre le bourrage de données d'identification et les attaques de prise de contrôle de compte.
  • Limitez le nombre d'opérations effectuées par des clients individuels. Il s'agit notamment d'empêcher le scraping par des robots, l'accès aux données sensibles, la création en masse de nouveaux comptes et l'achat programmatique dans les plateformes de commerce électronique.
    • Empêcher le grattage de contenu (par le biais de la chaîne de requête)
    • Empêcher le grattage de contenu (à travers le corps)
    • Limiter les demandes des bots
  • Protégez les API REST contre l'épuisement des ressources (attaques DDoS ciblées) et les ressources contre les abus en général.
    • Empêcher les attaques volumétriques
    • Protéger les ressources
  • Protégez les API GraphQL en empêchant la surcharge du serveur et en limitant le nombre d'opérations.
    • Limiter le nombre d'opérations
    • Prévention de la surcharge du serveur