IBM Cloud Docs
Procedure consigliate per la configurazione di CIS

Procedure consigliate per la configurazione di CIS

Poiché IBM Cloud® Internet Services è posizionato ai margini della tua rete, dovrai effettuare alcuni passi per garantire una buona integrazione con i tuoi servizi CIS. Considera queste procedure ottimali consigliate per l'integrazione di CIS con i tuoi server di origine.

Puoi seguire questi passi sia prima che dopo aver modificato il tuo DNS e attivato il nostro servizio proxy. Questi consigli permettono a CIS di collegarsi ai tuoi server di origine correttamente. Ti aiuteranno a prevenire i problemi con il traffico HTTPS o API e consentiranno ai tuoi log di acquisire gli indirizzi IP corretti dei tuoi clienti invece degli indirizzi IP CIS di protezione.

Ecco cosa occorre impostare:

  • Ripristinare gli IP di origine dei clienti
  • Incorpora gli indirizzi IP CIS
  • Assicurati che le tue impostazioni di sicurezza non interferiscano con il traffico API
  • Configurare le impostazioni di sicurezza nel modo più rigoroso possibile

Procedura consigliata 1: impara come ripristinare gli IP originati dai tuoi clienti

Come reverse proxy, CIS fornisce l'IP di origine in queste intestazioni:

  • CF-Connecting-IP
  • X-Forwarded-For
  • True-Client-IP (facoltativo)

È possibile ripristinare gli indirizzi IP degli utenti utilizzando vari strumenti per infrastrutture come Apache, Windows IIS e NGINX.

Procedura consigliata 2: incorpora gli indirizzi IP CIS per rendere più fluida l'integrazione

Effettuare le due operazioni riportate di seguito:

  • Rimuovi qualsiasi limite alla frequenza di indirizzi IP CIS
  • Configura i tuoi ACL per consentire solo gli indirizzi IP CIS e altre parti attendibili.

Puoi trovare l'elenco aggiornato degli intervalli di IP per IBM CIS in questa ubicazione.

Procedura consigliata 3: controlla le tue impostazioni di sicurezza per assicurarti che non interferiscano con il traffico API

IBM CIS normalmente accelera il traffico API rimuovendo il sovraccarico della connessione. Tuttavia, la posizione di sicurezza predefinita può interferire con molte chiamate API. Si consiglia di adottare alcune misure per evitare interferenze con il traffico API dopo che il proxying è attivo.

  • Disattivate le funzioni di sicurezza in modo selettivo utilizzando le funzioni Regole di pagina.

    • Crea una regola della pagina con il modello dell'URL della tua API, come api.example.com
    • Aggiungi i seguenti comportamenti della regola:
      • Seleziona Security Level su Essentially off
      • Seleziona TLS su Off
      • Seleziona Browser Integrity Check su Off
    • Seleziona Provision Resource
  • In alternativa, puoi disattivare Web Application Firewall globalmente dalla pagina Security.

Cosa fa il Browser Integrity Check?

Il controllo di integrità del browser ricerca le intestazioni HTTP che vengono comunemente sfruttate dagli spammer. Nega al traffico con queste intestazioni di accedere alla tua pagina. Blocca anche i visitatori che non hanno un user agent o che aggiungono un user agent non standard (questa tattica è comunemente usata dai bot, dai crawler o dalle API che abusano).

Procedura consigliata 4: configura le tue impostazioni di sicurezza il più strettamente possibile

CIS fornisce alcune opzioni per la codifica del tuo traffico. Come un proxy inverso, la connessione TLS viene terminata in Cloudflare e viene aperta una nuova connessione TLS ai server di origine. Per la terminazione con CIS, è possibile caricare un certificato personalizzato dal proprio account, utilizzare un certificato wildcard fornito da CIS o entrambi.

Carica un certificato personalizzato

È possibile caricare le chiavi pubbliche e private quando si crea un dominio Enterprise. Se carichi il tuo certificato, ottieni la compatibilità immediata e mantieni il controllo sul tuo certificato (ad esempio, un certificato di convalida estesa (EV)). Ricordate che siete responsabili della gestione del vostro certificato se caricate un certificato personalizzato. Ad esempio, IBM CIS non tiene traccia delle date di scadenza dei certificati.

In alternativa, utilizzare un certificato fornito da CIS

IBM CIS collabora con diverse Autorità di Certificazione (CA) per fornire ai nostri clienti certificati wildcard di dominio, per impostazione predefinita. Per l'impostazione di questi certificati potrebbe essere necessaria una verifica manuale; il team di assistenza può aiutarvi a eseguire questi passaggi aggiuntivi.

Modificare l'impostazione TLS su End-to-End CA Signed

La maggior parte dei clienti Enterprise utilizza l'impostazione di sicurezza End-to-End CA Signed. Una configurazione End-to-End CA Signed richiede un certificato firmato CA valido installato nel tuo server web. La data di scadenza del certificato deve essere futura e deve avere un hostname o un Subject Alternative Name (SAN) corrispondente.