IBM Cloud Docs
IBM Cloud Internet Services について

IBM Cloud Internet Services について

IBM Cloud® Internet Services は、Cloudflare を採用しており、IBM Cloud で業務を実行しているお客様のためのパフォーマンスと信頼性の高い、安全な高速インターネット・サービスが用意されています。

IBM CIS デフォルト値を設定することで、すぐに使い始めることができます。UIまたはAPIを使用して簡単に変更できます。

クロックの同期

ISO 27001 では、組織またはセキュリティー・ドメイン内のすべての関連情報処理システムのクロックを単一の参照時刻ソースと同期させる必要があります。 CIS は、システムを Network Time Protocol (NTP) サーバーと同期化して、すべての時間ベースのアクティビティーがネットワーク上のすべての場所で同期的に行われるようにします。

IBM CIS は、以下の内部 NTP サーバーを使用します。

  • time.adn.networklayer.com/
  • time.service.networklayer.com

セキュリティー機能

セキュリティー機能を使用するには、DNS レコードまたはグローバル・ロード・バランサーをプロキシー処理します。 プロキシにより、トラフィックが当社のサーバーを経由して流れ、データを監視することができます。

caption-side=bottom
セキュリティ・グラフィック*セキュリティ機能を説明する
*セキュリティ機能

TLS

サイトを保護し、トランスポート層セキュリティー (TLS) 設定を制御します。 自社サイトへのトラフィックの保護に使用する証明書を管理します。

発信元

オリジンサーバーとユーザー間のトラフィックを暗号化する TLS 証明書を管理します。

速度制限

レート制限ルールを使用して、 URL のパターンに一致する、または定義済みの閾値を超えるクライアントIPアドレスをブロックすることで、悪意のあるトラフィックからサイトやAPIを保護します。

トラフィック消し込み

CIS 248 Tbpsのグローバルネットワークエッジ容量を提供し、極めて高いパケットおよび リクエストレートの 攻撃を緩和することができます。 HTTP DDoS

DDoS 攻撃が発生した場合、 CIS はスクラブ・センターを使用しません。アクティビティーはエッジで分析され、送信元に最も近い DDoS 攻撃を軽減するのに役立ちます。

「ダーティー」であると識別されたトラフィック、または攻撃の一部であると識別されたトラフィックは、請求に含まれません。 顧客には、オリジンに転送されるクリーンなトラフィックと、エッジからクライアントに返される応答で構成される保護されたトラフィックに対して課金されます。

Web アプリケーション・ファイアウォール (WAF)

WAFは複数のルールセットを通じて実装されます 。OWASP、CIS および Exposed Credentials Check(公開された認証情報の確認) です。

IP ファイアウォール

IBM Cloud Internet Services では、大量のトラフィック、特定の要求者グループ、特定の要求 IP からドメイン、URL、およびディレクトリーを保護できるように、トラフィックを制御するためのいくつかのツールを提供しています。

IP ルール

IPルールを使用すると、特定のIPアドレス、IP範囲、特定の国、特定のASN、および特定のCIDRブロックへのアクセスを制御することができます。 着信要求に対して以下のアクションを実行できます。

  • 許可リスト
  • ブロック
  • チャレンジ (Captcha)
  • JavaScript チャレンジ (防御モード)

例えば、特定の IP が悪意のある要求を送信していることに気付いた場合、IP アドレスでそのユーザーをブロックできます。

IP ルールは、TCP、HTTP、および HTTPS の「範囲」のアプリに適用されます。これは、IP ルールが Open System Interconnection (OSI) レイヤー 3 およびレイヤー 4 に適用されるためです。

ユーザー・エージェント・ブロック・ルール

ユーザーエージェントのブロックルールを使用すると、選択したユーザーエージェント文字列に対して操作を行うことができます。 この機能は、ドメイン・ロックダウンのように機能します。ただし、ブロックでは IP ではなく着信ユーザー・エージェント・ストリングを検査する点が異なります。 IP ルールで設定したのと同じアクション・リスト (ブロック、チャレンジ、JS チャレンジ) を使用して、一致した要求を処理する方法を選択できます。 ユーザー・エージェント・ブロッキングはゾーン全体に適用されます。 ドメインロックダウンと同じ方法でサブドメインを指定することはできません。

このツールは、疑わしいと思われるユーザー・エージェント・ストリングをブロックするのに役立ちます。

ドメイン・ロックダウン

ドメイン・ロックダウンを使用すると、特定の IP アドレスと IP 範囲を許可リストに登録して、他のすべての IP を不許可リストに登録できます。 ドメイン・ロックダウンでは、以下の項目がサポートされます。

  • 特定のサブドメイン - 例えば、IP 1.2.3.4 にドメイン foo.example.com へのアクセスを許可し、IP 5.6.7.8 にドメイン bar.example.com へのアクセスを許可します (逆を許可する必要はありません)。
  • 特定の URL - 例えば、IP 1.2.3.4 にディレクトリー example.com/foo/* へのアクセスを許可し、IP 5.6.7.8 にディレクトリー example.com/bar/* へのアクセスを許可します (逆を許可する必要はありません)。

この機能は、アクセス・ルールをより細かく設定する必要がある場合に役立ちます。IP ルールでは、ブロックを現行のドメインのすべてのサブドメインに適用するか、アカウントのすべてのドメインに適用するかのどちらかしかできないからです。 URIを指定することはできません。

ファイアウォール規則

一致する要求をブロック、チャレンジ、ログ、許可する一連のフィルターに対して、着信 HTTP トラフィックを検査するルールを作成します。

一般的に、ファイアウォールのルールは、OSI Layer-7 ( HTTP ) で公開されているプロパティ、例えばリクエストヘッダーや本文コンテンツの特徴などを対象として設計されています。 そのため、ファイアウォール・ルールは HTTP/HTTPS の「範囲」のアプリに適用されます。

イベント

アクティブな Web アプリケーション・ファイアウォール・ルールによってトリガーされるイベントを表示します。 各イベントにおいて、要求している IP アドレス、または要求しているリージョン全体に基づいてトリガーされるアクションを変更できます。

範囲

CIS DDoS, TLS、およびIPファイアウォールの機能を、レンジアプリケーションを使用してウェブサーバーやTCPベースのサービスに拡張し、オンライン状態を維持しながらセキュリティを確保します。

高度なセキュリティー

高度なセキュリティー設定には、以下の機能が含まれます。これらの機能は、変更、有効化、または無効化が可能です。

  • ブラウザー保全性チェック - ブラウザー保全性チェックでは、スパマーがよく不正使用する HTTP ヘッダーを探します。 ご使用のページに対してそうしたヘッダーを含むトラフィックがアクセスするのを拒否します。 また、ユーザーエージェントを持たない訪問者や、標準外のユーザーエージェントを追加する訪問者をブロックまたは拒否します。 この手法は、悪用ボット、クローラー、または API でよく使用されます。
  • チャレンジの通過 - チャレンジ (または JavaScript チャレンジ)を通過した訪問者が、再度チャレンジを受ける前に、お客様のサイトにアクセスできる時間を制御します。 このチャレンジは訪問者のIPアドレスに基づいており、WAFルールによって提示されたチャレンジには適用されません。なぜなら、WAFルールはユーザーがサイト上で実行するアクションに基づいて提示されるからです。
  • セキュリティー・レベル - チャレンジ・ページを受け取る訪問者を決定するために、Web サイトのセキュリティー・レベルを設定します。
  • 常に HTTPS を使用 (Always Use HTTPS) - すべての訪問者を HTTPS バージョンにリダイレクトします。
  • E メールの難読化 (Email Obfuscation) - ページ上の E メール・アドレスにアクセスしようとするハーベスターやボットによるスパムを防止します。
  • HTTPS 自動書き換え (Automatic HTTPS Rewrites) - HTTPS で提供できる Web サイトのすべてのリソース (またはリンク) の httphttps に変更して、混合コンテンツの修正を支援します。
  • 日和見暗号化- ブラウザに、お客様のサイトが暗号化された接続で利用可能であることを通知することで、 HTTP/2 のパフォーマンス向上のメリットをブラウザに提供します。
  • ユニバーサル SSL - ゾーンからエッジまでユニバーサル SSL 証明書を有効化します。
  • True Client IP ヘッダー- ユーザーの IP アドレスを True-Client-IP ヘッダーに含めて送信します。

セキュリティー規格とプラットフォーム

  • TLS (SHA2 および SHA1)
  • IPv4 そして IPv6
  • HTTP/2

ネットワーク攻撃と緩和

一般に、攻撃は 2 つのカテゴリーに分類されます。

ネットワーク攻撃の種類
レイヤー 3 またはレイヤー 4 の攻撃 レイアー 7 の攻撃
これらの攻撃は、ICMP フラッドのような ISO レイヤー 3(ネットワーク層)や、TCP SYN フラッドや反射 UDP フラッドのようなレイヤー 4(トランスポート層)への大量のトラフィックで構成されています。 これらの攻撃は、GET洪水などの悪意のあるISO Layer-7 リクエスト(アプリケーション層)を送信します。
CIS のエッジで自動的にブロック CIS これらの攻撃には、ディフェンスモード、WAF、セキュリティレベル設定で対応します。

オンデマンドの DDoS 対策

IBM Cloud Internet Services は、発信元サーバーの IP アドレスの実際のレコードではなく、ドメインの DNS ルックアップで CIS IP アドレスを返すことによってトラフィックを取り込みます。 これにより、 CIS は、発信元サーバー宛先にデータを送信する前に、データを取り込み、単一パス検査し、再暗号化することができます。 CIS は、DNS のみのモードで動作し、IP を難読化せずに実際の DNS レコードを返すこともできます。これにより、DDoS や CISのその他の機能が無効になります。 CIS 保護を有効にするには、各 DNS レコードの横にある「プロキシー」スライダーを オンに切り替えます。保護を無効にするには、 オフに切り替えます。

無制限の DDoS 緩和

DDoS 緩和は通常、攻撃されたときにコストが増える可能性があり、費用のかかるサービスと言えます。 CIS には、追加の費用がかからない無制限の DDoS 緩和が用意されています。

レイヤー 7 攻撃の軽減 (構成)

CISでは DDoS がデフォルトで有効になっていますが、以下のようにしてレイヤー 7 セキュリティーをさらに構成することができます。

  • WAF ルールセットの感度と応答動作の設定
  • 速度制限の追加
  • ファイアウォール・ルールの追加

これらの機能を使用して、ボリューム・アタックと非ボリューム・アタックの両方のレイヤー 7 の緩和をカスタマイズします。

非ボリューム・アタックの軽減

CIS WAF には、クロスサイト・フォージェリー、クロスサイト・スクリプティング (XSS)、ファイル・インクルージョン、および SQL インジェクションを含む、非ボリューム・アタックを緩和するためのルール・セットが含まれています。 WAF について詳しくは、 Web アプリケーション・ファイアウォールの概念を参照してください。

コスト保護

CIS は、DDoS 緩和、ファイアウォール、またはレート制限の一部としてブロックされているトラフィックについては、計測も課金もしません。 料金または使用量が発生するのは、 CIS ネットワークを介して起点宛先に渡される要求のみです。

CIS は、発信元が応答する必要がある良好な要求のみを渡すことで、発信元からの出口帯域幅の料金を制御下に維持するのにも役立ちます。 すべての CIS プランで、DDoS 攻撃の緩和策が無制限かつ定額で提供されます。 攻撃トラフィックに対して課金されることはありません。 攻撃トラフィックによるスパイクに対するペナルティーはないため、お客様によるチャージバックはありません。

信頼性の機能

![信頼性グラフィック*信頼性の特徴" caption-side="bottom"}"){: caption="性の特徴を説明する](images/reliability-graphic.png "

グローバル・ロード・バランシング機能

グローバル・ロード・バランシング・サービスにより、起点プール、ヘルス・チェック、およびロード・バランサーを組み合わせて、トラフィックを複数のサーバーに分散させることができます。 グローバル・ロード・バランシングには、以下の機能があります。

  • ロード・バランシングのためのプロキシーと非プロキシーのオプション
  • 起点プールおよびヘルス・チェック

グローバル・エニーキャスト・ネットワーク

利用可能なヘルスチェックの地域は 、Cloudflareのグローバル・エニーキャスト・ネットワークに基づいています。

DNS の機能

CIS の DNS には、次の機能があります。

  • DNS 管理 - DNS レコードの管理、プロキシーの制御、DNS セキュリティーの有効化を行うことができます。
  • DNSSEC - DNSセキュリティは、ゾーンを暗号署名し、ユーザーに提供されるDNSレコードがDNSサーバー上で公開されているDNSレコードと同一であることを保証します。

gRPC プロトコル・サポート

gRPC プロトコルは、より小さいペイロードで効率的な API を構築します。これにより、帯域幅の要件が軽減され、待ち時間が短縮され、実施時間が増加します。 CIS は、任意のプロキシー gRPC エンドポイントに対して gRPC プロトコルをサポートします。 gRPC サポートを有効または無効にするには、 信頼性 セクションに移動し、 拡張 タブを選択して、gRPC スイッチを切り替えます。

使用する前に、以下の要件を満たす必要があります。 gRPC:

  • gRPC エンドポイントはポート 443 で検知する必要があります。
  • gRPC エンドポイントは TLS および HTTP/2 をサポートしている必要があります。
  • HTTP/2 は、Application-Layer Protocol Negotiation (ALPN) を介して公示される必要があります。
  • gRPC 要求のコンテンツ・タイプ・ヘッダーは、 application/grpc または application/grpc+<message type> を使用する必要があります。

パフォーマンス・フィーチャー

性能
性能の

キャッシング

キャッシュに入れられたアセットを CIS で管理する方法を制御します。

ページ・ルール

キャッシュの動作を微調整してコンテンツの最適化を実現します。

ルーティング

リアルタイム・ネットワーク接続を使用するグローバル・インターネット上での経路指定の判断を分析し最適化することにより、過剰な遅延が発生しないようにします。

高度なパフォーマンス

高度なパフォーマンス・セクションでは、Brotli 圧縮を適用したり、アップロード・サイズを制限したりできます。