IBM Cloud Docs
IBM Cloud Internet Services について

IBM Cloud Internet Services について

IBM Cloud® Internet Services は、Cloudflare を採用しており、IBM Cloud で業務を実行しているお客様のためのパフォーマンスと信頼性の高い、安全な高速インターネット・サービスが用意されています。

IBM CIS UIやAPIを使って簡単に変更できるデフォルトを設定することで、すぐに使い始めることができる。

セキュリティー機能

セキュリティー機能を使用するには、DNS レコードまたはグローバル・ロード・バランサーをプロキシー処理します。 プロキシは、トラフィックが私たちのサーバーを通過することを可能にし、あなたはデータを監視することができます。

caption-side=bottom
セキュリティ・グラフィック*セキュリティ機能を説明する
*セキュリティ機能

TLS

サイトを保護し、トランスポート層セキュリティー (TLS) 設定を制御します。 自社サイトへのトラフィックの保護に使用する証明書を管理します。

発信元

オリジンサーバーとユーザー間のトラフィックを暗号化するTLS証明書を管理します。

速度制限

レート制限ルールを使用して、 URL パターンに一致する、または定義されたしきい値を超えるクライアント IP アドレスをブロックすることで、悪意のあるトラフィックからサイトまたは API を保護します。

Web アプリケーション・ファイアウォール (WAF)

WAFは複数のルールセットを通じて実装されます 。OWASP、CIS および Exposed Credentials Check(公開された認証情報の確認) です。

IP ファイアウォール

IBM Cloud Internet Services では、大量のトラフィック、特定の要求者グループ、特定の要求 IP からドメイン、URL、およびディレクトリーを保護できるように、トラフィックを制御するためのいくつかのツールを提供しています。

IP ルール

IPルールでは、特定のIPアドレス、IP範囲、特定の国、特定のASN、特定のCIDRブロックのアクセスを制御できます。 着信要求に対して以下のアクションを実行できます。

  • 許可リスト
  • ブロック
  • チャレンジ (Captcha)
  • JavaScript チャレンジ (防御モード)

例えば、特定の IP が悪意のある要求を送信していることに気付いた場合、IP アドレスでそのユーザーをブロックできます。

IP ルールは、TCP、HTTP、および HTTPS の「範囲」のアプリに適用されます。これは、IP ルールが Open System Interconnection (OSI) レイヤー 3 およびレイヤー 4 に適用されるためです。

ユーザー・エージェント・ブロック・ルール

ユーザーエージェント・ブロックルールでは、選択した任意のユーザーエージェント文字列に対して動作させることができます。 この機能は、ドメイン・ロックダウンのように機能します。ただし、ブロックでは IP ではなく着信ユーザー・エージェント・ストリングを検査する点が異なります。 IP ルールで設定したのと同じアクション・リスト (ブロック、チャレンジ、JS チャレンジ) を使用して、一致した要求を処理する方法を選択できます。 ユーザー・エージェント・ブロッキングはゾーン全体に適用されます。 ドメイン・ロックダウンと同じようにサブドメインを指定することはできない。

このツールは、疑わしいと思われるユーザー・エージェント・ストリングをブロックするのに役立ちます。

ドメイン・ロックダウン

ドメイン・ロックダウンを使用すると、特定の IP アドレスと IP 範囲を許可リストに登録して、他のすべての IP を不許可リストに登録できます。 ドメイン・ロックダウンでは、以下の項目がサポートされます。

  • 特定のサブドメイン - 例えば、IP 1.2.3.4 にドメイン foo.example.com へのアクセスを許可し、IP 5.6.7.8 にドメイン bar.example.com へのアクセスを許可します (逆を許可する必要はありません)。
  • 特定の URL - 例えば、IP 1.2.3.4 にディレクトリー example.com/foo/* へのアクセスを許可し、IP 5.6.7.8 にディレクトリー example.com/bar/* へのアクセスを許可します (逆を許可する必要はありません)。

この機能は、アクセス・ルールをより細かく設定する必要がある場合に役立ちます。IP ルールでは、ブロックを現行のドメインのすべてのサブドメインに適用するか、アカウントのすべてのドメインに適用するかのどちらかしかできないからです。 URIを指定することはできません。

ファイアウォール規則

一致する要求をブロック、チャレンジ、ログ、許可する一連のフィルターに対して、着信 HTTP トラフィックを検査するルールを作成します。

一般的にファイアウォールルールは、リクエストヘッダやボディコンテント特性など、OSI Layer-7 ( HTTP )で公開されているプロパティのために設計されています。 そのため、ファイアウォール・ルールは HTTP/HTTPS の「範囲」のアプリに適用されます。

イベント

アクティブな Web アプリケーション・ファイアウォール・ルールによってトリガーされるイベントを表示します。 各イベントにおいて、要求している IP アドレス、または要求しているリージョン全体に基づいてトリガーされるアクションを変更できます。

範囲

CIS DDoS, TLS、IPファイアウォールのパワーを、Rangeアプリケーションを使用することで、ウェブサーバーやTCPベースのサービスに拡張し、オンラインとセキュリティを維持します。

高度なセキュリティー

高度なセキュリティー設定には、以下の機能が含まれます。これらの機能は、変更、有効化、または無効化が可能です。

  • ブラウザー保全性チェック - ブラウザー保全性チェックでは、スパマーがよく不正使用する HTTP ヘッダーを探します。 ご使用のページに対してそうしたヘッダーを含むトラフィックがアクセスするのを拒否します。 また、ユーザーエージェントを持たない訪問者や、非標準のユーザーエージェントを追加した訪問者をブロックしたり、チャレンジしたりします。 この手法は、悪用ボット、クローラー、または API でよく使用されます。
  • チャレンジ通過- チャレンジ(または JavaScript チャレンジ)を通過した訪問者が再度チャレンジされるまでのサイトへのアクセス時間を制御します。 このチャレンジは訪問者のIPに基づいているため、WAFルールによって提示されるチャレンジには適用されない。なぜなら、WAFルールはユーザーがサイト上で実行したアクションに基づいているからだ。
  • セキュリティー・レベル - チャレンジ・ページを受け取る訪問者を決定するために、Web サイトのセキュリティー・レベルを設定します。
  • 常に HTTPS を使用 (Always Use HTTPS) - すべての訪問者を HTTPS バージョンにリダイレクトします。
  • E メールの難読化 (Email Obfuscation) - ページ上の E メール・アドレスにアクセスしようとするハーベスターやボットによるスパムを防止します。
  • HTTPS 自動書き換え (Automatic HTTPS Rewrites) - HTTPS で提供できる Web サイトのすべてのリソース (またはリンク) の httphttps に変更して、混合コンテンツの修正を支援します。
  • 機会的暗号化- サイトが暗号化された接続で利用可能であることをブラウザに通知することで、 HTTP/2 のパフォーマンス向上の恩恵を受けることができます。
  • ユニバーサル SSL - ゾーンからエッジまでユニバーサル SSL 証明書を有効化します。
  • True client IP header- True-Client-IPヘッダーでユーザーのIPアドレスを送信する。

セキュリティー規格とプラットフォーム

  • TLS (SHA2 および SHA1)
  • IPv4 そして IPv6
  • HTTP/2

ネットワーク攻撃と緩和

一般に、攻撃は 2 つのカテゴリーに分類されます。

ネットワーク攻撃の種類
レイヤー 3 またはレイヤー 4 の攻撃 レイアー 7 の攻撃
これらの攻撃は、ICMPフラッドのようなISOレイヤ3(ネットワーク層)、またはTCP SYNフラッドや反射UDPフラッドのようなレイヤ4(トランスポート層)でのトラフィックの洪水で構成される。 これらの攻撃は、GETフラッドのような悪意のあるISO Layer-7 リクエスト(アプリケーション層)を送信する。
CIS エッジで自動的にブロック CIS これらの攻撃は、防御モード、WAF、およびセキュリティ・レベルの設定によって処理される。

オンデマンドの DDoS 対策

IBM Cloud Internet Services は、発信元サーバーの IP アドレスの実際のレコードではなく、ドメインの DNS ルックアップで CIS IP アドレスを返すことによってトラフィックを取り込みます。 これにより、 CIS は、発信元サーバー宛先にデータを送信する前に、データを取り込み、単一パス検査し、再暗号化することができます。 CIS は、DNS のみのモードで動作し、IP を難読化せずに実際の DNS レコードを返すこともできます。これにより、DDoS や CISのその他の機能が無効になります。 CIS 保護を有効にするには、各 DNS レコードの横にある「プロキシー」スライダーを オンに切り替えます。保護を無効にするには、 オフに切り替えます。

無制限の DDoS 緩和

DDoS 緩和は通常、攻撃されたときにコストが増える可能性があり、費用のかかるサービスと言えます。 CIS には、追加の費用がかからない無制限の DDoS 緩和が用意されています。

レイヤー 7 攻撃の軽減 (構成)

CISでは DDoS がデフォルトで有効になっていますが、以下のようにしてレイヤー 7 セキュリティーをさらに構成することができます。

  • WAFルールセットの感度と応答動作の設定
  • 速度制限の追加
  • ファイアウォール・ルールの追加

これらの機能を使用して、ボリューム・アタックと非ボリューム・アタックの両方のレイヤー 7 の緩和をカスタマイズします。

非ボリューム・アタックの軽減

CIS WAF には、クロスサイト・フォージェリー、クロスサイト・スクリプティング (XSS)、ファイル・インクルージョン、および SQL インジェクションを含む、非ボリューム・アタックを緩和するためのルール・セットが含まれています。 WAF について詳しくは、 Web アプリケーション・ファイアウォールの概念を参照してください。

信頼性の機能

![信頼性グラフィック*信頼性の特徴" caption-side="bottom"}"){: caption="性の特徴を説明する](images/reliability-graphic.png "

DNS の機能

CIS の DNS には、次の機能があります。

  • DNS 管理 - DNS レコードの管理、プロキシーの制御、DNS セキュリティーの有効化を行うことができます。
  • DNSSEC - DNSセキュリティは、ユーザーに提供されるDNSレコードがDNSサーバーで公開されるDNSレコードと同じであることを保証するために、ゾーンに暗号署名します。

gRPC プロトコル・サポート

gRPC プロトコルは、より小さいペイロードで効率的な API を構築します。これにより、帯域幅の要件が軽減され、待ち時間が短縮され、実施時間が増加します。 CIS は、任意のプロキシー gRPC エンドポイントに対して gRPC プロトコルをサポートします。 gRPC サポートを有効または無効にするには、 信頼性 セクションに移動し、 拡張 タブを選択して、gRPC スイッチを切り替えます。

以下の条件を満たしている必要があります。 gRPC:

  • gRPC エンドポイントはポート 443 で検知する必要があります。
  • gRPC エンドポイントは TLS および HTTP/2 をサポートしている必要があります。
  • HTTP/2 は、Application-Layer Protocol Negotiation (ALPN) を介して公示される必要があります。
  • gRPC 要求のコンテンツ・タイプ・ヘッダーは、 application/grpc または application/grpc+<message type> を使用する必要があります。

パフォーマンス・フィーチャー

性能
性能の

キャッシング

キャッシュに入れられたアセットを CIS で管理する方法を制御します。

ページ・ルール

キャッシュの動作を微調整してコンテンツの最適化を実現します。

ルーティング

リアルタイム・ネットワーク接続を使用するグローバル・インターネット上での経路指定の判断を分析し最適化することにより、過剰な遅延が発生しないようにします。