IBM Cloud Docs
IBM Cloud Internet Services について

IBM Cloud Internet Services について

IBM Cloud® Internet Services は、Cloudflare を採用しており、IBM Cloud で業務を実行しているお客様のためのパフォーマンスと信頼性の高い、安全な高速インターネット・サービスが用意されています。

IBMの CISは、UIやAPIを使って簡単に変更できるデフォルトを設定することで、すぐに使い始めることができます。

クロックの同期

ISO 27001 では、組織またはセキュリティー・ドメイン内のすべての関連情報処理システムのクロックを単一の参照時刻ソースと同期させる必要があります。 CIS は、システムを Network Time Protocol (NTP) サーバーと同期化して、すべての時間ベースのアクティビティーがネットワーク上のすべての場所で同期的に行われるようにします。

IBM CIS は、以下の内部 NTP サーバーを使用します。

  • time.adn.networklayer.com/
  • time.service.networklayer.com

セキュリティー機能

セキュリティー機能を使用するには、DNS レコードまたはグローバル・ロード・バランサーをプロキシー処理します。 プロキシは、トラフィックが私たちのサーバーを通過することを可能にし、あなたはデータを監視することができます。

caption-side=bottom
セキュリティ・グラフィック*セキュリティ機能を説明する
*セキュリティ機能

TLS

サイトを保護し、トランスポート層セキュリティー (TLS) 設定を制御します。 自社サイトへのトラフィックの保護に使用する証明書を管理します。

発信元

オリジンサーバーとユーザー間のトラフィックを暗号化するTLS証明書を管理します。

速度制限

速度制限を使用すると、URL パターンに一致するクライアントの IP アドレスや、定義したしきい値を超えるクライアントの IP アドレスをブロックして、悪意のあるトラフィックからサイトや API を保護できます。

トラフィック消し込み

CIS は、248 Tbps のグローバル・ネットワーク・エッジ容量を提供し、パケットおよび HTTP 要求速度が非常に高い DDoS 攻撃を軽減することができます。

DDoS 攻撃が発生した場合、 CIS はスクラブ・センターを使用しません。アクティビティーはエッジで分析され、送信元に最も近い DDoS 攻撃を軽減するのに役立ちます。

「ダーティー」であると識別されたトラフィック、または攻撃の一部であると識別されたトラフィックは、請求に含まれません。 顧客は、オリジンに転送されるクリーンなトラフィックと、エッジからクライアントに返されるレスポンスで構成される保護されたトラフィックに対して課金される。

Web アプリケーション・ファイアウォール (WAF)

WAFは複数のルールセットによって実装されている:OWASP, CIS, Exposed Credentials Check です。

IP ファイアウォール

IBM Cloud Internet Services では、大量のトラフィック、特定の要求者グループ、特定の要求 IP からドメイン、URL、およびディレクトリーを保護できるように、トラフィックを制御するためのいくつかのツールを提供しています。

IP ルール

IPルールでは、特定のIPアドレス、IP範囲、特定の国、特定のASN、特定のCIDRブロックのアクセスを制御できます。 着信要求に対して以下のアクションを実行できます。

  • 許可リスト
  • ブロック
  • チャレンジ (Captcha)
  • JavaScript チャレンジ (防御モード)

例えば、特定の IP が悪意のある要求を送信していることに気付いた場合、IP アドレスでそのユーザーをブロックできます。

IP ルールは、TCP、HTTP、および HTTPS の「範囲」のアプリに適用されます。これは、IP ルールが Open System Interconnection (OSI) レイヤー 3 およびレイヤー 4 に適用されるためです。

ユーザー・エージェント・ブロック・ルール

ユーザーエージェントブロックルールを使用すると、選択した任意のユーザーエージェント文字列に対処できます。 この機能は、ドメイン・ロックダウンのように機能します。ただし、ブロックでは IP ではなく着信ユーザー・エージェント・ストリングを検査する点が異なります。 IP ルールで設定したのと同じアクション・リスト (ブロック、チャレンジ、JS チャレンジ) を使用して、一致した要求を処理する方法を選択できます。 ユーザー・エージェント・ブロッキングはゾーン全体に適用されます。 ドメイン・ロックダウンで指定する方法と同じ方法でサブドメインを指定することはできません。

このツールは、疑わしいと思われるユーザー・エージェント・ストリングをブロックするのに役立ちます。

ドメイン・ロックダウン

ドメイン・ロックダウンを使用すると、特定の IP アドレスと IP 範囲を許可リストに登録して、他のすべての IP を不許可リストに登録できます。 ドメイン・ロックダウンでは、以下の項目がサポートされます。

  • 特定のサブドメイン - 例えば、IP 1.2.3.4 にドメイン foo.example.com へのアクセスを許可し、IP 5.6.7.8 にドメイン bar.example.com へのアクセスを許可します (逆を許可する必要はありません)。
  • 特定の URL - 例えば、IP 1.2.3.4 にディレクトリー example.com/foo/* へのアクセスを許可し、IP 5.6.7.8 にディレクトリー example.com/bar/* へのアクセスを許可します (逆を許可する必要はありません)。

この機能は、アクセス・ルールをより細かく設定する必要がある場合に役立ちます。IP ルールでは、ブロックを現行のドメインのすべてのサブドメインに適用するか、アカウントのすべてのドメインに適用するかのどちらかしかできないからです。 URI を指定することはできません。

ファイアウォール規則

一致する要求をブロック、チャレンジ、ログ、許可する一連のフィルターに対して、着信 HTTP トラフィックを検査するルールを作成します。

一般的に、ファイアウォールルールは、リクエストヘッダやボディコンテンツの特性など、OSILayer-7(HTTP)で公開されるプロパティのために設計されています。 そのため、ファイアウォール・ルールは HTTP/HTTPS の「範囲」のアプリに適用されます。

イベント

アクティブな Web アプリケーション・ファイアウォール・ルールによってトリガーされるイベントを表示します。 各イベントにおいて、要求している IP アドレス、または要求しているリージョン全体に基づいてトリガーされるアクションを変更できます。

範囲

CISのパワーを拡張します。DDoS,TLS、IPファイアウォールをウェブサーバーやTCPベースのサービスにレンジアプリケーションを使用することで拡張し、オンラインとセキュアを維持します。

高度なセキュリティー

高度なセキュリティー設定には、以下の機能が含まれます。これらの機能は、変更、有効化、または無効化が可能です。

  • ブラウザー保全性チェック - ブラウザー保全性チェックでは、スパマーがよく不正使用する HTTP ヘッダーを探します。 ご使用のページに対してそうしたヘッダーを含むトラフィックがアクセスするのを拒否します。 また、ユーザーエージェントを持たない訪問者や、非標準のユーザーエージェントを追加した訪問者をブロックしたり、チャレンジしたりします。 この手法は、悪用ボット、クローラー、または API でよく使用されます。
  • チャレンジ通過- チャレンジ(またはJavaScriptチャレンジ)を通過した訪問者が、再度チャレンジされるまでのサイトへのアクセス時間を制御します。 このチャレンジは訪問者のIPに基づいているため、WAFルールによって提示されるチャレンジには適用されない。なぜなら、WAFルールはユーザーがサイト上で実行したアクションに基づいているからだ。
  • セキュリティー・レベル - チャレンジ・ページを受け取る訪問者を決定するために、Web サイトのセキュリティー・レベルを設定します。
  • 常に HTTPS を使用 (Always Use HTTPS) - すべての訪問者を HTTPS バージョンにリダイレクトします。
  • E メールの難読化 (Email Obfuscation) - ページ上の E メール・アドレスにアクセスしようとするハーベスターやボットによるスパムを防止します。
  • HTTPS 自動書き換え (Automatic HTTPS Rewrites) - HTTPS で提供できる Web サイトのすべてのリソース (またはリンク) の httphttps に変更して、混合コンテンツの修正を支援します。
  • 機会的暗号化- ブラウザに、あなたのサイトが暗号化された接続で利用可能であることを通知することで、HTTP/2の改善されたパフォーマンスの恩恵を受けることができます。
  • ユニバーサル SSL - ゾーンからエッジまでユニバーサル SSL 証明書を有効化します。
  • True client IP header- True-Client-IPヘッダーでユーザーのIPアドレスを送信する。

セキュリティー規格とプラットフォーム

  • TLS (SHA2 および SHA1)
  • IPv4と IPv6
  • HTTP/2

ネットワーク攻撃と緩和

一般に、攻撃は 2 つのカテゴリーに分類されます。

ネットワーク攻撃の種類
レイヤー 3 またはレイヤー 4 の攻撃 レイアー 7 の攻撃
これらの攻撃は、ICMPフラッドのようなISOレイヤー3(ネットワーク層)、またはTCP SYNフラッドや反射UDPフラッドのようなレイヤー4(トランスポート層)でのトラフィックの洪水で構成される。 これらの攻撃は、GETフラッドのような悪意のあるISOLayer-7リクエスト(アプリケーションレイヤー)を送信する。
CISエッジで自動的にブロックされる CISは、防御モード、WAF、セキュリティレベルの設定でこれらの攻撃を処理します。

オンデマンドの DDoS 対策

IBM Cloud Internet Services は、発信元サーバーの IP アドレスの実際のレコードではなく、ドメインの DNS ルックアップで CIS IP アドレスを返すことによってトラフィックを取り込みます。 これにより、 CIS は、発信元サーバー宛先にデータを送信する前に、データを取り込み、単一パス検査し、再暗号化することができます。 CIS は、DNS のみのモードで動作し、IP を難読化せずに実際の DNS レコードを返すこともできます。これにより、DDoS や CISのその他の機能が無効になります。 CIS 保護を有効にするには、各 DNS レコードの横にある「プロキシー」スライダーを オンに切り替えます。保護を無効にするには、 オフに切り替えます。

無制限の DDoS 緩和

DDoS 緩和は通常、攻撃されたときにコストが増える可能性があり、費用のかかるサービスと言えます。 CIS には、追加の費用がかからない無制限の DDoS 緩和が用意されています。

レイヤー 7 攻撃の軽減 (構成)

CISでは DDoS がデフォルトで有効になっていますが、以下のようにしてレイヤー 7 セキュリティーをさらに構成することができます。

  • WAF ルール・セットの機密性および応答動作の構成
  • 速度制限の追加
  • ファイアウォール・ルールの追加

これらの機能を使用して、ボリューム・アタックと非ボリューム・アタックの両方のレイヤー 7 の緩和をカスタマイズします。

非ボリューム・アタックの軽減

CISWAFには、クロスサイトフォージェリ、クロスサイトスクリプティング(XSS)、ファイルインクルード、SQLインジェクションなどの非ボリューメトリック攻撃を軽減するためのルールセットが含まれています。 WAF について詳しくは、 Web アプリケーション・ファイアウォールの概念を参照してください。

コスト保護

CIS は、DDoS 緩和、ファイアウォール、またはレート制限の一部としてブロックされているトラフィックについては、計測も課金もしません。 料金または使用量が発生するのは、 CIS ネットワークを介して起点宛先に渡される要求のみです。

CIS は、発信元が応答する必要がある良好な要求のみを渡すことで、発信元からの出口帯域幅の料金を制御下に維持するのにも役立ちます。 すべての CIS プランで、DDoS 攻撃の緩和策が無制限かつ定額で提供されます。 攻撃トラフィックに対して課金されることはありません。 攻撃トラフィックによるスパイクに対するペナルティーはないため、お客様によるチャージバックはありません。

信頼性の機能

![信頼性グラフィック*信頼性の特徴" caption-side="bottom"}"){: caption="性の特徴を説明する](images/reliability-graphic.png "

グローバル・ロード・バランシング機能

グローバル・ロード・バランシング・サービスにより、起点プール、ヘルス・チェック、およびロード・バランサーを組み合わせて、トラフィックを複数のサーバーに分散させることができます。 グローバル・ロード・バランシングには、以下の機能があります。

  • ロード・バランシングのためのプロキシーと非プロキシーのオプション
  • 起点プールおよびヘルス・チェック

グローバル・エニーキャスト・ネットワーク

利用可能なヘルスチェックのリージョンは、Cloudflare Global Anycast Networkに基づいています。

DNS の機能

CIS の DNS には、次の機能があります。

  • DNS 管理 - DNS レコードの管理、プロキシーの制御、DNS セキュリティーの有効化を行うことができます。
  • DNSSEC - DNSセキュリティは、ユーザーに提供されるDNSレコードがDNSサーバーで公開されるDNSレコードと同じであることを保証するために、ゾーンに暗号署名します。

gRPC プロトコル・サポート

gRPC プロトコルは、より小さいペイロードで効率的な API を構築します。これにより、帯域幅の要件が軽減され、待ち時間が短縮され、実施時間が増加します。 CIS は、任意のプロキシー gRPC エンドポイントに対して gRPC プロトコルをサポートします。 gRPC サポートを有効または無効にするには、 信頼性 セクションに移動し、 拡張 タブを選択して、gRPC スイッチを切り替えます。

gRPC:を使用する前に、以下の要件を満たす必要があります:

  • gRPC エンドポイントはポート 443 で検知する必要があります。
  • gRPC エンドポイントは TLS および HTTP/2 をサポートしている必要があります。
  • HTTP/2 は、Application-Layer Protocol Negotiation (ALPN) を介して公示される必要があります。
  • gRPC 要求のコンテンツ・タイプ・ヘッダーは、 application/grpc または application/grpc+<message type> を使用する必要があります。

パフォーマンス・フィーチャー

性能
性能の

キャッシング

キャッシュに入れられたアセットを CIS で管理する方法を制御します。

ページ・ルール

キャッシュの動作を微調整してコンテンツの最適化を実現します。

ルーティング

リアルタイム・ネットワーク接続を使用するグローバル・インターネット上での経路指定の判断を分析し最適化することにより、過剰な遅延が発生しないようにします。

高度なパフォーマンス

高度なパフォーマンス・セクションでは、Brotli 圧縮を適用したり、アップロード・サイズを制限したりできます。