IBM Cloud Docs
IBM Cloud Internet Services について

IBM Cloud Internet Services について

IBM Cloud® Internet Services は、Cloudflare を採用しており、IBM Cloud で業務を実行しているお客様のためのパフォーマンスと信頼性の高い、安全な高速インターネット・サービスが用意されています。

IBM CIS は、UI または API を使用して簡単に変更できるデフォルトを設定することで、素早く作業を開始します。

クロックの同期

ISO 27001 では、組織またはセキュリティー・ドメイン内のすべての関連情報処理システムのクロックを単一の参照時刻ソースと同期させる必要があります。 CIS は、システムを Network Time Protocol (NTP) サーバーと同期化して、すべての時間ベースのアクティビティーがネットワーク上のすべての場所で同期的に行われるようにします。

IBM CIS は、以下の内部 NTP サーバーを使用します。

  • time.adn.networklayer.com/
  • time.service.networklayer.com

セキュリティー機能

セキュリティー機能を使用するには、DNS レコードまたはグローバル・ロード・バランサーをプロキシー処理します。 プロキシーは、トラフィックがサーバーを通過することを許可し、データをモニターすることができます。

セキュリティー・グラフィック
図 1. セキュリティー機能

TLS

サイトを保護し、トランスポート層セキュリティー (TLS) 設定を制御します。 自社サイトへのトラフィックの保護に使用する証明書を管理します。

発信元

起点サーバーとユーザーの間のトラフィックを暗号化する TLS 証明書を管理します。

速度制限

速度制限を使用すると、URL パターンに一致するクライアントの IP アドレスや、定義したしきい値を超えるクライアントの IP アドレスをブロックして、悪意のあるトラフィックからサイトや API を保護できます。

トラフィック消し込み

CIS は、248 Tbps のグローバル・ネットワーク・エッジ容量を提供し、パケットおよび HTTP 要求速度が非常に高い DDoS 攻撃を軽減することができます。

DDoS 攻撃が発生した場合、 CIS はスクラブ・センターを使用しません。アクティビティーはエッジで分析され、送信元に最も近い DDoS 攻撃を軽減するのに役立ちます。

「ダーティー」であると識別されたトラフィック、または攻撃の一部であると識別されたトラフィックは、請求に含まれません。 お客様には 保護されたトラフィックが請求されます。このトラフィックは、起点に転送されるクリーンなトラフィックと、エッジからクライアントに返される応答で構成されます。

Web アプリケーション・ファイアウォール (WAF)

WAF は、OWASPCIS の 2 つのルール・セットを介して実装されます。

IP ファイアウォール

IBM Cloud Internet Services では、大量のトラフィック、特定の要求者グループ、特定の要求 IP からドメイン、URL、およびディレクトリーを保護できるように、トラフィックを制御するためのいくつかのツールを提供しています。

IP ルール

IP 規則を使用すると、特定の IP アドレス、IP 範囲、特定の国、特定の ASN、および特定の CIDR ブロックに対するアクセスを制御できます。 着信要求に対して以下のアクションを実行できます。

  • 許可リスト
  • ブロック
  • チャレンジ (Captcha)
  • JavaScript チャレンジ (防御モード)

例えば、特定の IP が悪意のある要求を送信していることに気付いた場合、IP アドレスでそのユーザーをブロックできます。

IP ルールは、TCP、HTTP、および HTTPS の「範囲」のアプリに適用されます。これは、IP ルールが Open System Interconnection (OSI) レイヤー 3 およびレイヤー 4 に適用されるためです。

ユーザー・エージェント・ブロック・ルール

ユーザー・エージェント・ブロッキング・ルールを使用すると、選択した任意のユーザー・エージェント・ストリングに対してアクションを実行できます。 この機能は、ドメイン・ロックダウンのように機能します。ただし、ブロックでは IP ではなく着信ユーザー・エージェント・ストリングを検査する点が異なります。 IP ルールで設定したのと同じアクション・リスト (ブロック、チャレンジ、JS チャレンジ) を使用して、一致した要求を処理する方法を選択できます。 ユーザー・エージェント・ブロッキングはゾーン全体に適用されます。 ドメイン・ロックダウンで指定する方法と同じ方法でサブドメインを指定することはできません。

このツールは、疑わしいと思われるユーザー・エージェント・ストリングをブロックするのに役立ちます。

ドメイン・ロックダウン

ドメイン・ロックダウンを使用すると、特定の IP アドレスと IP 範囲を許可リストに登録して、他のすべての IP を不許可リストに登録できます。 ドメイン・ロックダウンでは、以下の項目がサポートされます。

  • 特定のサブドメイン - 例えば、IP 1.2.3.4 にドメイン foo.example.com へのアクセスを許可し、IP 5.6.7.8 にドメイン bar.example.com へのアクセスを許可します (逆を許可する必要はありません)。
  • 特定の URL - 例えば、IP 1.2.3.4 にディレクトリー example.com/foo/* へのアクセスを許可し、IP 5.6.7.8 にディレクトリー example.com/bar/* へのアクセスを許可します (逆を許可する必要はありません)。

この機能は、アクセス・ルールをより細かく設定する必要がある場合に役立ちます。IP ルールでは、ブロックを現行のドメインのすべてのサブドメインに適用するか、アカウントのすべてのドメインに適用するかのどちらかしかできないからです。 URI を指定することはできません。

ファイアウォール規則

一致する要求をブロック、チャレンジ、ログ、許可する一連のフィルターに対して、着信 HTTP トラフィックを検査するルールを作成します。

一般に、ファイアウォール・ルールは、要求ヘッダーや本体コンテンツの特性など、OSI Layer-7 (HTTP) で公開されるプロパティー用に設計されています。 そのため、ファイアウォール・ルールは HTTP/HTTPS の「範囲」のアプリに適用されます。

イベント

アクティブな Web アプリケーション・ファイアウォール・ルールによってトリガーされるイベントを表示します。 各イベントにおいて、要求している IP アドレス、または要求しているリージョン全体に基づいてトリガーされるアクションを変更できます。

範囲

Range アプリケーションを使用して CIS DDoS、TLS、および IP ファイアウォールの機能を Web サーバーおよび TCP ベースのサービスに拡張し、それらをオンラインかつセキュアに保ちます。

高度なセキュリティー

高度なセキュリティー設定には、以下の機能が含まれます。これらの機能は、変更、有効化、または無効化が可能です。

  • ブラウザー保全性チェック - ブラウザー保全性チェックでは、スパマーがよく不正使用する HTTP ヘッダーを探します。 ご使用のページに対してそうしたヘッダーを含むトラフィックがアクセスするのを拒否します。 また、ユーザー・エージェントを持たない訪問者、または標準外のユーザー・エージェントを追加する訪問者をブロックまたはチャレンジします。 この手法は、悪用ボット、クローラー、または API でよく使用されます。
  • チャレンジ・パッセージ-チャレンジ (または JavaScript チャレンジ) を通過した訪問者が、再度チャレンジされるまでにサイトにアクセスできる期間を制御します。 このチャレンジは訪問者の IP に基づいているため、WAF ルールによって提示されるチャレンジには適用されません。これは、ユーザーがサイトで実行するアクションに基づいているためです。
  • セキュリティー・レベル - チャレンジ・ページを受け取る訪問者を決定するために、Web サイトのセキュリティー・レベルを設定します。
  • 常に HTTPS を使用 (Always Use HTTPS) - すべての訪問者を HTTPS バージョンにリダイレクトします。
  • E メールの難読化 (Email Obfuscation) - ページ上の E メール・アドレスにアクセスしようとするハーベスターやボットによるスパムを防止します。
  • HTTPS 自動書き換え (Automatic HTTPS Rewrites) - HTTPS で提供できる Web サイトのすべてのリソース (またはリンク) の httphttps に変更して、混合コンテンツの修正を支援します。
  • オポチュニティー暗号化-ブラウザーは、暗号化された接続を介してサイトが使用可能であることを通知することにより、 HTTP/2 のパフォーマンスを向上させることができます。
  • ユニバーサル SSL - ゾーンからエッジまでユニバーサル SSL 証明書を有効化します。
  • True Client IP ヘッダー-True-Client-IP ヘッダーでユーザーの IP アドレスを送信します。

セキュリティー規格とプラットフォーム

  • TLS (SHA2 および SHA1)
  • IPv4 および IPv6
  • HTTP/2

ネットワーク攻撃と緩和

一般に、攻撃は 2 つのカテゴリーに分類されます。

表 1. ネットワーク攻撃のタイプ
レイヤー 3 またはレイヤー 4 の攻撃 レイアー 7 の攻撃
これらの攻撃は、ICMP フラッディングなどの ISO レイヤー 3 (ネットワーク層)、または TCP SYN フラッディングや反映された UDP フラッディングなどのレイヤー 4 (トランスポート層) でのトラフィックのフラッディングで構成されます。 これらの攻撃は、GET フラッディングなどの悪意のある ISO Layer-7 要求 (アプリケーション層) を送信します。
CIS エッジで自動的にブロックされます。 CIS は、防御モード、WAF、およびセキュリティー・レベルの設定を使用してこれらの攻撃を処理します。

オンデマンドの DDoS 対策

IBM Cloud Internet Services は、発信元サーバーの IP アドレスの実際のレコードではなく、ドメインの DNS ルックアップで CIS IP アドレスを返すことによってトラフィックを取り込みます。 これにより、 CIS は、発信元サーバー宛先にデータを送信する前に、データを取り込み、単一パス検査し、再暗号化することができます。 CIS は、DNS のみのモードで動作し、IP を難読化せずに実際の DNS レコードを返すこともできます。これにより、DDoS や CISのその他の機能が無効になります。 CIS 保護を有効にするには、各 DNS レコードの横にある「プロキシー」スライダーを オンに切り替えます。保護を無効にするには、 オフに切り替えます。

無制限の DDoS 緩和

DDoS 緩和は通常、攻撃されたときにコストが増える可能性があり、費用のかかるサービスと言えます。 CIS には、追加の費用がかからない無制限の DDoS 緩和が用意されています。

レイヤー 7 攻撃の軽減 (構成)

CISでは DDoS がデフォルトで有効になっていますが、以下のようにしてレイヤー 7 セキュリティーをさらに構成することができます。

  • WAF ルール・セットの機密性および応答動作の構成
  • 速度制限の追加
  • ファイアウォール・ルールの追加

これらの機能を使用して、ボリューム・アタックと非ボリューム・アタックの両方のレイヤー 7 の緩和をカスタマイズします。

非ボリューム・アタックの軽減

CIS WAF には、クロスサイト・フォージェリー、クロスサイト・スクリプティング (XSS)、ファイル・インクルージョン、SQL インジェクションなどの非ボリューム攻撃を軽減するためのルール・セットが含まれています。 WAF について詳しくは、 Web アプリケーション・ファイアウォールの概念を参照してください。

コスト保護

CIS は、DDoS 緩和、ファイアウォール、またはレート制限の一部としてブロックされているトラフィックについては、計測も課金もしません。 料金または使用量が発生するのは、 CIS ネットワークを介して起点宛先に渡される要求のみです。

CIS は、発信元が応答する必要がある良好な要求のみを渡すことで、発信元からの出口帯域幅の料金を制御下に維持するのにも役立ちます。 すべての CIS プランで、DDoS 攻撃の緩和策が無制限かつ定額で提供されます。 攻撃トラフィックに対して課金されることはありません。 攻撃トラフィックによるスパイクに対するペナルティーはないため、お客様によるチャージバックはありません。

信頼性の機能

信頼性のグラフィック
図 2. 信頼性の機能

グローバル・ロード・バランシング機能

グローバル・ロード・バランシング・サービスにより、起点プール、ヘルス・チェック、およびロード・バランサーを組み合わせて、トラフィックを複数のサーバーに分散させることができます。 グローバル・ロード・バランシングには、以下の機能があります。

  • ロード・バランシングのためのプロキシーと非プロキシーのオプション
  • 起点プールおよびヘルス・チェック

グローバル・エニーキャスト・ネットワーク

使用可能なヘルス・チェック・リージョンは、 Cloudflare Global Anycast Networkに基づいています。

DNS の機能

CIS の DNS には、次の機能があります。

  • DNS 管理 - DNS レコードの管理、プロキシーの制御、DNS セキュリティーの有効化を行うことができます。
  • DNSSEC-DNS セキュリティーは、ユーザーに提供された DNS レコードが DNS サーバーで公開された DNS レコードと同じであることを確認するために、ゾーンに暗号的に署名します。

gRPC プロトコル・サポート

gRPC プロトコルは、より小さいペイロードで効率的な API を構築します。これにより、帯域幅の要件が軽減され、待ち時間が短縮され、実施時間が増加します。 CIS は、任意のプロキシー gRPC エンドポイントに対して gRPC プロトコルをサポートします。 gRPC サポートを有効または無効にするには、 信頼性 セクションに移動し、 拡張 タブを選択して、gRPC スイッチを切り替えます。

gRPCを使用する前に、以下の要件を満たす必要があります。

  • gRPC エンドポイントはポート 443 で検知する必要があります。
  • gRPC エンドポイントは TLS および HTTP/2 をサポートしている必要があります。
  • HTTP/2 は、Application-Layer Protocol Negotiation (ALPN) を介して公示される必要があります。
  • gRPC 要求のコンテンツ・タイプ・ヘッダーは、 application/grpc または application/grpc+<message type> を使用する必要があります。

パフォーマンス・フィーチャー

パフォーマンスのグラフィック
図 3. パフォーマンス機能

キャッシング

キャッシュに入れられたアセットを CIS で管理する方法を制御します。

ページ・ルール

キャッシュの動作を微調整してコンテンツの最適化を実現します。

ルーティング

リアルタイム・ネットワーク接続を使用するグローバル・インターネット上での経路指定の判断を分析し最適化することにより、過剰な遅延が発生しないようにします。

高度なパフォーマンス

高度なパフォーマンス・セクションでは、Brotli 圧縮を適用したり、アップロード・サイズを制限したりできます。