IBM Cloud Docs
CIS セットアップのベスト・プラクティス

CIS セットアップのベスト・プラクティス

IBM Cloud® Internet Services はご使用のネットワークのエッジに置かれているため、CIS サービスと円滑に統合されるようにするためには、いくつかのステップを実行する必要があります。 CIS を起点サーバーと統合するための以下の推奨ベスト・プラクティスを検討してください。

これらのステップは、DNS の変更とプロキシー・サービスのアクティブ化の前でも後でも行えます。 これらの推奨ベスト・プラクティスを実行することによって、ご使用の起点サーバーに CIS が適切に接続できるようになります。 これらの推奨ベスト・プラクティスにより、API トラフィックや HTTPS トラフィックの問題が起こらないようにすることができます。また、保護 CIS IP アドレスではなく、顧客の正しい IP アドレスをログに取り込めるようになります。

設定する必要があるものは次のとおりです。

  • 顧客の起点 IP を復元する
  • CIS IP アドレスを取り込む
  • セキュリティ設定がAPIトラフィックに干渉しないことを確認してください
  • できるだけ厳密にセキュリティー設定を構成する

ベスト・プラクティス 1: 顧客の起点 IP を復元するための方法を知る

リバースプロキシとして、 CISこれらのヘッダーに発信元 IP を提供します。

  • CF-Connecting-IP
  • X-Forwarded-For
  • True-Client-IP (オプション)

インフラストラクチャ用のさまざまなツールを使用して、ユーザーのIPアドレスを復元できます。Apache、Windows IIS、NGINX です。

ベスト・プラクティス 2: 統合をより円滑にするために CIS IP アドレスを取り込む

次の 2 つの手順を実行します。

  • CIS IP アドレスの速度制限を解除する
  • CIS IP アドレスなどの信頼できるパーティーのみ許可するように ACL をセットアップする

IBM CIS 用 IP 範囲の更新済みリストは、この場所にあります。

ベスト・プラクティス 3: API トラフィックの妨げにならないようセキュリティー設定を確認する

IBM CIS は通常、接続オーバーヘッドを取り除くことによって API トラフィックを加速します。 一方、デフォルトのセキュリティー・スタンスは、さまざまな API 呼び出しの妨げになることがあります。 プロキシーがアクティブになったら、API トラフィックが妨げられないようにするためにいくつかの処置を取ることをお勧めします。

  • セキュリティ機能を選択的にオフにするには、ページルール特徴。

    • ご使用の API の URL パターン (例えば api.example.com など) を使用してページ・ルールを作成します。
    • 以下のルール動作を追加します。
      • **「セキュリティー・レベル (Security Level)」として「基本的にオフ (Essentially off)」**を選択します
      • **「TLS」として「オフ (Off)」**を選択します
      • **「ブラウザー保全性チェック (Browser Integrity Check)」として「オフ (Off)」**を選択します
    • **「リソースのプロビジョン (Provision Resource)」**を選択します。

  • あるいは、「セキュリティー」ページから、**「Web アプリケーション・ファイアウォール (Web Application Firewall)」**をグローバルにオフにすることもできます。

「ブラウザー保全性チェック (Browser Integrity Check)」の内容

ブラウザー保全性チェックでは、スパマーがよく不正使用する HTTP ヘッダーを探します。 ご使用のページに対してそうしたヘッダーを含むトラフィックがアクセスするのを拒否します。 また、ユーザー・エージェントを使用していない訪問者や、非標準のユーザー・エージェントを追加している (この手法は、悪用ボット、クローラー、または API でよく使用される) 訪問者をブロックします。

ベスト・プラクティス 4: できるだけ厳密にセキュリティー設定を構成する

CIS には、トラフィックを暗号化するためのオプションがいくつか用意されています。 リバース・プロキシーとして、Cloudflare で TLS 接続が終了し、起点サーバーに対して新しい TLS 接続が開かれます。 あなたの解約についてCISアカウントからカスタム証明書をアップロードしたり、プロビジョニングされたワイルドカード証明書を使用したりすることができます。 CIS、 または両方。

カスタム証明書をアップロードする

エンタープライズ ドメインを作成するときに、公開キーと秘密キーをアップロードできます。 お客様独自の証明書をアップロードした場合は、暗号化トラフィックとの互換性が直ちに得られ、証明書 (例えば Extended Validation (EV) 証明書) に対する管理を維持することになります。 カスタム証明書をアップロードする場合は、証明書の管理はユーザーの責任となることに注意してください。 例えば、 IBM CIS証明書の有効期限を追跡しません。

あるいは、CIS によってプロビジョンされた証明書を使用する

IBM CISデフォルトでは、複数の証明機関 (CA) と連携して、お客様にドメイン ワイルドカード証明書を提供します。 これらの証明書を設定するには手動による検証が必要になる場合があります。サポート チームがこれらの追加手順の実行をお手伝いします。

TLS 設定を「エンドツーエンド CA 署名 (End-to-End CA Signed)」に変更する

企業のお客様のほとんどは、「エンドツーエンド CA 署名 (End-to-End CA Signed)」セキュリティー設定を使用します。 **「エンドツーエンド CA 署名 (End-to-End CA Signed)」**設定を使用するためには、ご使用の Web サーバー上に有効な CA 署名証明書がインストールされている必要があります。 証明書の有効期限は先の日付でなければならず、「ホスト名」または「サブジェクト代替名 (SAN)」が対応していなければなりません。