IBM Cloud Docs
CIS セットアップのベスト・プラクティス

CIS セットアップのベスト・プラクティス

IBM Cloud® Internet Services はご使用のネットワークのエッジに置かれているため、CIS サービスと円滑に統合されるようにするためには、いくつかのステップを実行する必要があります。 CIS を起点サーバーと統合するための以下の推奨ベスト・プラクティスを検討してください。

これらのステップは、DNS の変更とプロキシー・サービスのアクティブ化の前でも後でも行えます。 これらの推奨ベスト・プラクティスを実行することによって、ご使用の起点サーバーに CIS が適切に接続できるようになります。 これらの推奨ベスト・プラクティスにより、API トラフィックや HTTPS トラフィックの問題が起こらないようにすることができます。また、保護 CIS IP アドレスではなく、顧客の正しい IP アドレスをログに取り込めるようになります。

セットアップに必要なものは以下の通り:

  • 顧客の起点 IP を復元する
  • CIS IP アドレスを取り込む
  • セキュリティ設定がAPIトラフィックを妨害しないことを確認する
  • できるだけ厳密にセキュリティー設定を構成する

ベスト・プラクティス 1: 顧客の起点 IP を復元するための方法を知る

リバースプロキシとして、 CIS、これらのヘッダーに発信元IPを提供する:

  • CF-Connecting-IP
  • X-Forwarded-For
  • True-Client-IP (オプション)

Apache、Windows IIS、NGINXなどのインフラストラクチャ用のさまざまなツールを使用して、ユーザーIPアドレスを復元できます。

ベスト・プラクティス 2: 統合をより円滑にするために CIS IP アドレスを取り込む

次の2つのステップを踏む:

  • CIS IP アドレスの速度制限を解除する
  • CIS IP アドレスなどの信頼できるパーティーのみ許可するように ACL をセットアップする

IBM CIS 用 IP 範囲の更新済みリストは、この場所にあります。

ベスト・プラクティス 3: API トラフィックの妨げにならないようセキュリティー設定を確認する

IBM CIS は通常、接続オーバーヘッドを取り除くことによって API トラフィックを加速します。 一方、デフォルトのセキュリティー・スタンスは、さまざまな API 呼び出しの妨げになることがあります。 プロキシーがアクティブになったら、API トラフィックが妨げられないようにするためにいくつかの処置を取ることをお勧めします。

  • ページルール機能を使用して、セキュリティ機能を選択的にオフにします。

    • ご使用の API の URL パターン (例えば api.example.com など) を使用してページ・ルールを作成します。
    • 以下のルール動作を追加します。
      • **「セキュリティー・レベル (Security Level)」として「基本的にオフ (Essentially off)」**を選択します
      • **「TLS」として「オフ (Off)」**を選択します
      • **「ブラウザー保全性チェック (Browser Integrity Check)」として「オフ (Off)」**を選択します
    • **「リソースのプロビジョン (Provision Resource)」**を選択します。

  • あるいは、「セキュリティー」ページから、**「Web アプリケーション・ファイアウォール (Web Application Firewall)」**をグローバルにオフにすることもできます。

「ブラウザー保全性チェック (Browser Integrity Check)」の内容

ブラウザー保全性チェックでは、スパマーがよく不正使用する HTTP ヘッダーを探します。 ご使用のページに対してそうしたヘッダーを含むトラフィックがアクセスするのを拒否します。 また、ユーザー・エージェントを使用していない訪問者や、非標準のユーザー・エージェントを追加している (この手法は、悪用ボット、クローラー、または API でよく使用される) 訪問者をブロックします。

ベスト・プラクティス 4: できるだけ厳密にセキュリティー設定を構成する

CIS には、トラフィックを暗号化するためのオプションがいくつか用意されています。 リバース・プロキシーとして、Cloudflare で TLS 接続が終了し、起点サーバーに対して新しい TLS 接続が開かれます。 CIS での終了には、アカウントからカスタム証明書をアップロードするか、 CIS によってプロビジョニングされるワイルドカード証明書を使用するか、またはその両方を使用することができます。

カスタム証明書をアップロードする

エンタープライズドメインの作成時に、公開鍵と秘密鍵をアップロードできます。 お客様独自の証明書をアップロードした場合は、暗号化トラフィックとの互換性が直ちに得られ、証明書 (例えば Extended Validation (EV) 証明書) に対する管理を維持することになります。 カスタム証明書をアップロードした場合、証明書の管理はあなたの責任であることを忘れないでください。 例えば、 IBM CIS は証明書の有効期限を追跡しない。

あるいは、CIS によってプロビジョンされた証明書を使用する

IBM CIS は、複数の認証局(CA)と連携し、お客様にドメイン・ワイルドカード証明書をデフォルトで提供しています。 これらの証明書を設定するには、手動による検証が必要になる場合があります。

TLS 設定を「エンドツーエンド CA 署名 (End-to-End CA Signed)」に変更する

企業のお客様のほとんどは、「エンドツーエンド CA 署名 (End-to-End CA Signed)」セキュリティー設定を使用します。 **「エンドツーエンド CA 署名 (End-to-End CA Signed)」**設定を使用するためには、ご使用の Web サーバー上に有効な CA 署名証明書がインストールされている必要があります。 証明書の有効期限は先の日付でなければならず、「ホスト名」または「サブジェクト代替名 (SAN)」が対応していなければなりません。