CIS 설정의 우수 사례
IBM Cloud® Internet Services가 네트워크의 에지에 위치하므로 CIS 서비스와 원만하게 통합할 수 있으려면 몇 가지 단계를 수행해야 합니다. CIS 을 오리진 서버와 통합하기 위한 다음 권장 우수 사례를 고려하십시오.
DNS를 변경하고 프록시 서비스를 활성화하기 전후에 이러한 단계를 수행할 수 있습니다. 이러한 권장사항에 따라 CIS는 오리진 서버에 올바르게 연결할 수 있습니다. 권장사항은 API 또는 HTTPS 트래픽에서 발생하는 문제를 방지하고 보안 CIS IP 주소가 아닌 고객의 올바른 IP 주소를 로그에서 캡처할 수 있도록 도움을 줍니다.
설정해야 할 사항은 다음과 같습니다.
- 고객의 오리진 IP 복원
- CIS IP 주소 통합
- 보안 설정이 API 트래픽을 방해하지 않는지 확인하세요.
- 가급적 엄격하게 보안 설정 구성
우수 사례 1: 고객의 오리진 IP 복원 방법 알아보기
역방향 프록시로서, CIS 다음 헤더에 원본 IP를 제공합니다.
CF-Connecting-IP
X-Forwarded-For
True-Client-IP
(선택사항)
다음과 같은 인프라용 다양한 도구를 사용하여 사용자 IP 주소를 복원할 수 있습니다. Apache, Windows IIS 및 NGINX.
우수 사례 2: 원만한 통합을 위해 CIS IP 주소 포함
다음 두 단계를 수행하십시오.
- CIS IP 주소의 속도 제한 제거
- CIS IP 주소 및 기타 신뢰 기관만 허용하도록 ACL 설정
IBM CIS의 업데이트된 IP 범위 목록은 여기에서 찾을 수 있습니다.
우수 사례 3: 보안 설정을 검토하여 API 트래픽을 방해하지 않는지 확인
IBM CIS는 일반적으로 연결 오버헤드를 제거하여 API 트래픽의 속도를 높입니다. 그러나 기본 보안 스탠스는 많은 API 호출에 방해가 될 수 있습니다. 프록싱이 활성화된 후 API 트래픽이 방해를 받지 않도록 몇 가지 조치를 취하는 것이 좋습니다.
-
다음을 사용하여 선택적으로 보안 기능을 끄십시오. 페이지 규칙 특징.
- API의 URL 패턴으로 페이지 규칙 작성(예:
api.example.com
). - 다음의 규칙 동작을 추가하십시오.
- 보안 레벨을 기본적으로 끄기로 선택
- TLS를 끄기로 선택
- 브라우저 무결성 확인을 끄기로 선택
- 리소스 프로비저닝 선택
- API의 URL 패턴으로 페이지 규칙 작성(예:
-
또는 보안 페이지에서 전체적으로 **WAF(Web Application Firewall)**를 끌 수도 있습니다.
브라우저 무결성 검사가 수행하는 작업은 무엇입니까?
브라우저 무결성 검사는 스팸 발송자가 흔히 오용하는 HTTP 헤더를 찾습니다. 이는 페이지에 대한 해당 헤더 액세스의 트래픽을 거부합니다. 또한 사용자 에이전트가 없거나 비표준 사용자 에이전트를 추가하는 방문자를 차단합니다(이 전술은 일반적으로 남용 봇, 크롤러 또는 API에서 사용됨).
우수 사례 4: 가급적 엄격하게 보안 설정 구성
CIS는 트래픽을 암호화하는 일부 옵션을 제공합니다. 역방향 프록시로서 TLS 연결은 Cloudflare에서 종료되고 오리진 서버에 대한 새 TLS 연결이 열립니다. 귀하와의 계약 종료를 위해 CIS, 계정에서 사용자 정의 인증서를 업로드하고 다음에서 제공하는 와일드카드 인증서를 사용할 수 있습니다. CIS, 아니면 둘다.
사용자 정의 인증서 업로드
엔터프라이즈 도메인을 생성할 때 공개 및 개인 키를 업로드할 수 있습니다. 자체 인증서를 업로드하면 암호화된 트래픽과의 즉각적인 호환성이 확보되며 인증서(예: EV(Extended Validation) 인증서)에 대한 제어가 유지됩니다. 사용자 정의 인증서를 업로드하는 경우 인증서 관리 책임은 귀하에게 있음을 기억하십시오. 예를 들어, IBM CIS 인증서 만료 날짜를 추적하지 않습니다.
CIS에서 제공한 인증서 사용
IBM CIS 기본적으로 여러 인증 기관(CA)과 협력하여 고객에게 도메인 와일드카드 인증서를 제공합니다. 이러한 인증서를 설정하려면 수동 확인이 필요할 수 있으며 지원 팀에서 이러한 추가 단계를 수행하는 데 도움을 줄 수 있습니다.
TLS 설정을 엔드-투-엔드 CA 서명으로 변경
대부분의 엔터프라이즈 고객은 엔드-투-엔드 CA 서명 보안 설정을 사용합니다. 엔드-투-엔드 CA 서명 설정에서는 웹 서버에 설치된 유효한 CA-서명 인증서가 필요합니다. 인증서의 만기 날짜는 미래의 날짜여야 하며, 일치하는 호스트 이름 또는 SAN(Subject Alternative Name)이 있어야 합니다.