IBM Cloud Docs
Sobre IBM Cloud Internet Services

Sobre IBM Cloud Internet Services

O IBM Cloud® Internet Services, desenvolvido com a Cloudflare, fornece um serviço da Internet rápido, altamente eficiente, confiável e seguro para os clientes que executam seus negócios no IBM Cloud.

IBM CIS começa rapidamente, estabelecendo padrões para você, que podem ser alterados facilmente usando a interface do usuário ou a API.

Sincronização do clock

A ISO 27001 exige que os relógios de todos os sistemas de processamento de informações relevantes dentro de uma organização ou domínio de segurança sejam sincronizados com uma única fonte de tempo de referência. CIS sincroniza os sistemas com um servidor Network Time Protocol (NTP) para garantir que todas as atividades baseadas em tempo ocorram de forma síncrona em todos os lugares da rede.

A IBM CIS usa os seguintes servidores NTP internos:

  • time.adn.networklayer.com/
  • time.service.networklayer.com

Recursos de segurança

Efetue proxy de seus registros de DNS ou um balanceador de carga global para usar os recursos de segurança. O proxy permite que o tráfego flua pelos nossos servidores e você pode monitorar os dados.

![](images/security-graphic.png "de segurançaImagem que descreve os recursos de " caption-side="bottom}"){: caption="segurança

TLS

Proteja o seu site e controle as suas configurações de Segurança da Camada de Transporte (TLS). Gerencie os certificados usados para proteger o tráfego em seu site.

Origem

Gerencie os certificados TLS que criptografam o tráfego entre o servidor de origem e os usuários.

Limitação de taxa

Use regras de limitação de taxa para proteger seu site ou API contra tráfego malicioso, bloqueando endereços IP de clientes que correspondam a um padrão URL ou que excedam um limite definido.

Limpeza de tráfego

CIS oferece 248 Tbps de capacidade de borda de rede global e pode atenuar os ataques do DDoS que têm taxas de solicitação de pacotes e HTTP extremamente altas.

Quando ocorre um ataque DDoS, o CIS não usa centros de limpeza; a atividade é analisada na borda, o que ajuda a mitigar ataques DDoS mais próximos da fonte.

O tráfego que é identificado como sendo "sujo" ou parte de um ataque não está incluído no faturamento. Os clientes estão sendo cobrados pelo tráfego protegido, que consiste em tráfego limpo que é encaminhado para a origem e respostas que são retornadas da borda para o cliente.

Web Application Firewall (WAF)

O WAF é implementado por meio de vários conjuntos de regras: OWASP, CIS e Exposed Credentials Check.

Firewall de IP

O IBM Cloud Internet Services oferece várias ferramentas para controlar o seu tráfego para que você proteja os seus domínios, URLs e diretórios com relação aos volumes de tráfego, determinados grupos de solicitantes e, em particular, solicitando IPs.

Regras de IP

Com as regras de IP, você pode controlar o acesso a endereços IP específicos, intervalos de IP, países específicos, ASNs específicos e determinados blocos CIDR. As ações disponíveis em solicitações recebidas são:

  • Lista de permissões
  • Bloco
  • Desafio (Captcha)
  • Desafio JavaScript (Modo de Defesa)

Por exemplo, se você observar que um IP específico está causando solicitações maliciosas, será possível bloquear esse usuário por endereço IP.

As regras de IP aplicam-se aos apps Range de TCP, de HTTP e de HTTPS, pois as regras de IP são aplicadas às Camadas 3 e 4 do Open System Interconnection (OSI).

Regras de bloqueio do agente do usuário

Com as regras de bloqueio de agente de usuário, você pode agir em qualquer string de agente de usuário que selecionar. Esse recurso funciona como lockdown de domínio, exceto pelo bloco que examina a sequência do agente do usuário recebida, em vez do IP. É possível escolher como manipular uma solicitação correspondente com a mesma lista de ações que você estabeleceu nas regras de IP (bloqueio, desafio e desafio JS). O bloqueio do agente do usuário se aplica à zona inteira. Não é possível especificar subdomínios da mesma forma que em um bloqueio de domínio.

Essa ferramenta é útil para bloquear quaisquer sequências do agente do usuário que você julgar suspeitas.

Lockdown de domínio

Ao usar o bloqueio de Domínio, é possível permitir endereços IP específicos e intervalos de IP, tais que todos os outros IPs sejam blocklistados. O lockdown de domínio suporta os itens a seguir.

  • Subdomínios específicos - Por exemplo, é possível permitir o acesso de IP 1.2.3.4 ao domínio foo.example.com e permitir o acesso de IP 5.6.7.8 ao domínio bar.example.com, sem permitir o reverso.
  • URLs específicas - Por exemplo, é possível permitir o acesso de IP 1.2.3.4 ao diretório example.com/foo/* e permitir o acesso de IP 5.6.7.8 ao diretório example.com/bar/*, mas não permitir o inverso.

Esse recurso é útil quando há necessidade de mais granularidade em suas regras de acesso porque, com as regras de IP, é possível aplicar o bloco a todos os subdomínios do domínio atual ou a todos os domínios em sua conta. Você não pode especificar URIs.

Regras de firewall

Crie regras que examinem o tráfego HTTP recebido com relação a um conjunto de filtros para bloquear, desafiar, registrar ou permitir solicitações correspondentes.

Em geral, as regras de firewall são projetadas para propriedades que são expostas no OSI Layer-7 ( HTTP ), como cabeçalhos de solicitação e características de conteúdo do corpo. Portanto, as regras de firewall se aplicam aos apps Range de HTTP/HTTPS.

Eventos

Visualize eventos que são acionados por uma regra de firewall do aplicativo da web ativa. Para cada evento, é possível mudar a ação acionada com base no endereço IP solicitante ou na região solicitante como um todo.

Intervalo

Estenda o poder do CIS DDoS, TLS e do firewall IP aos seus servidores da Web e aos seus serviços baseados em TCP usando os aplicativos Range, mantendo-os on-line e seguros.

Segurança avançada

As configurações de segurança avançada incluem os recursos a seguir, que podem ser mudados, ativados ou desativados.

  • Verificação de integridade do navegador - A verificação de integridade do navegador procura cabeçalhos de HTTP que são comumente abusados por remetentes de spam. Ela impede que o tráfego com esses cabeçalhos acesse sua página. Ele também bloqueia ou desafia os visitantes que não têm um agente de usuário ou que adicionam um agente de usuário não padrão. Essa tática é comumente usada por robôs de abuso, crawlers ou APIs.
  • Passagem do desafio- Controla por quanto tempo um visitante que passou em um desafio (ou JavaScript desafio) tem acesso ao seu site antes de ser desafiado novamente. Esse desafio baseia-se no IP do visitante e, portanto, não se aplica aos desafios apresentados pelas regras do WAF, pois eles se baseiam em uma ação que o usuário executa no seu site.
  • Nível de segurança - Configura o nível de segurança de seu website para determinar quais visitantes recebem uma página de desafio.
  • Sempre usar HTTPS - Redireciona todos os visitantes para a versão HTTPS.
  • Ofuscação de e-mail - Evita spam de coletores e robôs que tentam acessar endereços de e-mail em suas páginas.
  • Regravações automáticas de HTTPS - Ajuda a corrigir o conteúdo misto ao mudar http para https para todos os recursos (ou links) em seu website que podem ser entregues com HTTPS.
  • Criptografia oportunista- permite que os navegadores se beneficiem do desempenho aprimorado do HTTP/2, informando-os de que seu site está disponível em uma conexão criptografada.
  • SSL universal - Ativa certificados SSL universais de sua zona até a borda.
  • Cabeçalho True client IP- Envia o endereço IP do usuário no cabeçalho True-Client-IP.

Padrões de segurança e plataforma

  • TLS (SHA2 e SHA1)
  • IPv4 e IPv6
  • HTTP/2

Ataques de rede e mitigação

Geralmente, os ataques se enquadram em duas categorias:

Tipos de ataques à rede
Ataques da Camada 3 ou da Camada 4 Ataques da Camada 7
Esses ataques consistem em uma inundação de tráfego na camada ISO 3 (a camada de rede), como inundações de ICMP, ou na camada 4 (a camada de transporte), como inundações de TCP SYN ou inundações de UDP refletidas. Esses ataques enviam solicitações mal-intencionadas de ISO Layer-7 (a camada de aplicativos), como inundações de GET.
Bloqueado automaticamente na borda do site CIS CIS lida com esses ataques com o modo de defesa, WAF e configurações de nível de segurança.

On-demand anti-DDoS

IBM Cloud Internet Services ingere o tráfego retornando um endereço IP CIS na consulta DNS para um domínio, em vez do registro real para o endereço IP do servidor de origem. Isso permite que CIS ingira, inspecione de passagem única e recriptografe dados antes de enviá-los para o destino do servidor de origem. A CIS também pode atuar no modo somente DNS, retornando o registro DNS real sem ofuscar o IP, o que desativa o DDoS e outras funções de CIS. Para ativar as proteções CIS, alterne o slider "proxy" ao lado de cada registro DNS para ativado; para desativar as proteções, alterem para desligado.

Mitigação de DDoS ilimitada

A mitigação de DDoS é tipicamente um serviço caro, que pode encarecer ainda mais quando sob ataque. A mitigação de DDoS ilimitada está incluída com o CIS sem custo adicional.

Mitigar ataques de Camada 7 (configuração)

Apesar de DDoS ser ativado por padrão em CIS, é possível configurar ainda mais a segurança da Camada 7:

  • Configuração da sensibilidade do conjunto de regras do WAF e do comportamento de resposta
  • Incluindo a limitação de taxa
  • Incluindo regras de firewall

Use esses recursos para customizar a mitigação da camada 7 de ataques volumétricos e não volumétricos.

Mitigar ataques não volumétricos

O WAF CIS contém conjuntos de regras para mitigar ataques não volumétricos, incluindo falsificação de site cruzado, cross-site-scripting (XSS), inclusão de arquivos e injeção SQL. Para obter informações adicionais sobre o WAF, consulte Conceitos de firewall de aplicação da web.

Proteção de custos

CIS não mede ou fatura para tráfego que é bloqueado como parte de mitigação DDoS, firewall ou limitação de taxa. Apenas os pedidos que são transmitidos através da rede CIS para o destino de origem acarretam encargos ou uso.

CIS também ajuda a manter as cobranças de largura de banda de saída de sua origem sob controle, transmitindo apenas solicitações boas às quais a origem precisa responder. Todos os planos CIS oferecem mitigação ilimitada de ataques DDoS. Você nunca é cobrado por tráfico de ataque. Não há penalidade por picos devido ao tráfego de ataque, portanto, não há estorno por parte do cliente.

Recursos de confiabilidade

gráfico de confiabilidade
Recursos de confiabilidade

Recursos de balanceamento de carga global

O serviço de balanceamento de carga global distribui o seu tráfego em diversos servidores com uma combinação de conjuntos de origem, verificações de funcionamento e um balanceador de carga. O balanceamento de carga global tem os seguintes recursos:

  • Opções proxy e não proxy para balanceamento de carga
  • Conjuntos de origem e verificações de funcionamento

Rede anycast Global

As regiões de verificação de integridade disponíveis são baseadas na Rede Global Anycast da Cloudflare.

Recursos de DNS

O DNS no CIS tem os recursos a seguir:

  • Gerenciamento de DNS - Gerencie seus registros de DNS, controle o proxy e ative a segurança de DNS.
  • DNSSEC - a segurança do DNS assina criptograficamente uma zona para garantir que os registros de DNS fornecidos ao usuário sejam os mesmos que os registros de DNS publicados no servidor DNS.

suporte ao protocolo gRPC

O protocolo gRPC cria APIs eficientes com cargas úteis menores, o que reduz os requisitos de largura de banda, diminui a latência e aumenta o tempo de implementação. O CIS é suportado com o protocolo gRPC para qualquer terminal gRPC com proxy. Para ativar ou desativar o suporte gRPC, navegue até a seção Confiabilidade, selecione a guia Avançado e alterne o comutador gRPC.

Os seguintes requisitos devem ser atendidos antes de você usar gRPC:

  • O terminal gRPC deve atender na porta 443
  • O terminal gRPC deve suportar TLS e HTTP/2
  • HTTP/2 deve ser anunciado por meio de Application-Layer Protocol Negotiation (ALPN)
  • O cabeçalho do tipo de conteúdo das solicitações gRPC deve usar application/grpc ou application/grpc+<message type>

Recursos de desempenho

de
de desempenho*

Armazenando em Cache

Controle como o CIS gerencia seus ativos em cache.

Regras de página

Faça o ajuste preciso de seu comportamento de cache e crie a otimização de conteúdo.

Roteamento

Elimine a latência excessiva ao analisar e otimizar as decisões de roteamento em toda a Internet global usando conexões de rede em tempo real.

Desempenho avançado

Aplique a compactação Brotli e restrinja os tamanhos de upload na seção de desempenho avançado.