IBM Cloud Docs
Gerenciando o CIS para a segurança ideal

Gerenciando o CIS para a segurança ideal

As configurações de segurança do IBM Cloud® Internet Services ( CIS ) incluem padrões seguros que foram projetados para evitar falsos positivos e influências negativas em seu tráfego. No entanto, essas configurações padrão protegidas não fornecem a melhor postura de segurança para cada cliente. Siga estas etapas para ter certeza de que sua conta CIS está configurada de forma segura e protegida.

  • Proteja seus endereços IP de origem usando proxies e aumentando a ofuscação.
  • Configure seu nível de segurança de forma seletiva.
  • Ative seu Web Application Firewall (WAF) com segurança.
  • Defina suas configurações de TLS.

Melhor prática 1: proteger os endereços IP de origem

Quando um subdomínio usa CIS para fazer proxy, todo o tráfego é protegido porque CIS responde com endereços IP específicos associados a ele. Esse processo ajuda a garantir que você se conecte primeiro aos proxies CIS, o que oculta seus endereços IP originais.

Use proxies CIS para todos os registros DNS para o tráfego HTTP de sua origem

Para aumentar a segurança do seu endereço IP de origem, você deve fazer proxy de todo o tráfego HTTP e HTTPS.

Veja a diferença consultando um registro não proxy e um proxy:

dig nonproxied.theburritobot.com +short
1.2.3.4 (The origin IP address)

$ dig proxied.theburritobot.com +short
104.16.22.6 , 104.16.23.6 (CIS IP addresses)

Obscureça registros de origem não proxy com nomes não padrão

Todos os registros que não podem ser submetidos a proxy por meio do site CIS e que ainda usam o seu IP de origem, como o FTP, podem ser protegidos com a criação de ofuscação adicional. Em particular, se você precisar de um registro para a sua origem que não possa ser representado por CIS, use um nome não padrão. Por exemplo, em vez de ftp.example.com use [random word or-random characters].example.com. Este ofuscamento torna as varreduras de dicionário de seus registros DNS menos propensos a expor seus endereços IP de origem.

Use intervalos de IP separados para tráfego HTTP e não HTTP, se possível

Alguns clientes usam intervalos de IP separados para tráfego HTTP e não HTTP. Essa abordagem os ajuda a fazer proxy de todos os registros para o intervalo de IPs HTTP e a ocultar todo o tráfego que não seja HTTP com uma sub-rede de IP diferente.

Melhor prática 2: configurar seu nível de segurança seletivamente

Seu Nível de segurança estabelece o sigilo de nosso Banco de dados de reputação de IP. Para evitar interações negativas ou falsos positivos, configure o Nível de segurança por domínio para aumentar a segurança onde necessário e diminuí-la onde apropriado.

Aumentar o nível de segurança de áreas sensíveis para 'Alto'

Você pode aumentar esse nível na página Advanced Security do seu domínio ou adicionar uma Page Rule às páginas de administração ou de login para reduzir as tentativas de força bruta:

  1. Crie uma Regra de página com o padrão de URL de sua API (por exemplo, www.example.com/wp-login).
  2. Identifique a configuração de Nível de segurança.
  3. Marque a configuração como Alto.
  4. Selecione Recurso de provisão.

Diminuir o nível de segurança para caminhos ou APIs não sensíveis para reduzir os falsos positivos

Você pode diminuir esse nível para páginas gerais e tráfego de API:

  1. Crie uma Regra de página com o padrão de URL de sua API (por exemplo, www.example.com/api/*).
  2. Identifique a configuração de Nível de segurança.
  3. Coloque o nível de segurança em Baixo ou Essencialmente desligado.
  4. Selecione Recurso de provisão.

O que significam as configurações de nível de segurança?

Nossas configurações de nível de segurança estão alinhadas com pontuações de ameaça que certos endereços IP adquirem do comportamento malicioso em nossa rede. Uma pontuação de ameaça maior que 10 é considerada alta.

  • ALTO: pontuações de ameaça maiores que 0 são desafiadas.
  • MÉDIO: pontuações de ameaça maiores que 14 são desafiadas.
  • BAIXO: pontuações de ameaça maiores que 24 são desafiadas.
  • ESSENCIALMENTE DESATIVADO: pontuações de ameaça maiores que 49 são desafiadas.
  • DESATIVADO: somente Enterprise
  • Modo de defesa: Esse nível deve ser usado somente quando seu site estiver sendo atacado pelo DDoS. Os visitantes recebem uma página intersticial por cerca de cinco segundos, enquanto o site CIS analisa o tráfego e o comportamento para garantir que é um visitante legítimo que está tentando acessar seu site.O modo de defesa pode afetar algumas ações em seu domínio, como o uso de uma API. Você pode definir um nível de segurança personalizado para sua API ou qualquer outra parte do seu domínio criando uma regra de página para essa seção.

Considere a possibilidade de revisar periodicamente suas configurações de nível de segurança. É possível localizar instruções em Melhores práticas para configuração do CIS.

Melhor prática 3: ative o Web Application Firewall (WAF) com segurança

Seu WAF está disponível na seção Segurança. Aqui, percorremos essas configurações na ordem inversa para garantir que seu WAF esteja configurado da forma mais segura possível antes de ativá-lo para todo o seu domínio. Essas configurações iniciais podem reduzir falsos positivos preenchendo Eventos de segurança para ajustes adicionais. Seu WAF é atualizado automaticamente para manipular novas vulnerabilidades à medida que elas são identificadas. Para obter mais informações, consulte Usando o recurso de eventos de segurança.

O WAF protege você contra os seguintes tipos de ataques:

  • Ataque de injeção de SQL
  • Cross-site scripting
  • Falsificação de site cruzado

O WAF contém um conjunto de regras padrão, que inclui regras para impedir os ataques mais comuns. Atualmente, permitimos que você ative ou desative o WAF e faça o ajuste fino de regras específicas nos conjuntos de regras do WAF. Consulte o documento Ações do WAF para obter mais detalhes sobre o conjunto de regras e o comportamento de cada regra.

Para obter mais informações, consulte Conceitos do Web Application Firewall (WAF).

Melhor prática 4: defina suas configurações de TLS

IBM CIS funciona como um proxy reverso e oferece várias opções para criptografar seu tráfego. Como um proxy reverso, nós fechamos conexões TLS em nossos data centers e abrimos uma nova conexão TLS com seu servidor de origem.

O TLS oferece seis modos de operação listados na ordem do mais seguro para o menos seguro (Desligado):

  1. Origem autenticada pull: (somente Enterprise)
  2. Pull de origem somente HTTPS (somente Enterprise)
  3. Assinado pela autoridade de certificação de ponta a ponta (padrão e recomendado)
  4. De ponta a ponta flexível (os certificados de borda para origem podem ser autoassinados)
  5. Cliente para borda (os certificados autoassinados não criptografados de borda para origem não são suportados)
  6. Desativado (não recomendado)

Consulte Opções de TLS para obter detalhes sobre os diferentes modos de operação.

Com IBM CIS, você pode usar certificados personalizados ou pode usar um certificado curinga que é provisionado para você por CIS.

Upload de certificados customizados

Você pode carregar seu certificado personalizado clicando em Add Certificate e inserindo seu certificado, chave privada e método de pacote. Depois de carregar o certificado personalizado, você obtém compatibilidade imediata com o tráfego criptografado e mantém o controle sobre o seu certificado (por exemplo, um certificado EV (Extended Validation, validação estendida)). O site CIS não oferece suporte à fixação de certificados por meio de certificados ordenados ou universais. Se quiser usar a fixação de certificados, recomendamos que você carregue e mantenha seu próprio certificado personalizado.

Você é responsável por gerenciar seu certificado se fizer o upload de um certificado personalizado. Por exemplo, o site CIS não rastreia a data de expiração do certificado.

Pedido de certificados dedicados

CIS simplifica o gerenciamento de seus certificados, oferecendo certificados dedicados. Não é mais necessário gerar chaves privadas, criar solicitações de assinatura de certificado (CSR) ou lembrar-se de renovar os certificados. Você pode solicitar um certificado dedicado clicando em Add Certificate e solicitando um certificado curinga ou inserindo nomes de host para solicitar um certificado personalizado dedicado. Os tipos de certificados são:

  • SHA-2/ECDSA certificado assinado que usa a chave P-256,
  • SHA-2/RSA certificado assinado que usa a chave RSA de 2048 bits e
  • SHA-1/RSA certificado assinado que usa a chave RSA de 2048 bits.

CIS pode emitir certificados para todos os domínios de primeiro nível (TLDs), exceto para os seguintes:

  • .cu (Cuba)
  • .iq (Iraque)
  • .ir (Irã)
  • .kp (Coreia do Norte)
  • .sd (Sudão)
  • .ss (Sudão do Sul)
  • .ye (Iêmen)

CIS gerencia a data de expiração do certificado. Para editar os nomes de host em seu certificado dedicado customizado, reordene-os e, em seguida, exclua-os. Por exemplo, você solicita um certificado dedicado customizado com o nome de host alpha.yourdomain.com. Para incluir o nome de host beta.yourdomain.com em seu certificado dedicado customizado, solicite outro certificado dedicado customizado com os nomes de host alpha.yourdomain.com e beta.yourdomain.com. Depois disso, você deve excluir o certificado personalizado dedicado original.

Na primeira vez em que você solicita um certificado dedicado, ocorre o processo de Validação de Controle de Domínio (DCV), que gera um registro TXT correspondente. Se você excluir o registro TXT, o processo DCV ocorrerá novamente quando você solicitar outro certificado dedicado. Se você excluir um certificado dedicado, o registro TXT correspondente ao processo DCV não será excluído.

A seguir estão os erros comuns que são vistos quando você solicita certificados dedicados:

  • Error connecting to certificate service.
  • Error while requesting from certificate service.

Se você receber um erro ao solicitar certificados, atualize a página e tente novamente.

Usar um certificado provisionado

A IBM tem parceria com várias Autoridades de Certificação (CAs) para fornecer certificados curinga de domínio para nossos clientes. Pode ser necessária uma verificação manual para configurar esses certificados. Sua equipe de suporte pode ajudá-lo a executar essas etapas adicionais.

Prioridade de certificado em nossa borda

A lista a seguir indica a prioridade pela qual os certificados são exibidos em nossa borda:

  1. Customizado e transferido por upload
  2. Customizado dedicado
  3. Curinga dedicado
  4. Universal

Versão mínima do TLS

Os níveis mais altos do TLS fornecem mais segurança, mas podem evitar que os clientes se conectem ao seu site. Para obter mais informações, consulte Versão mínima do TLS.

Melhor prática 5: Configurar limitação de taxa

Use regras de limitação de taxa para proteger seu site ou API contra tráfego malicioso, bloqueando endereços IP de clientes que correspondam a um padrão URL ou que excedam um limite definido. Os principais casos de uso da limitação de taxa são os seguintes:

  • Forçar controle de acesso granular para recursos. Esse processo inclui o controle de acesso com base em critérios como agente do usuário, endereço IP, referenciador, host, país e região do mundo.
    • Limitar por agente do usuário: um caso de uso comum é limitar a taxa de pedidos executados por agentes do usuário individuais...
    • Permitir endereços IP ou ASNs específicos: Outro caso de uso quando você controla o acesso a recursos é excluir ou incluir endereços IP ou números de sistemas autônomos (ASNs) de uma regra de limitação de taxa.
    • Limite por referenciador: alguns aplicativos recebem solicitações originadas por outras fontes (por exemplo, usadas por anúncios com links para páginas de terceiros). Você pode limitar o número de solicitações geradas por páginas de referência individuais para gerenciar cotas ou evitar ataques indiretos ao DDoS.
    • Limite por host de destino: crie uma regra de limitação de taxa que use o host como uma característica de contagem.
  • Proteja contra ataques de preenchimento de credenciais e de controle de conta.
  • Limite o número de operações executadas por clientes individuais Essa ação inclui impedir a raspagem por bots, o acesso a dados confidenciais, a criação em massa de novas contas e a compra programática em plataformas de comércio eletrônico.
    • Impedir a raspagem de conteúdo (por meio de string de consulta)
    • Impedir a raspagem de conteúdo (por meio do corpo)
    • Limitar solicitações de robôs
  • Proteja as APIs REST de exaustão de recursos (ataques de DDoS de destino) e recursos de abuso em geral.
    • Evitar ataques volumétricos
    • Proteger recursos
  • Proteja as APIs do GraphQL evitando sobrecarga do servidor e limitando o número de operações.
    • Limitar o número de operações
    • Evitar sobrecarga do servidor