Integración de los servicios Cloud WAF/DDoS de Imperva para el tráfico RPF expuesto a Internet

Este artículo discute cómo integrar el servicio de protección WAF/DDoS de Imperva con un recurso público expuesto a Internet ubicado detrás de un sitio de Cato.

Visión general

El Redireccionamiento de Puertos Remotos (RPF) de Cato está diseñado principalmente para exponer recursos corporativos a usuarios corporativos conocidos con el enfoque de Lista de Permisos. Esto significa que puedes restringir el recurso corporativo a las direcciones IP específicas que tienen permitido conectarse; de lo contrario, el tráfico es bloqueado.

A veces es necesario proporcionar acceso a usuarios desconocidos y exponer un servidor interno que está detrás de un sitio a través de RPF públicamente en Internet. Esto crea un posible riesgo de seguridad porque estás permitiendo el acceso público a recursos internos. Este artículo explica cómo configurar el servicio Cloud de Imperva para proporcionar protección WAF y DDoS frente al sitio para asegurar el tráfico RPF.

Diagrama de Incapsula Cloud WAF/DDoS con RPF

Diagrama_de_Red_-_RPF.png

Integrando la solución DDoS de Imperva para asegurar el tráfico RPF

Esta sección explica cómo configurar el recurso RPF para permitir únicamente que Imperva Cloud WAF/DDoS tenga acceso. Esto agrega una capa significativa de seguridad al recurso que estás disponiendo sobre Internet pública.

Definiendo la Regla RPF en el CMA

Utiliza la Aplicación de Gestión de Cato (CMA) para definir una regla RPF de lista de permisos para redirigir el tráfico a Imperva Cloud WAF. Las fuentes de tráfico para la regla están basadas en los rangos de IP de Imperva públicos.

Crea una regla separada para cada centro de datos y host que estén protegidos por Imperva Cloud.

El conjunto de seguridad en Cato Cloud no realiza inspección TLS en el tráfico RPF entrante

ejemplo_regla_imperva.png

Para definir una regla RPF de lista de permisos que redirija el tráfico a Imperva Cloud:

  1. Desde el menú de navegación, haz clic en Seguridad > Redireccionamiento de Puertos Remotos.

    La página de Redireccionamiento de Puertos Remotos se abre a tu versión no publicada existente, o a la versión más reciente publicada.

  2. Crea una nueva regla RPF con estas configuraciones:

    • IP Externa y Rango de Puertos Externos para IPs públicas de Cato (usa reglas separadas para cada IP pública)

    • IP Interna y Rango de Puertos Internos para el host o recurso interno

    • El Tipo de Tráfico es Lista de Permisos

    • Las Fuentes de Tráfico son un rango de las direcciones IP públicas de Imperva

  3. Haz clic en Guardar y luego en Publicar.

  4. En la ventana de confirmación de Publicar Revisión, haz clic en Publicar. Tu revisión se aplica a la política de cuentas.

Definiendo el Cloud WAF de Imperva para proteger el recurso RPF

En la consola de gestión de Imperva, puedes usar una de estas opciones para automatizar la creación de los registros del sitio:

Para integrar un servicio de seguridad de terceros para el tráfico RPF:

  1. Crea un registro de sitio en la consola de gestión de Imperva Cloud WAF usando el FQDN (www.tu-sitio-web.com) del sitio que deseas proteger.

  2. Configura SSL para tu sitio aprovechando un formulario de certificado SSL GlobalSign proporcionado por Imperva, o sube un certificado SSL personalizado.

  3. Obtén el CNAME proporcionado por Imperva para tu registro del sitio.

  4. Agrega las direcciones IP públicas asignadas por Cato usadas en las reglas RPF anteriores como entradas del servidor de origen en Imperva Cloud WAF, y selecciona una opción de balanceo de carga.

  5. En el proveedor de DNS, configura el dominio para redirigir el tráfico al CNAME de Incapsula en el paso 3.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios