Cómo integrar servicios DDoS de terceros para el tráfico RPF orientado a Internet

Este artículo discute cómo integrar soluciones de protección DDoS de terceros con un recurso público orientado a Internet ubicado detrás de un sitio Cato.

Visión general

La Redirección de Puertos Remotos (RPF) de Cato está principalmente diseñada para exponer recursos corporativos a usuarios corporativos conocidos con el enfoque de Lista de Permitidos. Esto significa que puedes restringir el recurso corporativo a las direcciones IP específicas que están permitidas para conectarse, de lo contrario el tráfico es bloqueado.

A veces es necesario proporcionar acceso a usuarios desconocidos y exponer un servidor interno vía RPF públicamente en Internet. Esto crea un riesgo de seguridad potencial, porque estás permitiendo acceso público a recursos internos. En esta situación, recomendamos que asegures el tráfico RPF con un servicio de nube DDoS de terceros delante del sitio. Por ejemplo, integrar un WAF para proteger el tráfico HTTP entrante.

Diagrama de Solución de Seguridad de Terceros de Muestra con RPF

Diagrama_de_Red_-_RPF.png

Integrando la Solución de Terceros para Asegurar el Tráfico RPF

Esta sección explica cómo configurar el recurso RPF para permitir solo que el servicio de seguridad (como DDoS) lo acceda. Esto añade una capa significativa de seguridad al recurso haciéndolo disponible sobre el Internet público.

Estas son las configuraciones que necesitas hacer:

  • En el servicio de nube de terceros define:

    • IPs públicas que el servicio usa

    • Nombre DNS para el recurso asignado a la dirección IP pública que Cato asignó a tu cuenta (Network > IP Allocation)

  • En la Aplicación de Gestión Cato define una regla RPF para redirigir el tráfico al servicio de nube

    • La pila de seguridad en el Cato Cloud no realiza inspección TLS en el tráfico RPF entrante

Para integrar un servicio de seguridad de terceros para el tráfico RPF:

  1. En el servicio de seguridad de terceros, define estas configuraciones:

    1. Asigna una dirección IP pública para el servidor.

    2. Configura el IP/CNAME para la dirección IP para la regla RPF externa.

  2. En el proveedor DNS, configura el dominio para redirigir el tráfico al IP/CNAME en el paso anterior.

  3. Configura la política para el servicio de seguridad de terceros (WAF, inspección TLS entrante, etc.).

  4. En la Aplicación de Gestión Cato define una regla RPF con estas configuraciones (Security > Remote Port Forwarding):

    • IP Externa y Rango de Puerto Externo para las IPs públicas de Cato (regla separada para cada IP)

    • IP Interna y Rango de Puerto Interno para el recurso interno

    • Tipo de Tráfico es Lista de Permitidos

    • Fuentes de Tráfico son las direcciones IP públicas para el servicio de nube (publicitadas públicamente por el servicio de seguridad de terceros)

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios