Intégration des services Cloud WAF/DDoS d'Imperva pour le trafic RPF exposé à Internet

Cet article explique comment intégrer le service de protection WAF/DDoS d'Imperva avec une ressource publique exposée à Internet située derrière un site Cato.

Vue d'ensemble

Le Redirectionnement de Port Distant (RPF) de Cato est principalement conçu pour exposer les ressources d'entreprise à des utilisateurs corporatifs connus avec l'approche de Liste d'Autorisation. Cela signifie que vous pouvez restreindre la ressource d'entreprise aux adresses IP spécifiques autorisées à se connecter, sinon, le trafic est bloqué.

Parfois, il est nécessaire de fournir un accès à des utilisateurs inconnus et d'exposer un serveur interne situé derrière un site via RPF publiquement sur Internet. Cela crée un risque potentiel de sécurité car vous autorisez l'accès public à des ressources internes. Cet article explique comment configurer le service Cloud d'Imperva pour fournir une protection WAF et DDoS en face du site pour sécuriser le trafic RPF.

Diagramme de Cloud WAF/DDoS Incapsula avec RPF

Intégration de la solution DDoS d'Imperva pour protéger le trafic RPF

Cette section explique comment configurer la ressource RPF pour permettre uniquement à Imperva Cloud WAF/DDoS d'y accéder. Cela ajoute un niveau significatif de sécurité à la ressource que vous mettez à disposition sur Internet public.

Définir la règle RPF dans le CMA

Utilisez l'application de gestion de Cato (CMA) pour définir une règle RPF de liste d'autorisation pour rediriger le trafic vers Imperva Cloud WAF. Les sources de trafic pour la règle sont basées sur les plages d'IP publics d'Imperva.

Créez une règle distincte pour chaque centre de données et hôte protégés par Imperva Cloud.

La pile de sécurité dans le Cato Cloud n'effectue pas d'inspection TLS sur le trafic RPF entrant

Pour définir une règle RPF de liste d'autorisation qui redirige le trafic vers Imperva Cloud :

Dans le menu de navigation, cliquez sur Sécurité > Redirectionnement de Port Distant.

La page de redirectionnement de port distant s'ouvre sur votre version non publiée existante ou sur la dernière version publiée.
Créez une nouvelle règle RPF avec ces paramètres :
- IP Externe et Plage de Ports Externes pour les IPs publiques de Cato (utilisez des règles séparées pour chaque IP publique)
- IP Interne et Plage de Ports Internes pour le hôte ou la ressource interne
- Le Type de Trafic est Liste d'Autorisation
- Les Sources de Trafic sont une plage des adresses IP publiques d'Imperva
Cliquez sur Enregistrer puis Publier.
Dans la fenêtre de confirmation Publier Révision, cliquez sur Publier. Votre révision est appliquée à la politique de comptes.

Définir le Cloud WAF d'Imperva pour protéger la ressource RPF

Dans la console de gestion d'Imperva, vous pouvez utiliser l'une de ces options pour automatiser la création des enregistrements de sites :

Pour intégrer un service de sécurité tiers pour le trafic RPF :

Créer un enregistrement de site dans la console de gestion Imperva Cloud WAF en utilisant le FQDN (www.votre-site-web.com) du site que vous souhaitez protéger.
Configurez SSL pour votre site en utilisant un formulaire de certificat SSL GlobalSign fourni par Imperva, ou téléchargez un certificat SSL personnalisé.
Obtenez le CNAME fourni par Imperva pour votre enregistrement de site.
Ajoutez les adresses IP publiques allouées par Cato utilisées dans les règles RPF ci-dessus comme entrées du serveur d'origine dans Imperva Cloud WAF, et sélectionnez une option de répartition de charge.
Chez le fournisseur de DNS, configurez le domaine pour rediriger le trafic vers le CNAME Incapsula à l'étape 3.