Comment intégrer des services DDoS tiers pour le trafic RPF exposé à Internet

Cet article explique comment intégrer des solutions de protection DDoS tierces avec une ressource publique exposée à Internet située derrière un site Cato.

Vue d'ensemble

Le port forwarding distant (RPF) de Cato est principalement conçu pour exposer des ressources d'entreprise à des utilisateurs d'entreprise connus grâce à l'approche de la liste d'autorisation. Cela signifie que vous pouvez restreindre la ressource d'entreprise aux adresses IP spécifiques autorisées à se connecter, sinon le trafic est bloqué.

Parfois, il est nécessaire de permettre l'accès à des utilisateurs inconnus et d'exposer un serveur interne via RPF publiquement sur Internet. Cela crée un risque de sécurité potentiel, car vous autorisez l'accès public aux ressources internes. Dans cette situation, nous vous recommandons de sécuriser le trafic RPF avec un service de cloud DDoS tiers devant le site. Par exemple, intégrer un WAF pour protéger le trafic HTTP entrant.

Diagramme de solution de sécurité tiers avec RPF

Diagramme_Réseau_-_RPF.png

Intégration de la solution tierce pour sécuriser le trafic RPF

Cette section explique comment configurer la ressource RPF pour ne permettre que le service de sécurité (tel que DDoS) d'y accéder. Cela ajoute une couche de sécurité significative à la ressource mise à disposition sur l'Internet public.

Voici les configurations que vous devez effectuer :

  • Dans le service cloud tiers, définissez :

    • IPs publiques utilisées par le service

    • Nom DNS pour la ressource mappée à l'adresse IP publique que Cato a attribuée à votre compte (Network > IP Allocation)

  • Dans l'application de gestion Cato, définissez une règle RPF pour rediriger le trafic vers le service cloud

    • La pile de sécurité dans le Cato Cloud ne fait pas d'inspection TLS sur le trafic RPF entrant

Pour intégrer un service de sécurité tiers pour le trafic RPF :

  1. Dans le service de sécurité tiers, définissez ces paramètres :

    1. Attribuez une adresse IP publique pour le serveur.

    2. Configurez l'IP/CNAME pour l'adresse IP pour la règle RPF externe.

  2. Dans le fournisseur DNS, configurez le domaine pour rediriger le trafic vers l'IP/CNAME à l'étape précédente.

  3. Configurez la politique pour le service de sécurité tiers (WAF, inspection TLS entrante, etc.).

  4. Dans l'application de gestion Cato, définissez une règle RPF avec ces paramètres (Security > Remote Port Forwarding):

    • IP Externe et Plage de Ports Externes pour les IPs publiques de Cato (règle séparée pour chaque IP)

    • IP Interne et Plage de Ports Internes pour la ressource interne

    • Type de Trafic est Liste d'Autorisation

    • Sources de Trafic sont les adresses IP publiques pour le service cloud (publiquement annoncées par le service de sécurité tiers)

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire