この記事では、Catoサイトの背後に位置するインターネットに面したパブリックリソースとImperva WAF/DDoSプロテクションサービスを統合する方法について説明します。
Catoのリモートポートフォワーディング(RPF)は、主に許可リストアプローチを使用して、既知の企業ユーザーへ企業リソースを公開するために設計されています。 これは、特定のIPアドレスに対して企業リソースを制限可能であることを意味します。そうでない場合、トラフィックはブロックされます。
時には、未知のユーザーにアクセスを提供し、RPFを通じてサイトの背後にある内部サーバーを公にインターネットで公開する必要があります。 これにより、内部リソースへの公的なアクセスを許可するため、潜在的なセキュリティリスクが発生します。 この記事では、サイトの前でRPFトラフィックを保護するためにImpervaクラウドサービスを設定してWAFおよびDDoSの保護を提供する方法を説明します。
このセクションでは、ImpervaクラウドWAF/DDoSのみがRPFリソースにアクセスできるように設定する方法を説明します。 これは、パブリックインターネットで利用可能にしているリソースに重要なセキュリティ層を追加します。
Cato管理アプリケーション(CMA)を使用して、ImpervaクラウドWAFにトラフィックを転送する許可リストRPFルールを定義します。 ルールのトラフィックソースは、公的なImperva IP範囲に基づいています。
Impervaクラウドによって保護される各データセンターとホスト用に、別々のルールを作成します。
The security stack in the Cato Cloud doesn't perform TLS inspection on inbound RPF traffic
To define an allow list RPF rule that forwards traffic to the Imperva Cloud:
-
ナビゲーションメニューから、セキュリティ > リモートポートフォワーディング をクリックします。
リモートポートフォワーディングページは、既存の未公開の改訂、または最新の公開済み改訂を表示します。
-
Create a new RPF rule with these settings:
-
外部IP と 外部ポート範囲 はCato パブリック IP(各パブリック IP に対して別々のルールを使用してください)
-
内部IP と 内部ポート範囲 は内部ホストまたはリソース用
-
トラフィックタイプ は 許可リスト
-
トラフィック送信元 はパブリック Imperva IP アドレスの範囲です
-
-
保存 をクリックしてから 公開 をクリックします。
-
リビジョンを公開 確認ウィンドウで、公開をクリックします。 あなたのリビジョンはアカウントポリシーに適用されます。
Imperva管理コンソールで、サイトレコードを自動で作成するためにこれらのオプションのいずれかを使用できます:
RPFトラフィックのためのサードパーティセキュリティサービス統合:
-
保護したいサイトのFQDN の完全修飾ドメイン名(www.your-website.com)を使用して Imperva Cloud WAF 管理コンソールでサイトレコードを作成します。
-
SSLを設定し、Impervaが提供するGlobalSign SSL証明書フォームを利用するか、カスタムSSL証明書をアップロードします。
-
あなたのサイトレコード用のImpervaがプロビジョニングしたCNAMEを取得します。
-
上記のRPFルールで使用されるCato割り当てパブリックIPアドレスを、Imperva Cloud WAFの 出元サーバーエントリとして追加し、負荷分散オプションを選択します。
-
DNSプロバイダーで、ドメインを3ステップでIncapsula CNAMEにトラフィックを転送するように構成します。
0件のコメント
サインインしてコメントを残してください。