この記事では、Catoサイトの裏にあるインターネット向けの公共リソースとサードパーティのDDoS保護ソリューションを統合する方法について説明します。
Catoのリモートポートフォワーディング (RPF)は主に、許可リストアプローチを使用して、企業のリソースを既知の企業ユーザーに公開するために設計されています。 これは、特定のIPアドレスに対して企業リソースを制限し、許可されていないトラフィックをブロックすることができます。
時には、未知のユーザーにアクセスを提供し、RPF経由で内部サーバーを公開する必要があります。 これは、内部リソースへの公共アクセスを許可することで潜在的なセキュリティリスクを引き起こします。 この状況では、サイトの前にサードパーティのDDoSクラウドサービスを使用してRPFトラフィックを保護することをお勧めします。 例えば、インバウンドHTTPトラフィックを保護するためにWAFを統合することです。
このセクションでは、RPFリソースを構成してセキュリティサービス(例えば、DDoS)だけがアクセスできるようにする方法を説明します。 これは、公共のインターネットを介して利用可能なリソースに重要なセキュリティ層を追加します。
以下は、あなたが行う必要があるコンフィギュレーションです:
-
サードパーティのクラウドサービスで定義:
-
サービスが使用するパブリックIP
-
Catoがあなたのアカウントに割り当てたパブリックIPアドレスにマッピングされるリソースのDNS名前(ネットワーク > IPの割り当て)
-
-
Cato管理アプリケーションで、トラフィックをクラウドサービスに転送するためのRPFルールを定義します
-
Catoクラウドのセキュリティスタックは、入ってくるRPFトラフィックに対してTLSインスペクションを実行しません
-
RPFトラフィックのためにサードパーティのセキュリティサービスを統合するには:
-
サードパーティのセキュリティサービスで、次の設定を定義します:
-
サーバーにパブリックIPアドレスを割り当てます。
-
外部RPFルールのためにIPアドレスのIP/CNAMEを設定します。
-
-
DNSプロバイダで、前のステップのIP/CNAMEにトラフィックを転送するようドメインを設定します。
-
サードパーティのセキュリティサービス(WAF、インバウンドTLSインスペクションなど)のためのポリシーを設定します。
-
Cato管理アプリケーションで、以下の設定を使用してRPFルールを定義します(セキュリティ > リモートポートフォワーディング):
-
外部IPと外部ポート範囲はCatoパブリックIPのためのものです(各IPごとに別ルール)
-
内部IPと内部ポート範囲は内部リソースのためのものです
-
トラフィックタイプは許可リストです
-
トラフィック送信元はクラウドサービスの公開IPアドレスです(サードパーティーのセキュリティサービスによって公開されます)
-
0件のコメント
サインインしてコメントを残してください。