Integração dos Serviços Imperva Cloud WAF/DDoS para Tráfego RPF Voltado para a Internet

Este artigo discute como integrar o serviço de proteção WAF/DDoS da Imperva com um recurso público voltado para a Internet localizado atrás de um site Cato.

Visão Geral

O Encaminhamento de Porta Remota (RPF) da Cato é projetado principalmente para expor recursos corporativos a usuários corporativos conhecidos com a abordagem de Lista de Permissão. Isso significa que você pode restringir o recurso corporativo aos endereços IP específicos que são permitidos para se conectar, caso contrário, o tráfego é bloqueado.

Às vezes é necessário fornecer acesso a usuários desconhecidos e expor um servidor interno que está atrás de um site via RPF publicamente na Internet. Isso cria um risco potencial de segurança porque você está permitindo o acesso público a recursos internos. Este artigo explica como configurar o serviço Imperva Cloud para fornecer proteção WAF e DDoS em frente ao site para proteger o tráfego RPF.

Diagrama do Incapsula Cloud WAF/DDoS com RPF

Diagrama_de_Rede_-_RPF.png

Integrando a Solução DDoS da Imperva para Proteger o Tráfego RPF

Esta seção explica como configurar o recurso RPF para permitir apenas que o Imperva Cloud WAF/DDoS tenha acesso. Isso adiciona uma camada significativa de segurança ao recurso que você está disponibilizando na Internet pública.

Definindo a Regra RPF no CMA

Use o Aplicativo de Gerenciamento Cato (CMA) para definir uma regra RPF de lista de permissão para redirecionar o tráfego para o Imperva Cloud WAF. As Fontes de Tráfego para a regra são baseadas nos intervalos de IP públicos da Imperva.

Crie uma regra separada para cada centro de dados e host que são protegidos pelo Imperva Cloud.

A pilha de segurança na Cato Cloud não executa inspeção TLS no tráfego RPF de entrada

exemplo_regra_imperva.png

Para definir uma regra RPF de lista de permissão que redireciona o tráfego para o Imperva Cloud:

  1. No menu de navegação, clique em Segurança > Encaminhamento de Porta Remota.

    A página Encaminhamento de Porta Remota se abre para sua revisão existente não publicada, ou para a revisão mais recente publicada.

  2. Crie uma nova regra RPF com estas configurações:

    • IP Externo e Faixa de Porta Externa para IPs Públicos da Cato (use regras separadas para cada IP Público)

    • IP Interno e Faixa de Porta Interna para o Host ou Recurso Interno

    • Tipo de Trânsito é Lista de Permissão

    • Fontes de Tráfego são um intervalo dos endereços IP públicos da Imperva

  3. Clique em Salvar e depois em Publicar.

  4. Na janela de confirmação Publicar Revisão, clique em Publicar. Sua revisão é aplicada à política da conta.

Definindo o Cloud WAF da Imperva para Proteger o Recurso RPF

No console de gerenciamento da Imperva, você pode usar uma destas opções para automatizar a criação dos registros do site:

Para integrar um serviço de segurança de terceiros para o tráfego RPF:

  1. Crie um registro de site no Imperva Cloud WAF console de gerenciamento usando o Nome de domínio totalmente qualificado (FQDN) do site que você deseja proteger (www.seu-site.com).

  2. Configure SSL para seu site usando um formulário de certificado SSL GlobalSign fornecido pela Imperva, ou faça upload de um certificado SSL personalizado.

  3. Obtenha o CNAME provisionado pela Imperva para seu registro no site.

  4. Adicione os endereços IP públicos alocados pela Cato usados nas regras RPF acima como as entradas do servidor de origem no Imperva Cloud WAF, e selecione uma opção de balanceamento de carga.

  5. No provedor DNS, configure o domínio para redirecionar o tráfego para o CNAME Incapsula no passo 3.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário