Como integrar serviços DDoS de terceiros para o tráfego RPF orientado à Internet

Este artigo discute como integrar soluções de proteção DDoS de terceiros com um recurso público voltado para a Internet localizado atrás de um Site Cato.

Visão Geral

O Encaminhamento de Porta Remota (RPF) da Cato é projetado principalmente para expor recursos corporativos a usuários corporativos conhecidos com a abordagem de Lista de Permissão. Isso significa que você pode restringir o recurso corporativo a endereços IP específicos que estão permitidos para se conectar, caso contrário, o tráfego será bloqueado.

Às vezes, é necessário fornecer acesso a usuários desconhecidos e expor publicamente um Servidor interno via RPF na Internet. Isso cria um potencial Risco de Segurança, pois você está permitindo o acesso público aos recursos internos. Nessa situação, recomendamos que você proteja o tráfego RPF com um serviço de DDoS em nuvem de terceiros à frente do Site. Por exemplo, integrar um WAF para proteger o tráfego HTTP de entrada.

Diagrama da Solução de Segurança de Terceiros de Exemplo com RPF

Diagrama_de_Rede_-_RPF.png

Integração da Solução de Terceiros para Proteger o Tráfego RPF

Esta seção explica como configurar o recurso RPF para permitir apenas que o serviço de segurança (como DDoS) o acesse. Isso adiciona uma camada significativa de segurança ao recurso disponibilizado na Internet pública.

Estas são as configurações que você precisa fazer:

  • No serviço na nuvem de terceiros, defina:

    • IPs Públicos que o serviço usa

    • Nome DNS para o recurso mapeado no endereço IP público que a Cato alocou para sua conta (Network > IP Allocation)

  • No Aplicativo de Gerenciamento Cato, defina uma regra de RPF para encaminhar o tráfego para o serviço na nuvem

    • A pilha de segurança na Cato Cloud não realiza inspeção TLS no tráfego RPF de entrada

Para integrar um serviço de segurança de terceiros para o tráfego RPF:

  1. No serviço de segurança de terceiros, defina estas Configurações:

    1. Alocar um endereço IP público para o Servidor.

    2. Configurar o IP/CNAME para o endereço IP para a Regra RPF externa.

  2. No provedor de DNS, configure o domínio para encaminhar o tráfego para o IP/CNAME no passo anterior.

  3. Configurar a Política para o serviço de segurança de terceiros (WAF, inspeção TLS de entrada, etc.).

  4. No Aplicativo de Gerenciamento Cato, defina uma Regra RPF com estas Configurações (Segurança > Encaminhamento de Porta Remota):

    • IP Externo e Faixa de Porta Externa para IPs Públicos da Cato (regra separada para cada IP)

    • IP Interno e Faixa de Porta Interna para o recurso interno

    • Tipo de Tráfego é Lista de Permissão

    • Fontes de Tráfego são os endereços IP públicos para o serviço na nuvem (anunciados publicamente pelo serviço de segurança de terceiros)

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário