Documentation

Webアプリケーションファイアウォール

DXP Cloudは、組み込みのWebアプリケーションファイアウォール(WAF)機能を提供し、機密データの損失、攻撃者によるシステムのハイジャック、およびダウンタイムにつながる可能性のある高度な Layer 7攻撃からアプリケーションを保護します。

ここでは、DXP Cloudの機能が一般的な攻撃から保護するWAFをどのように形成するかを学びます。

図1:Webアプリケーションファイアウォールは、一般的な攻撃から保護します。

注釈

カスタムファイアウォールルールは、 共有クラスタサブスクリプション では使用できません。

プライベートネットワーク

DXP Cloudのサービスはインターネットに公開されていません。 DXP Cloudのすべての環境には独自のプライベートネットワークがあり、同じ環境のサービスが、パブリックインターネットとやり取りすることなく、安全な通信プロトコルを介して通信できます。 このプライベートネットワークの設定については、 プライベートネットワーク を参照してください。

パブリックロードバランサー

DXP Cloud Public Load Balancer( [Layer 7] )は、TLS(1.0〜1.2)プロトコルを使用したプロキシされたHTTP(S)接続を介して環境のサービスへのインターネットアクセスを提供します。 各ロードバランサーには、カスタムドメインの設定に使用できる静的IPがあります。 HTTP(S)負荷分散は、IPスプーフィングと大規模なSYNフラッド攻撃を吸収して保護できます。 この機能はDXP Cloudに組み込まれており、ユーザー設定は必要ありません。

CDNオフロード

DXPクラウドの CDN は、クライアントとオリジンサーバーの間のプロキシとして機能する。 CDNは、キャッシュ可能なコンテンツを、バックエンドサーバー(インスタンス)に送信するのではなく、ユーザーに近いPOP(Points-of-Presence)からキャッシュして提供します。

キャッシュ可能なコンテンツに対するDDoS攻撃が発生した場合、要求はオリジンサーバーではなく世界中のPOPに送信されるため、攻撃を吸収するためのより多くの場所が提供されます。

IP許可および拒否リスト

許可リストと拒否リストを使用してIPアドレスまたは範囲に基づいて着信トラフィックを許可またはブロックする機能は、DXP Cloudが提供する Webserver (Nginx) service を介して利用できます。

ユーザーは nginx.conf ファイルの stream コンテキストまたは server ブロック内の allow および deny ディレクティブを利用できます。

stream {
...
    server {
        listen 12345;
        deny 192.168.1.2;
        allow 192.168.1.1/24;
        allow 2001:0db8::/32;
        deny all;
    }
}を指定します。