IP ホワイトリストポリシー

IP ホワイトリストポリシーでは、デプロイされたエンドポイントにアクセス可能な IP の明示的なリストを作成できます。このホワイトリスト内にない IP アドレスは拒否されます。

IP ホワイトリストポリシーが割り当てられている場合、公開エンドポイントを通過するすべての IP アドレスをホワイトリストに登録する必要があります。

IP ホワイトリストポリシー違反は、DoS ポリシーの認証エラーにエスカレーションします。​DoS ポリシー​でプロトコルエラーを処理する方法を設定できます。

このソースは IP ベースです。攻撃者が自分のソース IP アドレスを偽装できる場合、これらの対策で攻撃を防ぐことはできません。

API ゲートウェイポリシーとの違い

IP ホワイトリストポリシーは、エンドポイントへの接続が許可されているすべての IP アドレスのリストです。このホワイトリストはすべてのアプリケーションに適用されます。API リストごとに API ゲートウェイホワイトリストポリシーをセットアップできます。

a.a.a.a​、​y.y.y.y​、および ​z.z.z.z​ を許可するように IP ホワイトリストポリシーをセットアップできます。
その後、API-1 (​/api1​) で ​x.x.x.x​ を許可する API ホワイトリストポリシーを使用し、API-2 (​/api2​) で ​y.y.y.y​ および ​z.z.z.z​ を許可する別のポリシーを使用します。

  • IP アドレス ​w.w.w.w​ は IP ホワイトリストポリシーでホワイトリストに登録されていないため、両方の API で拒否される。

  • /api1​ を要求する IP アドレス ​y.y.y.y​ は、IP ホワイトリストポリシーで許可され、​/api1​ での API ホワイトリストポリシーによって拒否される。

  • /api2​ を要求する IP アドレス ​y.y.y.y​ は、IP ホワイトリストポリシーで許可され、​/api2​ での API ホワイトリストポリシーによって許可される。

IP ホワイトリストポリシーを設定する

  1. [Anypoint Security]​ に移動し、​[Create Policy (ポリシーを作成)]​ をクリックして ​[IP Whitelist (IP ホワイトリスト)]​ を選択します。

  2. [Name (名前)]​ 項目にポリシーの名前を追加します。

  3. [IP White List (IP ホワイトリスト)]​ で、​[Add IP (IP を追加)]​ をクリックします。

  4. ホワイトリストに登録する IP アドレスの範囲を挿入します。IP アドレスの範囲には CIDR 形式を使用する必要があります。
    たとえば、IP アドレス 10.111.0.0/24 を使用して、​10.111.0.0​ ~ ​10.111.0.254​ のアドレスをホワイトリストに登録します。
    IP アドレスの範囲をさらに追加するには、​[Add IP (IP を追加)]​ をもう一度クリックします。

  5. [Save Policy (ポリシーを保存)]​ をクリックします。

Was this article helpful?

💙 Thanks for your feedback!

Edit on GitHub