IP 許可リストポリシー
IP 許可リストポリシーでは、デプロイされたエンドポイントにアクセス可能な IP アドレスの明示的なリストを作成できます。このリスト内にない IP アドレスは拒否されます。
IP 許可リストポリシーが割り当てられている場合、公開エンドポイントを通過するすべての IP アドレスをリストに追加する必要があります。
IP 許可リストポリシー違反は、DoS ポリシーの認証エラーにエスカレーションします。DoS ポリシーでプロトコルエラーを処理する方法を設定できます。
| このソースは IP アドレスベースです。攻撃者がソース IP アドレスを偽装できる場合、これらの対策で攻撃を防ぐことはできません。 |
API ゲートウェイポリシーとの違い
IP 許可リストポリシーは、エンドポイントへの接続が許可されているすべての IP アドレスのリストです。このリストはすべてのアプリケーションに適用されます。API リストごとに API ゲートウェイ許可リストポリシーをセットアップできます。
例
a.a.a.a、y.y.y.y、および z.z.z.z を許可するように IP 許可リストポリシーをセットアップできます。
その後、API-1 (/api1) で x.x.x.x を許可する API 許可リストポリシーを使用し、API-2 (/api2) で y.y.y.y および z.z.z.z を許可する別のポリシーを使用します。
-
IP アドレス
w.w.w.w は IP 許可リストポリシーでリストに登録されていないため、両方の API で拒否される。 -
/api1 を要求する IP アドレス y.y.y.y は、IP 許可リストポリシーで許可され、/api1 での API 許可リストポリシーによって拒否される。 -
/api2 を要求する IP アドレス y.y.y.y は、IP 許可リストポリシーで許可され、/api2 での API 許可リストポリシーによって許可される。
前提条件
セキュリティポリシーを設定し、使用するには、以下が必要です。
-
Anypoint Platform アカウントの Anypoint Security - Edge エンタイトルメント。
Management Center に [Security (セキュリティ)] が表示されない場合は、各自のアカウントで Anypoint Security が有効になるようにカスタマーサクセスマネージャーに依頼してください。
-
インバウンドトラフィックが設定された VM/ベアメタルの Runtime Fabric。Anypoint Runtime Fabric は、Mule アプリケーションや API ゲートウェイのデプロイメントおよびオーケストレーションを自動化するコンテナサービスです。
Runtime Fabric のドキュメントを参照してください。
Runtime Fabric には、Anypoint Platform Platinum 以上のレベルのサブスクリプションが必要です。
-
Runtime Fabric のインバウンドトラフィックを有効化し、Mule アプリケーションと API ゲートウェイがインバウンド接続でリスンできるようにします。
IP 許可リストポリシーを設定する
-
[Anypoint Security] に移動します。
-
[Create Policy (ポリシーを作成)] をクリックして [IP Allowlist (IP 許可リスト)] を選択します。
-
[Name (名前)] 項目にポリシーの名前を追加します。
-
[IP Allowlist (IP 許可リスト)] で、[Add IP (IP を追加)] をクリックします。
-
リストに登録する IP アドレスの範囲を挿入します。IP アドレスの範囲には CIDR 形式を使用する必要があります。
たとえば、IP アドレス 10.111.0.0/24 を使用して、10.111.0.0 ~ 10.111.0.254 のアドレスをリストに登録します。
IP アドレスの範囲をさらに追加するには範囲、[Add IP (IP を追加)] をもう一度クリックします。 -
[Save Policy (ポリシーを保存)] をクリックします。