Edge Security Acceleration:Transformasi Terkelola

Ikhtisar

Setelah Anda mengaktifkan Transformasi Terkelola, ESA menambahkan serangkaian header permintaan asal umum dan header respons keamanan di titik keberadaan (POPs). Alur kerjanya sebagai berikut:

• Header permintaan HTTP (Klien → ESA → server asal): Saat POP menerima permintaan klien, header permintaan HTTP tertentu ditambahkan berdasarkan konfigurasi Anda sebelum meneruskan permintaan ke server asal. Header tersebut meliputi:

  Jenis	Header yang disertakan	Deskripsi
  Tambahkan Header IP Klien Asli	ali-real-client-ip	Mencatat alamat IP asal klien yang membangun koneksi TCP. Header ini ditambahkan oleh ESA di POP dan lebih andal dibandingkan header X-Forwarded-For, yang dapat dipalsukan oleh klien.
  Tambahkan header lokasi pengunjung	ali-ip-country ali-ip-city	Menanyakan database geolokasi IP berdasarkan alamat IP asal klien dan menambahkan kode negara/wilayah serta kota yang sesuai sebagai nilai header. Nilai header tersebut merupakan kode negara/wilayah dua huruf Alpha-2 yang didefinisikan dalam ISO 3166-1. Misalnya, ali-ip-country=cn menunjukkan bahwa klien berlokasi di Daratan Tiongkok.
  Tambahkan header permintaan keamanan	Tls-Hash Tls-Ja3 Tls-Ja4	Menganalisis informasi proses jabat tangan TLS klien untuk menghasilkan sidik jari JA3 dan JA4. Sidik jari ini digunakan untuk mengidentifikasi jenis klien atau mendeteksi bot. Header tersebut mencakup Tls-Hash, Tls-Ja3, dan Tls-Ja4. Header sidik jari TLS hanya memiliki nilai untuk situs pada paket Enterprise.

• Header respons HTTP (ESA → Klien): Saat ESA menerima respons dari server asal, fitur ini menambahkan serangkaian header respons keamanan standar berdasarkan konfigurasi Anda sebelum mengembalikan respons ke klien.

  Catatan

  Jika respons server asal sudah berisi header keamanan dengan nama yang sama, ESA secara default akan menimpa nilai header dari server asal guna memastikan konsistensi kebijakan.

  Jenis	Header yang disertakan	Deskripsi
  Tambahkan header respons keamanan	x-content-type-options: nosniff	Memberikan perlindungan terhadap serangan kebingungan tipe Multipurpose Internet Mail Extensions (MIME). Header ini mengharuskan browser untuk secara ketat mengikuti tipe yang dideklarasikan dalam header respons Content-Type. Nilai nosniff mengaktifkan mode ketat.
  	x-xss-protection: 1; mode=block	Memberikan perlindungan terhadap serangan skrip lintas situs (XSS) reflektif, di mana skrip berbahaya disisipkan melalui parameter URL. Nilai 1 mengaktifkan penyaringan XSS. Nilai mode=block mencegah halaman dirender jika serangan terdeteksi.
  	x-frame-options: SAMEORIGIN	Membatasi izin penyematan halaman untuk melindungi dari serangan clickjacking. Nilai SAMEORIGIN hanya mengizinkan halaman disematkan oleh halaman dari origin yang sama. Misalnya, halaman dari example.com hanya dapat disarangkan dalam halaman lain dari example.com.
  	referrer-policy: same-origin	Mengontrol kebocoran informasi header Referer. Ini mencegah jalur perilaku pengguna terpapar selama permintaan lintas asal. Nilai same-origin hanya mengirim Referer lengkap untuk permintaan dari origin yang sama. Referer tidak dikirim untuk permintaan lintas asal.
  	expect-ct: max-age=86400, enforce	Digunakan untuk mendeteksi sertifikat abnormal. Nilai max-age=86400 menetapkan periode validitas kebijakan menjadi 24 jam. Nilai enforce memaksa browser menolak koneksi yang tidak memenuhi persyaratan Certificate Transparency.

Konfigurasikan informasi klien untuk analisis permintaan

Anda dapat secara otomatis menambahkan header HTTP yang berisi alamat IP asal klien, geolokasi, dan sidik jari TLS ke permintaan asal. Hal ini memungkinkan aplikasi asal Anda memperoleh konteks lebih lengkap mengenai klien.

Konfigurasikan header respons keamanan untuk meningkatkan keamanan klien

Anda dapat secara otomatis menambahkan serangkaian header keamanan standar ke respons klien guna melindungi dari serangan seperti skrip lintas situs (XSS) dan clickjacking, sehingga meningkatkan keamanan aplikasi web Anda.