ScutumとCDNの連携について
こんにちは。Scutumサポートデスクです。
お客様よりScutumご利用中サイトにCDNの導入を検討している等のご連絡をいただくことがあります。
そこで今回は、ScutumとCDNを連携する場合の注意点などについて紹介します。
ScutumとCDNの配置
ScutumとCDNの組み合わせについて、どのような構成が良いかご質問をいただくことがありますが、CDNのコンテンツキャッシュ機能を活かすためにもほとんどのお客様でScutumの前段にCDNを導入する構成でご利用いただいています。
技術的にはScutumの前段・後段どちらにもCDNを導入することができ、どちらの構成も導入実績があります。
サイト利用者 – CDN – Scutum – オリジンサーバ の構成
以下のようなScutum前段にCDNが入る構成の場合、CDNのアクセス先(オリジン)としてScutumのCNAMEまたはIPアドレスを設定いただくことで、CDN経由でもScutumで通信を監視することができます。
なお、以前別記事内でも紹介しましたが、ScutumはHTTPリクエスト内のHostヘッダがScutum環境のFQDNと一致しているアクセスのみを受け付け、ScutumではHostヘッダは書き換えず[Scutum環境のFQDN]を維持したままウェブサーバへアクセスを行う仕様です。
そのため、CDNが後段(Scutum)にアクセスする際のHostヘッダをご確認の上、Scutumの契約FQDNをご判断ください。
CDN導入時の注意点
正しい接続元IPアドレスを認識できない可能性があります
ScutumとCDNを連携した場合、CDNのIPアドレスを接続元IPアドレスとして認識してしまうケースがあります。
Scutumは接続元のIPアドレスも検知条件の一つとしているため、CDNのIPアドレスを接続元IPアドレスと認識すると防御機能が正しく動作しなくなる可能性があります。
サイト利用者の接続元IPアドレスを認識するには
まず、Scutumで正しい接続元IPアドレスを認識するためには、CDN側でX-Forwarded-For等のヘッダにクライアントIPアドレスを必ず付与していただく必要があります。
併せて、Scutum側でCDNからのアクセスであることを認識させる設定が必要です。
ScutumでCDN経由のアクセスと認識する設定に必要な情報
設定に必要な情報は以下3点となりますので、CDN導入の際などは以下情報と共にサポートデスク宛てにご連絡をお願いします。
※代理店経由でご契約いただいているお客様は代理店様へご相談ください。
- CDNのサービス名
- CDN経由のアクセスの特徴(CDNのIPリストや固有のヘッダ等)
- CDNが付与する接続元IPアドレスのヘッダ情報(X-Forwarded-For等)
※設定には最短でも翌営業日起算で3営業日程お時間をいただきます。
設定完了後は、②のCDNからのアクセスの特徴に一致し、③のヘッダ情報が付与されている場合、③に付与されたIPアドレスを接続元IPアドレスとして扱います。
一部のCDNではデフォルトでCDN経由のアクセスと認識する設定が全環境に適用されています
主要なCDNベンダー様のサービスとは一通り連携実績があり、一部のCDNでは、上記設定がデフォルトで全環境で適用されています。
設定済みのCDNは追加設定不要なケースが多いので、詳細については、サービス名と共に個別にお問い合わせください。
Webサーバ側でサイト利用者のIPアドレスを確認するには?
上記設定が適用されている場合、ScutumではX-Forwarded-Forにサイト利用者の接続元IPアドレスを付与するため、Webサーバ側でX-Forwarded-Forを参照する設定にしていただければ、確認することができます。
Scutumが付与するX-Forwarded-For等のヘッダ情報については、「ウェブサーバ側から見た接続元IPアドレスについて」で詳しく紹介していますのでぜひご一読ください。
ご不明な点がありましたら、お気軽にScutumサポートデスクまでお問い合わせください。