“”/
Учебный центр NTC
Оставьте свой телефон и мы перезвоним вам!
Или позвоните нам:
+7 (499) 638 26 91

Как развернуть SecureSphere
WAF на Azure

20 ДЕКАБРЯ 2017
Если вы размещаете приложения в облаке, вам нужна облачная система безопасности. Imperva SecureSphere Web Application Firewall (WAF) распознаёт и обезвреживает угрозы, замаскированные в трафике веб-приложений, например:

  • Блокирование технических атак, таких как SQL injection, cross-site scripting и remote file inclusion, которые используют уязвимости в веб-приложениях;
  • Атаки бизнес-логики, такие как site scraping и comment spam;
  • Атаки Botnets и DDoS; а также
  • Предотвращение попыток захвата аккаунта в режиме реального времени, прежде чем мошеннические транзакции могут быть выполнены.

В этой статье мы рассмотрим шаги, необходимые для развертывания SecureSphere WAF для защиты существующей веб-среды на основе Azure. Imperva также предоставляет шаблон развертывания Azure Resource Manager (ARM) с быстрым запуском, который может быть полезен в качестве справочной информации для автоматизации процесса развертывания (подробнее см. «Deployment Kit ARM Template»).
Развертывание SecureSphere WAF на Azure
Общая архитектура
Типичное развертывание SecureSphere WAF на платформе Azure включает следующие элементы:

  • SecureSphere Management Console (MX): MX требуется для определения сетевых правил, управления конфигурациями безопасности, устранения нарушений безопасности и создания отчетов
  • Layer of SecureSphere WAF Gateways: это шлюзы безорасности WAF, которые обрабатывают трафик и применяют политики безопасности
  • External Load Balancer: балансировщик нагрузки, распределяющий трафик между развернутыми шлюзами WAF
  • Internal Load Balancer: распределяет нагрузку от шлюза безопасности между защищаемыми веб-серверами
Рисунок 1: Типичная среда развертывания Azure с SecureSphere WAF
Прежде чем вы начнете
Перед началом развертывания убедитесь, что у вас есть следующие предварительные условия:

  • Файл лицензии Imperva. Лицензию можно получить от Imperva.
  • Виртуальная сеть и подсети, в которых будут развернуты экземпляры WAF.
Развертывание SecureSphere Management Server
Первым шагом в развертывании Impera SecureSphere WAF является развертывание SecureSphere Management Server. Ниже приведены этапы.

  • Перейдите на портал Azure: https://portal.azure.com
  • В заголовках выберите Marketplace (или выберите Browse> Marketplace) и найдите пункт Imperva. Выберите последнюю версию SecureSphere Web Application Firewall.
  • Начните развёртывание продукта. Укажите требуемые параметры, в том числе: Deployment name; user name; authentication details; resource group, Networking settings и Security settings. Подсказка: убедитесь, что MX недоступен из Интернета. Выберите нужный machine type . Рекомендуется указать тип A3 и выше. Более мощные типы инстансов могут улучшить производительность WAF.
  • Запустите операцию «First Time Login»: Как только виртуальная машина будет готова, подключитесь к ней с помощью SSH. Операция запускается путем ввода ftl в командной строке. Следуйте инструкциям на экране. Обязательно выберите тип элемента управления . Подробную информацию о процессе FTL см. В руководстве по развертыванию SecureSphere.
  • После успешного завершения операции FTL загрузите лицензию: Войдите в веб-консоль: укажите свой браузер на https: // <IP-адрес управления>: 8083. Подсказка: для доступа к веб-консоли может потребоваться использование прокси-сервера, если доступ из Интернета запрещен. Введите учетные данные администратора. Загрузите файл лицензии в окно лицензии.
Развертывание шлюзов SecureSphere WAF
После того, как вы выполните указанные выше шаги, выполните следующие действия для развертывания высокодоступного стека шлюзов SecureSphere WAF.

  • Развертывание SecureSphere WAF Gateway. Повторите шаги 1-4 из раздела «Развертывание SecureSphere Management Server».
  • Чтобы обеспечить высокую доступность, добавьте все WAF-шлюзы в Availability Azure гарантирует, что машины, которые находятся в одном Availability set, находятся в полностью раздельных доменах ошибок и поэтому не уязвимы к одному и тому же локальному сбою.
  • Запустите операцию «Первый вход в систему» на каждом шлюзе: Как только виртуальная машина будет готова, подключитесь к ней с помощью SSH. Операция запускается путем ввода ftl в командной строке. Следуйте инструкциям Обязательно выберите Эта операция также привяжет шлюз и сервер управления (указав IP-адрес MX). Подробную информацию о процессе FTL см. В руководстве по развертыванию SecureSphere.
Настройка сети
После того, как SecureSphere WAF MX и шлюзы находятся на месте, пришло время настроить сеть и позволить трафику поступать из внешнего балансировщика нагрузки в Внутренний балансировщик нагрузки:

  • Войдите в консоль SecureSphere через веб-браузер, используя следующий путь: https: // <IP-адрес управления>: 8083 и войдите в систему.
  • Поместите шлюзы в одну и ту же группу шлюзов, таким образом, все шлюзы будут применять одни и те же политики маршрутизации и безопасности.
  • Для каждого шлюза в группе шлюзов создайте alias - сопоставление сетевых интерфейсов. Дайте всем алиасам в одной и той же группе шлюзов одинаковое имя. Алиасы будет использоваться при настройке сетевых правил.
  • В конфигурациях дерева сайтов создайте серверную группу и веб-сервис. Серверные группы представляют собой представление одного или нескольких серверов, расположенных на определенном сайте. Веб-сервисы представляют службы, которые отслеживает SecureSphere.
  • Настройка маршрутизации: В конфигурации HTTP -> Service Reverse Proxy создайте правила реверс-прокси. Каждое созданное правило направляет трафик на другой пункт назначения (например, другой внутренний балансировщик нагрузки). Подробную информацию о процессе настройки см. В руководстве по развертыванию SecureSphere.
Тестирование развертывания
После завершения процесса развёртывания, требуется выполнить проверку конфигурации.

  • Для тестирования, генерируйте действительные HTTP-вызовы внешнему балансировщику нагрузки и убедитесь, что вы получили ожидаемый ответ от веб-серверов.
  • Чтобы проверить конфигурацию безопасности, создайте вредоносные HTTP-запросы. Войдите в SecureSphere MX и посмотрите на панель предупреждений, чтобы проверить, не возникли ли новые нарушения. Настало время настроить Подсказка: убедитесь, что политики безопасности применяются к созданным веб-сервисам.
Когда безопасность настроена правильно, вы можете переключиться в «активный» режим и начать блокировать вредоносный трафик.
Тестирование развертывания
После завершения процесса развёртывания, требуется выполнить проверку конфигурации.

  • Для тестирования, генерируйте действительные HTTP-вызовы внешнему балансировщику нагрузки и убедитесь, что вы получили ожидаемый ответ от веб-серверов.
  • Чтобы проверить конфигурацию безопасности, создайте вредоносные HTTP-запросы. Войдите в SecureSphere MX и посмотрите на панель предупреждений, чтобы проверить, не возникли ли новые нарушения. Настало время настроить Подсказка: убедитесь, что политики безопасности применяются к созданным веб-сервисам

Когда безопасность настроена правильно, вы можете переключиться в «активный» режим и начать блокировать вредоносный трафик.
Читайте также: