I'm available for business trips to other cities for projects lasting a month or longer.
Остались вопросы?
С удовольствием ответим на них в ближайшее время!
Оставьте свой телефон и мы перезвоним вам!
Или позвоните нам:
+7 (499) 322-03-63
Настройки cookie
Как развернуть SecureSphere
WAF на Azure
20 ДЕКАБРЯ 2017
Если вы размещаете приложения в облаке, вам нужна облачная система безопасности. Imperva SecureSphere Web Application Firewall (WAF) распознаёт и обезвреживает угрозы, замаскированные в трафике веб-приложений, например:
В этой статье мы рассмотрим шаги, необходимые для развертывания SecureSphere WAF для защиты существующей веб-среды на основе Azure. Imperva также предоставляет шаблон развертывания Azure Resource Manager (ARM) с быстрым запуском, который может быть полезен в качестве справочной информации для автоматизации процесса развертывания (подробнее см. «Deployment Kit ARM Template»).
- Блокирование технических атак, таких как SQL injection, cross-site scripting и remote file inclusion, которые используют уязвимости в веб-приложениях;
- Атаки бизнес-логики, такие как site scraping и comment spam;
- Атаки Botnets и DDoS; а также
- Предотвращение попыток захвата аккаунта в режиме реального времени, прежде чем мошеннические транзакции могут быть выполнены.
В этой статье мы рассмотрим шаги, необходимые для развертывания SecureSphere WAF для защиты существующей веб-среды на основе Azure. Imperva также предоставляет шаблон развертывания Azure Resource Manager (ARM) с быстрым запуском, который может быть полезен в качестве справочной информации для автоматизации процесса развертывания (подробнее см. «Deployment Kit ARM Template»).
Развертывание SecureSphere WAF на Azure
Общая архитектура
Типичное развертывание SecureSphere WAF на платформе Azure включает следующие элементы:
- SecureSphere Management Console (MX): MX требуется для определения сетевых правил, управления конфигурациями безопасности, устранения нарушений безопасности и создания отчетов
- Layer of SecureSphere WAF Gateways: это шлюзы безорасности WAF, которые обрабатывают трафик и применяют политики безопасности
- External Load Balancer: балансировщик нагрузки, распределяющий трафик между развернутыми шлюзами WAF
- Internal Load Balancer: распределяет нагрузку от шлюза безопасности между защищаемыми веб-серверами
Рисунок 1: Типичная среда развертывания Azure с SecureSphere WAF
Прежде чем вы начнете
Перед началом развертывания убедитесь, что у вас есть следующие предварительные условия:
- Файл лицензии Imperva. Лицензию можно получить от Imperva.
- Виртуальная сеть и подсети, в которых будут развернуты экземпляры WAF.
Развертывание SecureSphere Management Server
Первым шагом в развертывании Impera SecureSphere WAF является развертывание SecureSphere Management Server. Ниже приведены этапы.
- Перейдите на портал Azure: https://portal.azure.com
- В заголовках выберите Marketplace (или выберите Browse> Marketplace) и найдите пункт Imperva. Выберите последнюю версию SecureSphere Web Application Firewall.
- Начните развёртывание продукта. Укажите требуемые параметры, в том числе: Deployment name; user name; authentication details; resource group, Networking settings и Security settings. Подсказка: убедитесь, что MX недоступен из Интернета. Выберите нужный machine type . Рекомендуется указать тип A3 и выше. Более мощные типы инстансов могут улучшить производительность WAF.
- Запустите операцию «First Time Login»: Как только виртуальная машина будет готова, подключитесь к ней с помощью SSH. Операция запускается путем ввода ftl в командной строке. Следуйте инструкциям на экране. Обязательно выберите тип элемента управления . Подробную информацию о процессе FTL см. В руководстве по развертыванию SecureSphere.
- После успешного завершения операции FTL загрузите лицензию:
Войдите в веб-консоль: укажите свой браузер на https: // <IP-адрес
управления>:
8083. Подсказка: для доступа к веб-консоли может потребоваться использование
прокси-сервера, если доступ из Интернета запрещен.
Введите учетные данные администратора.
Загрузите файл лицензии в окно лицензии.
Развертывание шлюзов SecureSphere WAF
После того, как вы выполните указанные выше шаги, выполните следующие действия для развертывания высокодоступного стека шлюзов SecureSphere WAF.
- Развертывание SecureSphere WAF Gateway. Повторите шаги 1-4 из раздела «Развертывание SecureSphere Management Server».
- Чтобы обеспечить высокую доступность, добавьте все WAF-шлюзы в Availability Azure гарантирует, что машины, которые находятся в одном Availability set, находятся в полностью раздельных доменах ошибок и поэтому не уязвимы к одному и тому же локальному сбою.
- Запустите операцию «Первый вход в систему» на каждом шлюзе: Как только виртуальная машина будет готова, подключитесь к ней с помощью SSH. Операция запускается путем ввода ftl в командной строке. Следуйте инструкциям Обязательно выберите Эта операция также привяжет шлюз и сервер управления (указав IP-адрес MX). Подробную информацию о процессе FTL см. В руководстве по развертыванию SecureSphere.
Настройка сети
После того, как SecureSphere WAF MX и шлюзы находятся на месте, пришло время настроить сеть и позволить трафику поступать из внешнего балансировщика нагрузки в Внутренний балансировщик нагрузки:
- Войдите в консоль SecureSphere через веб-браузер, используя следующий путь: https: // <IP-адрес управления>: 8083 и войдите в систему.
- Поместите шлюзы в одну и ту же группу шлюзов, таким образом, все шлюзы будут применять одни и те же политики маршрутизации и безопасности.
- Для каждого шлюза в группе шлюзов создайте alias - сопоставление сетевых интерфейсов. Дайте всем алиасам в одной и той же группе шлюзов одинаковое имя. Алиасы будет использоваться при настройке сетевых правил.
- В конфигурациях дерева сайтов создайте серверную группу и веб-сервис. Серверные группы представляют собой представление одного или нескольких серверов, расположенных на определенном сайте. Веб-сервисы представляют службы, которые отслеживает SecureSphere.
- Настройка маршрутизации: В конфигурации HTTP -> Service Reverse Proxy создайте правила реверс-прокси. Каждое созданное правило направляет трафик на другой пункт назначения (например, другой внутренний балансировщик нагрузки). Подробную информацию о процессе настройки см. В руководстве по развертыванию SecureSphere.
Тестирование развертывания
После завершения процесса развёртывания, требуется выполнить проверку конфигурации.
- Для тестирования, генерируйте действительные HTTP-вызовы внешнему балансировщику нагрузки и убедитесь, что вы получили ожидаемый ответ от веб-серверов.
- Чтобы проверить конфигурацию безопасности, создайте вредоносные HTTP-запросы. Войдите в SecureSphere MX и посмотрите на панель предупреждений, чтобы проверить, не возникли ли новые нарушения. Настало время настроить Подсказка: убедитесь, что политики безопасности применяются к созданным веб-сервисам.
Тестирование развертывания
После завершения процесса развёртывания, требуется выполнить проверку конфигурации.
Когда безопасность настроена правильно, вы можете переключиться в «активный» режим и начать блокировать вредоносный трафик.
- Для тестирования, генерируйте действительные HTTP-вызовы внешнему балансировщику нагрузки и убедитесь, что вы получили ожидаемый ответ от веб-серверов.
- Чтобы проверить конфигурацию безопасности, создайте вредоносные HTTP-запросы. Войдите в SecureSphere MX и посмотрите на панель предупреждений, чтобы проверить, не возникли ли новые нарушения. Настало время настроить Подсказка: убедитесь, что политики безопасности применяются к созданным веб-сервисам
Когда безопасность настроена правильно, вы можете переключиться в «активный» режим и начать блокировать вредоносный трафик.
Читайте также: