Как развернуть SecureSphere WAF на Azure

//Как развернуть SecureSphere WAF на Azure

Как развернуть SecureSphere WAF на Azure

Если вы размещаете приложения в облаке, вам нужна облачная система безопасности. Imperva SecureSphere Web Application Firewall (WAF) распознаёт и обезвреживает угрозы, замаскированные в трафике веб-приложений, например:

  • Блокирование технических атак, таких как SQL injection, cross-site scripting и remote file inclusion, которые используют уязвимости в веб-приложениях;
  • Атаки бизнес-логики, такие как site scraping и comment spam;
  • Атаки Botnets и DDoS; а также
  • Предотвращение попыток захвата аккаунта в режиме реального времени, прежде чем мошеннические транзакции могут быть выполнены.

В этой статье мы рассмотрим шаги, необходимые для развертывания SecureSphere WAF для защиты существующей веб-среды на основе Azure. Imperva также предоставляет шаблон развертывания Azure Resource Manager (ARM) с быстрым запуском, который может быть полезен в качестве справочной информации для автоматизации процесса развертывания (подробнее см. «Deployment Kit ARM Template»).

Развертывание SecureSphere WAF на Azure

Общая архитектура

Типичное развертывание SecureSphere WAF на платформе Azure включает следующие элементы (см. Рис. 1):

  • SecureSphere Management Console (MX): MX требуется для определения сетевых правил, управления конфигурациями безопасности, устранения нарушений безопасности и создания отчетов.
  • Layer of SecureSphere WAF Gateways: это шлюзы безорасности WAF, которые обрабатывают трафик и применяют политики безопасности.
  • External Load Balancer: балансировщик нагрузки, распределяющий трафик между развернутыми шлюзами WAF.
  • Internal Load Balancer: распределяет нагрузку от шлюза безопасности между защищаемыми веб-серверами.

Рисунок 1: Типичная среда развертывания Azure с SecureSphere WAF

Прежде чем вы начнете

Перед началом развертывания убедитесь, что у вас есть следующие предварительные условия:

  • Файл лицензии Imperva. Лицензию можно получить от Imperva.
  • Виртуальная сеть и подсети, в которых будут развернуты экземпляры WAF.

Развертывание SecureSphere Management Server

Первым шагом в развертывании Impera SecureSphere WAF является развертывание SecureSphere Management Server. Ниже приведены этапы.

  1. Перейдите на портал Azure: https://portal.azure.com
  2. В заголовках выберите Marketplace (или выберите Browse> Marketplace) и найдите пункт Imperva . Выберите последнюю версию SecureSphere Web Application Firewall.
  3. Начните развёртывание продукта. Укажите требуемые параметры, в том числе:

a. Deployment name; user name; authentication details; resource group.

b. Networking settings.

c. Security settings.

Подсказка: убедитесь, что MX недоступен из Интернета.

d. Выберите нужный machine type . Рекомендуется указать тип A3 и выше. Более мощные типы инстансов могут улучшить производительность WAF.

4. Запустите операцию «First Time Login»:

a. Как только виртуальная машина будет готова, подключитесь к ней с помощью SSH.

b. Операция запускается путем ввода ftl в командной строке. Следуйте инструкциям на экране. Обязательно выберите тип элемента управления . Подробную информацию о процессе FTL см. В руководстве по развертыванию SecureSphere.

5. После успешного завершения операции FTL загрузите лицензию:

a. Войдите в веб-консоль: укажите свой браузер на https: // <IP-адрес управления>: 8083 .

Подсказка: для доступа к веб-консоли может потребоваться использование прокси-сервера, если доступ из Интернета запрещен.

b. Введите учетные данные администратора.

c. Загрузите файл лицензии в окно лицензии.

Развертывание шлюзов SecureSphere WAF

После того, как вы выполните указанные выше шаги, выполните следующие действия для развертывания высокодоступного стека шлюзов SecureSphere WAF.

  1. Развертывание SecureSphere WAF Gateway. Повторите шаги 1-4 из раздела «Развертывание SecureSphere Management Server».
  2. Чтобы обеспечить высокую доступность, добавьте все WAF-шлюзы в Availability set.

Azure гарантирует, что машины, которые находятся в одном Availability set, находятся в полностью раздельных доменах ошибок и поэтому не уязвимы к одному и тому же локальному сбою.

3. Запустите операцию «Первый вход в систему» ​​на каждом шлюзе:

a. Как только виртуальная машина будет готова, подключитесь к ней с помощью SSH.

b. Операция запускается путем ввода ftl в командной строке. Следуйте инструкциям на экране.

Обязательно выберите тип компонента Gateway.

Эта операция также привяжет шлюз и сервер управления (указав IP-адрес MX). Подробную информацию о процессе FTL см. В руководстве по развертыванию SecureSphere.

Настройка сети

После того, как SecureSphere WAF MX и шлюзы находятся на месте, пришло время настроить сеть и позволить трафику поступать из внешнего балансировщика нагрузки в Внутренний балансировщик нагрузки:

  1. Войдите в консоль SecureSphere через веб-браузер, используя следующий путь: https: // <IP-адрес управления>: 8083 и войдите в систему.
  2. Поместите шлюзы в одну и ту же группу шлюзов, таким образом, все шлюзы будут применять одни и те же политики маршрутизации и безопасности.

3. Для каждого шлюза в группе шлюзов создайте alias — сопоставление сетевых интерфейсов. Дайте всем алиасам в одной и той же группе шлюзов одинаковое имя. Алиасы будет использоваться при настройке сетевых правил.

4. В конфигурациях дерева сайтов создайте серверную группу и веб-сервис. Серверные группы представляют собой представление одного или нескольких серверов, расположенных на определенном сайте. Веб-сервисы представляют службы, которые отслеживает SecureSphere.

5. Настройка маршрутизации:

1. В конфигурации HTTP -> Service Reverse Proxy создайте правила реверс-прокси. Каждое созданное правило направляет трафик на другой пункт назначения (например, другой внутренний балансировщик нагрузки). Подробную информацию о процессе настройки см. В руководстве по развертыванию SecureSphere.

Тестирование развертывания

После завершения процесса развёртывания, требуется выполнить проверку конфигурации.

  1. Для тестирования, генерируйте действительные HTTP-вызовы внешнему балансировщику нагрузки и убедитесь, что вы получили ожидаемый ответ от веб-серверов.
  2. Чтобы проверить конфигурацию безопасности, создайте вредоносные HTTP-запросы. Войдите в SecureSphere MX и посмотрите на панель предупреждений, чтобы проверить, не возникли ли новые нарушения. Настало время настроить конфигурацию безопасности.

Подсказка: убедитесь, что политики безопасности применяются к созданным веб-сервисам.

Когда безопасность настроена правильно, вы можете переключиться в «активный» режим и начать блокировать вредоносный трафик.

Советы по развертыванию

Полезные подсказки для развертывания:

Auto-Scaling:

Можно развертывать среду автоматического масштабирования SecureSphere. Автоматическое масштабирование позволяет автоматически запускать новые экземпляры WAF при увеличении нагрузки. Дополнительная информация содержится в документации SecureSphere.

Static IP Addresses:

по умолчанию новые машины в Azure создаются с использованием динамического частного IP-адреса. Поскольку это может вызвать проблемы связи между различными элементами SecureSphere, если IP-адрес изменится после перезагрузки, вы должны настроить назначение IP-адреса как статическое после развертывания машины.

External Load Balancers and Session Stickiness:

поскольку шлюз SecureSphere WAF чувствителен к состоянию сеанса (session state), настоятельно рекомендуется включить привязку сеанса (session stickiness) на внешнем балансировщике нагрузки.

VNet-to-VNet Connection:

в ситуации, когда имеется несколько VNet, и есть шлюзы для всех VNet, но только один сервер управления на одном из VNet, вы можете использовать соединение VNet-VNet для обеспечения связи между VNets, чтобы сервер управления мог соединить все шлюзы. Для получения дополнительной информации см. Документацию Microsoft Azure .

TLS/SSL Termination:

Терминирование TLS / SSL может существенно повлиять на производительность. Терминирование туннеля SSL перед WAF значительно улучшит производительность. Для этой цели можно использовать Azure Application Gateway (или любое другое решение для балансировки нагрузки).

Automated Deployment:

процесс развертывания может быть автоматизирован. Может использоваться Azure Resource Manager или любой другой инструмент управления. SecureSphere предоставляет широкую поддержку REST API для целей автоматизации.

Deployment Kit ARM Template:

Imperva предоставляет Deployment Kit ARM template для быстрого развертывания. Набор создаст виртуальную сеть, консоль управления SecureSphere и масштабируемую WAF, в том числе балансировщик нагрузки. Этот шаблон может быть полезен в качестве справочной информации для автоматизации процесса развертывания. Чтобы развернуть комплект развертывания:

  • Перейдите на портал Azure: https://portal.azure.com
  • Из меню выберите Marketplace (или выберите Browse> Marketplace). Найдите комплект развертывания SecureSphere WAF и следуйте инструкциям.

Узнайте больше о Imperva SecureSphere для Azure.

Подробнее

Авторизованный курс «Защита веб приложений Web Application Security».

2017-10-10T15:18:46+00:00 Окт. 10, 2017|Imperva|

Оставить комментарий