Neue Auto Scaling- und Standalone-WAF-Lösung für Amazon AWS
Lassen Sie uns etwas abseits vom Thema mit einer Diskussion über den weltweit beliebtesten Video-On-Demand-Dienst beginnen: Netflix. Zwischen 2009 und 2016 verzeichnete Netflix einen atemberaubenden Anstieg seiner Abonnentenzahl von 12 Millionen auf knapp über 48 Millionen und konnte allein in den letzten drei Monaten des Jahres 2016 1,43 Millionen Neukunden gewinnen. Wenn Sie das Glück hatten, zu diesem Zeitpunkt einer der Hauptaktionäre von Netflix zu sein, haben Sie sich wahrscheinlich auf dem Weg zur Bank ins Fäustchen gelacht. Waren Sie jedoch Teil des IT-Teams, das die Aufgabe hatte, die Infrastruktur für dieses explosive Wachstum bereitzustellen, haben Sie sich wahrscheinlich am Kopf gekratzt.
Die Skalierung des eigenen Rechenzentrums zur Deckung der steigenden Nachfrage war aufgrund der damit verbundenen Kapital- und Betriebskosten einfach nicht machbar, ganz zu schweigen von den damit verbundenen Verwaltungsproblemen. Etwa zur selben Zeit wagten sie also den Schritt ins Ungewisse und starteten ein 7-Jahres-Projekt, in dessen Rahmen sie sämtliche Betriebsabläufe in die AWS-Cloud überführten und so die scheinbar unbegrenzte Skalierbarkeit nutzen konnten, die der Cloud-Anbieter bieten konnte. Und wie Sie vielleicht wissen, haben sie dieses Kunststück vor Kurzem vollbracht.
„Aufgabe erledigt“, denken manche vielleicht … aber da liegen sie falsch. Die Fähigkeit, die Produktion zu steigern, um einer langfristig gestiegenen Nachfrage gerecht zu werden, ist eine Sache. Was passiert jedoch, wenn diese Nachfrage kurzfristig stark schwankt? Einer kürzlich durchgeführten Umfrage zufolge war Netflix während der Internet-Stoßzeiten (19–23 Uhr) für 35,2 % des gesamten Downstream-Verkehrs in den USA verantwortlich. Außerhalb dieser Zeiten entfiel allerdings – wenig überraschend – nur ein viel kleinerer Anteil davon auf das Unternehmen. Dies führte zu zyklischen Schwankungen bei der Nachfrage, wie in Abbildung 1 unten dargestellt, die diesem Beitrag entnommen wurde.
Um diese enormen Schwankungen in der Nachfrage zu bewältigen, implementierte Netflix mit Scryer einen eigenen automatischen Skalierungsalgorithmus. Dieser ermöglichte es dem Unternehmen, ausreichend AWS EC2-Instanzen bereitzustellen, um die Nachfrage in der Hauptverkehrszeit zu bewältigen und gleichzeitig alle Instanzen zu widerrufen, die als überflüssig erachtet wurden. Dadurch wurde den Benutzern während der Spitzenzeiten eine erstklassige Servicequalität gewährleistet und gleichzeitig der Rechenaufwand außerhalb der Spitzenzeiten minimiert.
Dies ist zwar nur ein Beispiel und hat keinen konkreten Bezug zu den Lösungen von F5, aber es verdeutlicht die Notwendigkeit automatisch skalierender Lösungen in der heutigen Zeit und führt uns zum Kern dieses Beitrags – der neuen automatisch skalierenden Web Application Firewall (WAF)-Lösung von F5.
Wussten Sie in diesem Zusammenhang, dass etwa 40 % der Datenschutzverletzungen im Jahr 2016 auf Angriffe auf Anwendungsebene zurückzuführen waren? Auch wenn die Nachfrage nach einer Anwendung täglich und stündlich schwanken kann, bleibt eines konstant: die Notwendigkeit, ihren Schutz zu gewährleisten. Was nützt eine Lösung, die skalierbar ist, um unterschiedliche Durchsätze zu unterstützen, wenn dabei die Sicherheit der Anwendung und ihrer Daten gefährdet wird? Die neue automatisch skalierende WAF-Lösung von F5 für AWS bietet die unternehmensweite Sicherheit, die Anwendungen unabhängig vom Verkehrsaufkommen benötigen, und stellt gleichzeitig sicher, dass Sie nur die öffentlichen Cloud-Ressourcen bereitstellen und bezahlen, die Sie benötigen.
Im Kern basiert die WAF-Lösung auf den branchenerprobten und ICSA-zertifizierten Technologien BIG-IP ASM und BIG-IP LTM , die in Kombination umfassenden Schutz vor komplexen Angriffsvektoren bieten, darunter L7-DDoS-Angriffe, OWASP-Top-10-Bedrohungen und bösartige Bot-Angriffe. Mithilfe automatisierter Lernfunktionen, dynamischer Profilerstellung und risikobasierter Richtlinien kann BIG-IP ASM außerdem zusätzliche Sicherheitsvorkehrungen treffen, um selbst die komplexesten Angriffe davon abzuhalten, die Anwendungsserver zu erreichen.
Aber was ist mit der automatischen Skalierungskomponente? Alles, was zum Ausführen der Lösung erforderlich ist, wurde in einer AWS CloudFormation-Vorlage gebündelt, von BIG-IP Virtual Editions und S3 Buckets bis hin zu Auto Scaling-Gruppen und CloudWatch-Alarmen , sodass diese Dienste instinktiv miteinander interagieren, um eine vollständig autonome Lösung bereitzustellen. Vor dem Start erfordert die Vorlage die Eingabe einiger Parameter durch den Benutzer, z. B. die Mindestanzahl von VE-Instanzen, die jederzeit betriebsbereit sein sollten, oder die Durchsatzschwellenwerte, bei deren Überschreiten die Auto-Scaling-Gruppe anweist, Instanzen zu starten oder zu widerrufen (normalerweise 80 % und 20 % des maximalen Instanzdurchsatzes). Um die Verfügbarkeit weiter zu erhöhen, werden hochgefahrene VE-Instanzen auf AWS-Verfügbarkeitszonen verteilt, wie in Abbildung 2 dargestellt.
Die Lösung wurde von F5-Experten unter Einhaltung der Best Practices von BIG-IP und AWS entwickelt und umfassend getestet, um die Bereitstellung zu vereinfachen und es Benutzern zu ermöglichen, ihre F5-Plattformen sicher bereitzustellen. BIG-IP ASM-Instanzen innerhalb der Lösung werden entweder mit vorkonfigurierten, von F5 erstellten Sicherheitsrichtlinien oder mit benutzerdefinierten Richtlinien bereitgestellt, die auf einzelne Anwendungen zugeschnitten sind.
Und das ist auch schon alles: Eine vollständige WAF-Lösung, die sich entsprechend den Anforderungen einer Anwendung skalieren lässt und so kontinuierlichen Schutz vor den komplexesten Layer-7-Angriffen gewährleistet. Dieses gesamte Setup kann mit nur wenigen Klicks direkt vom AWS-Marktplatz aus bereitgestellt werden und lässt sich in weniger als einer Stunde in einem AWS VPC implementieren und betriebsbereit machen.
An dieser Stelle möchte ich hinzufügen, dass wir uns hier zwar in erster Linie auf die automatisch skalierende WAF-Lösung konzentrieren, über dasselbe AWS Marketplace-Angebot jedoch auch eigenständige WAF-Images bereitgestellt werden können, um Anwendungen mit vorhersehbareren und konsistenteren Datenverkehrsflüssen zu schützen. Sowohl die Auto-Scaling- als auch die Standalone-Lösungen nutzen PAYG-VE-Instanzen (Pay-as-you-go) mit flexiblen Durchsatzoptionen von entweder 25 Mbit/s, 200 Mbit/s oder 1 Gbit/s pro Instanz.
Weitere Informationen finden Sie im Autoscale-WAF-Repository auf GitHub, das tiefere technische Einblicke in die Funktionsweise der CloudFormation-Vorlage bietet. Alternativ können Sie hier die Marktplatzseite besuchen.
Verwandte Ressourcen
AWS Marketplace – F5 WAF-Lösung
Azure Marketplace – F5 WAF-Lösung
Vorlagen für Cloudlösungen – DevCentral-Artikel
Aktualisieren einer Auto Scale WAF CFT für AWS – DevCentral-Artikel