Ressourcen White Papers

Moderne Workloads auf Dell EMC VxRail

Verfügbarkeits- und Sicherheitsdienste in einer Infrastructure-as-a-Service-Umgebung bereitstellen

Whitepaper-Übersicht

Dell EMC VxRail bietet eine bewährte virtualisierte Umgebung für Unternehmen, die Workloads auf einer Hochleistungsplattform konsolidieren möchten. Da immer mehr Workloads, einschließlich webbasierter Microservice-Anwendungen, auf die Plattform migriert werden, müssen Infrastrukturmanager über Infrastructure-as-a-Service hinausblicken. Um die wachsende Liste an Workloads zu unterstützen, müssen sie sich nach Diensten umsehen, die Leistung, Sicherheit und Verfügbarkeit für einen unterbrechungsfreien Geschäftsbetrieb gewährleisten. Aus der Perspektive des Ökosystems konzentriert sich unser Whitepaper auf Netzwerkanwendungsdienste von F5, die Verfügbarkeit und Sicherheit für webbasierte Workloads auf VxRail bieten. Diese Anwendungsdienste verwenden F5-Software, die sich nahtlos in die VxRail VMware-Umgebung integrieren lässt, sodass die Bereitstellung, Konfiguration und Unterstützung von F5-Diensten über VxRail vCenter vereinfacht wird.

In der VxRail-Umgebung können Infrastrukturmanager Anwendungen von Legacy- und Cloud-Plattformen konsolidieren, um eine einzige, integrierte Umgebung zu erstellen, die für einen optimalen Betrieb über der Infrastruktur platziert wird. Diese Funktionen könnten internen Stakeholdern als integrierte „As-a-Service“-Umgebung angeboten werden, um Leistung und Kosteneffizienz sicherzustellen und eine nahtlose Erweiterung auf die öffentliche Cloud über VMware Cloud zu ermöglichen.

Wichtige Themen des Whitepapers:

  • Abschnitt 1: Bereitstellen von F5® Advanced Web Application Firewall™-Diensten innerhalb von VxRail
  • Abschnitt 2: Anpassen der Sicherheitsrichtlinie
  • Abschnitt 3: Konfigurieren der Hochverfügbarkeitsunterstützung für Workloads und Anwendungen
  • Abschnitt 4: Sichere und geschützte Aufbewahrung von webbasierten Assets
  • Abschnitt 5: Zukunftssicher: Nutzung von vCenter für Anwendungsservicetransparenz und Kapazitätsplanung
  • Abschnitt 6: Zusammenfassung
Abschnitt 1 – Bereitstellung von F5 Advanced Web Application Firewall-Diensten innerhalb von VxRail

In diesem Abschnitt geht es um die Verwendung der vCenter-Verwaltungsschnittstelle zum Bereitstellen und Ausrollen der Software F5 Advanced Web Application Firewall (Advanced WAF) auf VxRail. Für dieses Beispiel haben wir zwei Webserver erstellt, die eine Beispiel-Workload hosten, und Advanced WAF vor den Servern bereitgestellt. Das Beispiel wurde mit dem Ziel entwickelt, die webbasierte Arbeitslast auf den Webservern zu optimieren und zu schützen.

Abbildung 1: Ein Screenshot des VxRail vCenter
Abbildung 1: Ein Screenshot des VxRail vCenter

Beginnen Sie mit der Erstellung einer erweiterten WAF-Vorlage in VxRail vCenter, wie in Abbildung 1 dargestellt. Die Advanced WAF-Vorlage sollte im Vorlagenordner im VxRail-Datacenter aufgeführt sein. In der Vorlage wird das Image des Advanced WAF gespeichert. Die Vorlage kann verwendet werden, um den Anwendungsdienste später zu starten, was eine einfache Diensterstellung ermöglicht.

Abbildung 2: Einrichten des Advanced WAF-Dienstes mithilfe der vCenter-Schnittstelle.
Abbildung 2: Einrichten des Advanced WAF-Dienstes mithilfe der vCenter-Schnittstelle.

Klicken Sie auf die Vorlage „Advanced WAF“, wie in Abbildung 2 dargestellt. Von diesem Menü aus können Sie eine neue VM starten und dann die zu verwendenden Dienste vorbereiten. Befolgen Sie dabei bei Bedarf die in den Screenshots unten beschriebenen Schritte. Um den Bereitstellungsprozess zu vereinfachen, haben wir von jedem Schritt einzelne Screenshots beigefügt.

Um eine reibungslose Bereitstellung zu gewährleisten, befolgen Sie unbedingt die folgenden Richtlinien:

  • Erstellen Sie einen eindeutigen Namen für die VM Ihres Advanced WAF (wir haben sie hier F5-AWAF-A genannt).
  • Wählen Sie den Standort der VM aus (wir wählen VxRail Datacenter als Standardstandort aus).
  • Wählen Sie den Ziel-Rechnercluster aus (innerhalb des Clusters nennen wir ihn F5-Ressourcenpool).
  • Wählen Sie den Speicher aus (wir wählen VxRail-Virtual-SAN-DataStore).

Wenn Sie den Konfigurationsprozess abgeschlossen haben, sollten Sie Advanced WAF auf dem VxRail-Cluster mit der auf der Übersichtsseite angegebenen IP-Adresse bereitgestellt sehen, einschließlich vorab zugewiesener Rechenressourcen und Speicher. Ein Beispiel für eine erfolgreich konfigurierte Bereitstellung finden Sie in Abbildung 3.

Abbildung 3: Eine Übersichtsseite, die den auf VxRail bereitgestellten Advanced WAF-Dienst zeigt
Abbildung 3: Eine Übersichtsseite, die den auf VxRail bereitgestellten Advanced WAF-Dienst zeigt
Eine visuelle Schritt-für-Schritt-Anleitung zur Bereitstellung von Advanced WAF auf VxRail
Abbildung 4: Beim Bereitstellen erweiterter WAF-Sicherheitsdienste können Sie eine vordefinierte Dienstvorlage verwenden. Dadurch wird die Bereitstellung schneller und konsistenter.
Abbildung 4: Beim Bereitstellen erweiterter WAF-Sicherheitsdienste können Sie eine vordefinierte Dienstvorlage verwenden. Dadurch wird die Bereitstellung schneller und konsistenter.
Abbildung 5: Sie können Ihre bevorzugte erweiterte WAF-Vorlage aus dem Menü „Dienstbereitstellung“ auswählen.
Abbildung 5: Sie können Ihre bevorzugte erweiterte WAF-Vorlage aus dem Menü „Dienstbereitstellung“ auswählen.
Abbildung 6: Stellen Sie sicher, dass Sie den Speicherort der Service-VM auf das VxRail-Rechenzentrum festlegen.
Abbildung 6: Stellen Sie sicher, dass Sie den Speicherort der Service-VM auf das VxRail-Rechenzentrum festlegen.
Abbildung 7: Bestätigen Sie F5 als VM-Rechenquelle unter VxRail Datacenter.
Abbildung 7: Bestätigen Sie F5 als VM-Rechenquelle unter VxRail Datacenter.
Abbildung 8: Stellen Sie die Speicheroption auf VxRail-SAN-Datastore ein.
Abbildung 8: Stellen Sie die Speicheroption auf VxRail-SAN-Datastore ein.
Abbildung 9: Bestätigen Sie, dass alle Einstellungen korrekt sind, bevor Sie auf „Fertig stellen“ klicken.
Abbildung 9: Bestätigen Sie, dass alle Einstellungen korrekt sind, bevor Sie auf „Fertig stellen“ klicken.
Abbildung 10: Auf der Registerkarte „Zusammenfassung“ finden Sie einen Überblick über die erweiterten WAF-Einstellungen.
Abbildung 10: Auf der Registerkarte „Zusammenfassung“ finden Sie einen Überblick über die erweiterten WAF-Einstellungen.
Abschnitt 2 – Anpassen der Sicherheitsrichtlinie

Sobald die Advanced WAF-Software bereitgestellt wurde, können wir die Sicherheitsrichtlinie definieren, die zum Überprüfen des eingehenden Datenverkehrs verwendet werden soll, bevor er an die Webserver weitergeleitet wird. Advanced WAF ermöglicht Benutzern die Erstellung eigener, detaillierter Sicherheitsrichtlinien und umfasst außerdem umfangreiche Bibliotheken mit Bedrohungsinformationen und Signaturen. Diese Bibliotheken werden regelmäßig aktualisiert, um die aktuellsten Sicherheitsinformationen aufzunehmen. Auf diese Weise können Benutzer arbeitslastzentrierte Sicherheitsprofile erstellen, die durch die neuste Bedrohungsinformation unterstützt werden. Benutzer können auch den „Zuhörmodus“ aktivieren. Dieser Modus nutzt maschinelles Lernen, um eine umgebungsspezifische grundlegende Sicherheitsrichtlinie zu etablieren und dadurch unnötige Alarme durch Fehlalarme zu reduzieren.

Abbildung 11: In der F5-Konsole können Benutzer detaillierte, angepasste Sicherheitsrichtlinien für unterschiedliche Workloads anwenden, die von Advanced WAF geschützt werden sollen.
Abbildung 11: Innerhalb der F5-Konsole können Benutzer detaillierte, benutzerdefinierte Sicherheitsrichtlinien für verschiedene Workloads anwenden, die von Advanced WAF geschützt werden sollen.
Abbildung 12: Benutzer können auf Richtlinienvorlagen zugreifen, um die Gestaltung einer Sicherheitsrichtlinie zu unterstützen, die am besten zu ihrer Umgebung passt. Diese Vorlagen nutzen die Modi „Lernen“, „Alarm“ oder „Blockieren“.
Abbildung 12: Benutzer können auf Richtlinienvorlagen zugreifen, um die Gestaltung einer Sicherheitsrichtlinie zu unterstützen, die am besten zu ihrer Umgebung passt. Diese Vorlagen nutzen die Modi „Lernen“, „Alarm“ oder „Blockieren“.
Abschnitt 3 – Konfigurieren der Hochverfügbarkeitsunterstützung für Workloads und Anwendungen

Die hohe Verfügbarkeit von BIG-IP wird durch TMOS unterstützt, sodass eine einheitliche Ausfallsicherheitsmethodik und -unterstützung in allen Produktmodulen gewährleistet ist.

Die folgenden Abbildungen führen Sie durch die notwendigen Schritte zur Konfiguration Ihres Systems für hohe Verfügbarkeit. Diese Schritte umfassen:

  • Festlegen interner Netzwerkkonfigurationen (z. B. VLAN-Informationen)
  • Festlegen externer Netzwerkkonfigurationen
  • Auswählen der Konfiguration Ihres Hochverfügbarkeitsnetzwerks
  • Überprüfen und Bestätigen der Konfigurationsdetails
Abbildung 13: Konfigurieren Sie ein Failover auf Netzwerkebene für grundlegende Hochverfügbarkeit.
Abbildung 13: Konfigurieren Sie ein Failover auf Netzwerkebene für grundlegende Hochverfügbarkeit.
Abbildung 14: Konfigurieren Sie VLAN-Informationen in den internen Netzwerkeinstellungen.
Abbildung 14: Konfigurieren Sie VLAN-Informationen in den internen Netzwerkeinstellungen.
Abbildung 15: Konfigurieren Sie die externen Netzwerkeinstellungen.
Abbildung 15: Konfigurieren Sie die externen Netzwerkeinstellungen.
Abbildung 16: Schließen Sie die Hochverfügbarkeits-VLAN-Konfiguration ab.
Abbildung 16: Schließen Sie die Hochverfügbarkeits-VLAN-Konfiguration ab.
Abschnitt 4 – Sichere und geschützte Aufbewahrung webbasierter Assets

In diesem Abschnitt verwenden wir zwei Sicherheitsfunktionen – die Projektion von Benutzeranmeldeinformationen und die Blockierung von SQL-Injection –, um zu veranschaulichen, wie Schutz für webbasierte Workloads implementiert wird. Anstelle einer Schritt-für-Schritt-Anleitung haben wir eine Anleitung erstellt, die zeigt, wie diese Sicherheitsfunktionen funktionieren, Eindringlinge und Bedrohungen automatisch blockieren und so die Arbeitslasten und die Back-End-Infrastruktur schützen.

Abbildung 17: Eine Ansicht der Demo des erweiterten WAF-Dienstes zum Schutz von Benutzeranmeldeinformationen, während wir den Dienst „Anti-Fraud“ nennen und ihn im Abschnitt „Erweiterte WAF-Sicherheit“ konfigurieren.
Abbildung 17: Eine Ansicht der Demo des erweiterten WAF-Dienstes zum Schutz von Benutzeranmeldeinformationen, während wir den Dienst „Anti-Fraud“ nennen und ihn im Abschnitt „Erweiterte WAF-Sicherheit“ konfigurieren.
Schutz der Benutzeranmeldeinformationen

Data Safe ermöglicht die Verschlüsselung und Verschleierung von Benutzeranmeldeinformationen und Parameternamen (z. B. ID und Kennwort) in Echtzeit auf der Anwendungsebene. Zur Implementierung dieses Sicherheitsdienstes sind keine Codeänderungen oder Anpassungen am Quellcode der Anwendung erforderlich.

Bei webbasierten Assets oder Anwendungen mit HTTP/HTTPS-Verkehr ist die Datenverschlüsselung mit SSL der erste Schritt zum Schutz der Daten vor einer möglichen Offenlegung durch unrechtmäßige Dritte. Um die Datensicherheit zu gewährleisten reicht eine SSL-Verschlüsselung während der Übertragung nicht aus. Der Diebstahl von Anmeldeinformationen kann auch auf Clientebene erfolgen. Beispielsweise können Endbenutzer ihren Webbrowser kompromittiert haben, indem sie auf schädliche Dateien geklickt oder auf mit Malware verseuchte Websites zugegriffen haben.

Die Data Safe-Funktion kann im Abschnitt „Sicherheit“ der Advanced WAF-Konsole aktiviert werden.  Wählen Sie „Datenschutz“ und fahren Sie dann mit den Data Safe-Profilen fort:

  • Neues Profil erstellen
  • Legen Sie den Profilnamen auf „Betrugsschutz“ fest.
  • Aktivieren Sie die Verschlüsselung auf Anwendungsebene im Anti-Fraud-Profil
  • Aktivieren Sie andere Kriterien zum Schutz der Benutzeranmeldeinformationen

Wenn Data Safe aktiviert ist, können Sie die Kriterien zum Verschlüsseln von ID und Kennwort auf Clientebene für webbasierte Assets oder Dienste festlegen. Dadurch wird das Risiko einer Sicherheitsverletzung durch mit Malware infizierte Browser verringert. Durch Data Safe geschützte Anwendungen präsentieren Webseiten über Advanced WAF. Die Zeichen von ID und Passwort werden bei der Eingabe durch den Benutzer verschlüsselt. Selbst wenn ein Browser kompromittiert ist, kann die Malware lediglich die verschlüsselten Daten extrahieren, die ohne den privaten Schlüssel und nicht das eigentliche Passwort nicht entschlüsselt werden können (weitere Einzelheiten finden Sie in der Abbildung unten). Zusätzlich zum clientseitigen Anmeldeinformationsschutz auf Webebene kann Advanced WAF um einen Schutz auf mobiler Ebene für Workloads von mobilen Anwendungen erweitert werden.

Abbildung 18: Wählen Sie im Menü „Anwendungsschichtverschlüsselung“ Sicherheitsoptionen aus, um eine Ihren Anforderungen entsprechende Sicherheitsrichtlinie festzulegen.
Abbildung 18: Wählen Sie im Menü „Anwendungsschichtverschlüsselung“ Sicherheitsoptionen aus, um eine Ihren Anforderungen entsprechende Sicherheitsrichtlinie festzulegen.
Lösungsdemo: Vergleich von Diensten mit und ohne Advanced WAF

Teil A: Schutz der Benutzeranmeldeinformationen

Abbildung 19: Die obige Abbildung zeigt die Ergebnisse einer Abfrage des Felds „password.value“. Ohne Schutz könnte ein kompromittierter Client die Benutzeranmeldeinformationen Hackern preisgeben. Wenn Data Safe aktiviert ist, werden die Benutzeranmeldeinformationen bei der Eingabe verschlüsselt. Dadurch wird das Risiko einer Gefährdung der Anmeldeinformationen verringert.
Abbildung 19: Die obige Abbildung zeigt die Ergebnisse einer Abfrage des Felds „password.value“. Ohne Schutz könnte ein kompromittierter Client die Benutzeranmeldeinformationen Hackern preisgeben. Wenn Data Safe aktiviert ist, werden die Benutzeranmeldeinformationen bei der Eingabe verschlüsselt. Dadurch wird das Risiko einer Gefährdung der Anmeldeinformationen verringert.

Teil B: Bei SQL-Injection

SQL-Injection steht in der OWASP-Liste der zehn größten Bedrohungen immer weit oben. Hacker suchen im Anwendungscode nach Schwachstellen, um wichtige Daten aus der Back-End-Datenbank zu extrahieren. Der erste Schritt zur Reduzierung des Risikos einer Gefährdung durch SQL-Injection besteht in der Förderung bewährter Codierungsmethoden, um eine „sichere“ Codierung zu gewährleisten. Sie können innerhalb Ihrer Infrastruktur auch eine zusätzliche Schutzebene anwenden. Advanced WAF beinhaltet umfassende Bedrohungsinformationen und eine Bibliothek mit Bedrohungssignaturen, die eingesetzt werden können, um die webbasierten Workloads vor SQL-Injection zu schützen.

Um den Schutz vor SQL-Injection zu aktivieren, rufen Sie im Menü „Anwendungssicherheit“ den Abschnitt „Angriffssignaturen“ auf und verwenden Sie SQL als Filterschlüsselwort. In der Bedrohungssignaturdatenbank wird eine Liste mit Signaturen im Zusammenhang mit SQL-Injection angezeigt. Als diese Demo abgeschlossen war, waren 563 zugehörige Signaturen zum Schutz vor SQL-bezogenen Angriffen verfügbar. Wählen Sie alle relevanten Bedrohungssignaturen aus und fügen Sie sie Ihrer Anwendungssicherheitsrichtlinie hinzu.

Abbildung 20: Dies zeigt die umfangreiche Bibliothek mit Bedrohungssignaturen für SQL-Injection. Die Bibliothek wird regelmäßig aktualisiert, um die neuesten Bedrohungsinformationen widerzuspiegeln.
Abbildung 20: Dies zeigt die umfangreiche Bibliothek mit Bedrohungssignaturen für SQL-Injection. Die Bibliothek wird regelmäßig aktualisiert, um die neuesten Bedrohungsinformationen widerzuspiegeln.

Um den Unterschied zu veranschaulichen, zeigen die folgenden Abbildungen die Ergebnisse mit und ohne SQL-Injection-Blockierung.

Abbildung 21: Ohne SQL-Injection-Schutz gibt die Ausführung des Abfragebefehls im System gespeicherte Benutzer-ID-Daten zurück.
Abbildung 21: Ohne SQL-Injection-Schutz gibt die Ausführung des Abfragebefehls im System gespeicherte Benutzer-ID-Daten zurück.
Mit dem Schutz wird die Abfrage blockiert und stattdessen eine Fehlermeldung wie diese zurückgegeben.

Mit dem Schutz wird die Abfrage blockiert und stattdessen eine Fehlermeldung wie diese zurückgegeben.

Bei aktivierter SQL-Injection werden SQL-Anfragen blockiert, bevor sie die Datenbank erreichen. Der potenzielle Hacker erhält stattdessen eine Fehlermeldung.

Abschnitt 5 – Zukunftssicher: Nutzung von vCenter für Anwendungsdiensttransparenz und Kapazitätsplanung

VxRail bietet eine skalierbare, einfach zu verwaltende Umgebung, die es Benutzern ermöglicht, F5-Dienste problemlos bereitzustellen, zu testen und zu integrieren. In diesem Abschnitt konzentrieren wir uns auf die Nutzungsdetails von Advanced WAF und demonstrieren, wie man auf einen vollständigen Bericht seines aktuellen Status zugreift (beispielsweise CPU- und Speicherauslastung) und wie diese Informationen zur Planung zukünftiger Erweiterungen verwendet werden können. Unser Ziel ist es, sicherzustellen, dass die F5-Software das „As-a-Service“-Modell von VxRail unterstützt.

Abbildung 22: Das Advanced WAF Service Utilization Dashboard für einfache Kapazitätsplanung
Abbildung 22: Das Advanced WAF Service Utilization Dashboard für einfache Kapazitätsplanung

Wie in Abbildung 22 dargestellt, können wir innerhalb von VxRail vCenter eine detaillierte Sichtbarkeit des Nutzungsniveaus der Advanced WAF Virtual Appliance erhalten. Von hier aus können Benutzer auf Details der Advanced WAF VM zugreifen, darunter:

  • Übersichtsinformationen zu Advanced WAF (IP-Adresse, DNS-Name, CPU-Auslastung usw.)
  • Konfiguration (einschließlich VM-Einstellungen)

Für diese Advanced WAF-Demo haben wir zwei Webserver (LAMP Server 1 und LAMP Server 2) erstellt, die zur Veranschaulichung von Nutzungsszenarien verwendet werden, in denen Advanced WAF webbasierte Assets in VxRail optimiert und schützt.

F5 Advanced WAF-Ressourcennutzungsübersicht auf VxRail

Die folgenden Abbildungen zeigen die unseren Diensten zugewiesenen Ressourcen und geben den Lesern einen Einblick in die für die Demo verwendeten Ressourcen. Auf diese Weise können Infrastrukturmanager die Kapazität abschätzen, die zum Hochskalieren dieser Dienste für eine Produktionsumgebung erforderlich ist. Diese Informationen können besonders nützlich sein, wenn diese Tools in einer skalierbaren As-a-Service-Umgebung verwendet werden.

Abbildung 23: Eine Zusammenfassung der Ressourcennutzung durch Advanced WAF (CPU, Speicher, Speicher)
Abbildung 23: Eine Zusammenfassung der Ressourcennutzung durch Advanced WAF (CPU, Speicher, Speicher)
Abbildung 24: Eine Ansicht der Ressourcennutzung des F5-Dienstes, die die aktuell genutzten Ressourcen mit den insgesamt verfügbaren Ressourcen vergleicht. Dies bietet eine einfache Übersicht über die zukünftige Skalierbarkeit.
Abbildung 24: Eine Ansicht der Ressourcennutzung des F5-Dienstes, die die aktuell genutzten Ressourcen mit den insgesamt verfügbaren Ressourcen vergleicht. Dies bietet eine einfache Übersicht über die zukünftige Skalierbarkeit.
Abbildung 25: Details zu den beiden Open-Source-Ubuntu-Webservern, die für diese Demonstration eingesetzt wurden
Abbildung 25: Details zu den beiden Open-Source-Ubuntu-Webservern, die für diese Demonstration eingesetzt wurden
Abschnitt 6 – Zusammenfassung

In diesem Whitepaper haben wir gezeigt, wie die F5 Advanced Web Application Firewall (Advanced WAF) innerhalb der VxRail-Umgebung eingerichtet wird. Wir haben eine Schritt-für-Schritt-Bereitstellungsanleitung durchgearbeitet und die erweiterten WAF-Sicherheitsfunktionen anhand von Vorher-Nachher-Vergleichen veranschaulicht.

Dieses Dokument zeigt, wie Sie Software von Drittanbietern in der VxRail-Umgebung bereitstellen, indem Sie sie als Dienst einrichten, den Infrastrukturmanager in einer servicereichen Umgebung integrieren und anbieten können. Wir haben gezeigt, wie Advanced WAF in der VxRail-Umgebung konfiguriert wird, um Anwendungssicherheitsdienste für webbasierte, auf Microservices basierende Anwendungen bereitzustellen.  

VxRail ist eine leistungsstarke, skalierbare und einfach zu verwaltende Plattform, die von Infrastrukturmanagern zur Steuerung des Geschäftsbetriebs verwendet werden kann. Der Einsatz von Diensten Dritter, die eine gute Benutzererfahrung gewährleisten, ist für den Geschäftserfolg von entscheidender Bedeutung. F5 Advanced WAF bietet nahtlose Unterstützung innerhalb der VxRail-Umgebung, die auf die VMware Cloud erweitert werden kann.

Veröffentlicht am 03. August 2020
  • Auf Facebook teilen
  • Teilen mit X
  • Auf Linkedin teilen
  • Teilen per E-Mail
  • Teilen über AddThis

Verbinden mit F5

F5 Labs

Die neuesten Erkenntnisse im Bereich Anwendungsbedrohungsinformationen.

Zu F5 Labs

DevCentral

Die F5-Community für Diskussionsforen und Expertenartikel.

Zu DevCentral

F5-Newsroom

Neuigkeiten, F5-Blogs und mehr.

Zum Newsroom