BLOG

Nueva solución de escalado automático y WAF independiente para Amazon AWS

Miniatura de Tom Atkins
Tom Atkins
Publicado el 19 de junio de 2017

Comencemos saliendo un poco del tema y hablemos del servicio de video a pedido favorito del mundo: Netflix. Entre 2009 y 2016, Netflix observó un aumento asombroso en el número de suscriptores, de 12 millones a poco más de 48 millones, añadiendo 1,43 millones de nuevos clientes a sus cuentas solo en los últimos 3 meses de 2016. Si usted tuvo la suerte de ser uno de los principales accionistas de Netflix durante ese período, probablemente se rió todo el camino al banco, pero si usted fue parte del equipo de TI encargado de proporcionar la infraestructura para respaldar este crecimiento explosivo, entonces es posible que se haya estado rascando la cabeza.

Ampliar su propio centro de datos para satisfacer el aumento de la demanda simplemente no era factible debido al capital y los gastos operativos asociados, sin mencionar los dolores de cabeza de gestión que habrían surgido. Entonces, casi al mismo tiempo, dieron un paso hacia lo desconocido y se embarcaron en un proyecto de 7 años que les permitiría trasladar todas sus operaciones a la nube de AWS, lo que les permitiría aprovechar la escalabilidad aparentemente ilimitada que el proveedor de la nube podía permitirse. Y como ya sabéis, hace poco consiguieron esta hazaña.

«Trabajo hecho», podrían pensar algunos… pero estarían equivocados. Verá, la capacidad de ampliar la escala para satisfacer una mayor demanda en el largo plazo es una cosa, pero ¿qué sucede cuando esa demanda fluctúa mucho en el corto plazo? Una encuesta reciente mostró que durante las horas pico de Internet (7 a 11 p.m.), Netflix fue responsable del 35,2% de todo el tráfico descendente en los EE. UU.; pero, como era de esperar, fuera de estas horas fueron responsables de una fracción mucho menor de esto, lo que provocó oscilaciones cíclicas en la demanda como se muestra a continuación en la Figura 1, tomada de esta publicación .

[Figura 1 – Un ejemplo de 5 días de tráfico de Netflix]

Para combatir esta enorme variación en la demanda, Netflix implementó su propio algoritmo de escalamiento automático, Scryer , que les permitió aprovisionar suficientes instancias AWS EC2 para manejar la demanda en horas pico y al mismo tiempo revocar cualquier instancia que se considerara excedente para los requisitos. Esto garantizó una calidad de servicio superior para sus usuarios durante las horas pico y al mismo tiempo minimizó su sobrecarga computacional durante los períodos de menor demanda.

Si bien este es solo un ejemplo y no tiene una conexión específica con las soluciones de F5, permite apreciar la necesidad de soluciones de escalamiento automático en la actualidad y nos lleva al corazón de esta publicación: la nueva solución de firewall de aplicação web (WAF) de escalamiento automático de F5.

En relación con esto, ¿sabías que aproximadamente el 40% de las violaciones de datos en 2016 se produjeron como resultado de ataques a la capa de aplicação ? Aunque la demanda de una aplicação puede variar día a día y hora a hora, hay algo que permanece constante: la necesidad de garantizar su protección . ¿De qué sirve una solución que se escala para soportar distintos rendimientos si en el proceso se pone en peligro la seguridad de la aplicação y sus datos? La nueva solución WAF de escalamiento automático de F5 para AWS brinda la seguridad de nivel empresarial que requieren las aplicações independientemente de los niveles de tráfico, al tiempo que garantiza que solo aprovisione y pague por los recursos de nube pública que necesita.

En esencia, la solución WAF está impulsada por BIG-IP ASM y BIG-IP LTM , probados en la industria y certificados por ICSA, que cuando se combinan, brindan protección integral contra vectores de ataque sofisticados, incluidos ataques DDoS L7, las 10 principales amenazas de OWASP y ataques de bots maliciosos. Mediante el uso de capacidades de aprendizaje automatizado, perfiles dinámicos y políticas basadas en riesgos, BIG-IP ASM también puede imponer precauciones de seguridad adicionales para evitar que incluso los ataques más complejos lleguen a los servidores de aplicação .

¿Pero qué pasa con el componente de escalamiento automático? Todo lo necesario para ejecutar la solución se ha agrupado en una plantilla de AWS CloudFormation , desde BIG-IP Virtual Editions y S3 Buckets hasta grupos de escalamiento automático y alarmas de CloudWatch , de modo que estos servicios interactúan instintivamente entre sí para brindar una solución completamente autónoma. Antes del lanzamiento, la plantilla requiere algunas entradas de parámetros por parte del usuario, como la cantidad mínima de instancias de VE que deben estar operativas en cualquier momento o los umbrales de rendimiento que, cuando se cruzan, indican al grupo de escalamiento automático que inicie o revoque instancias (generalmente el 80 % y el 20 % del rendimiento máximo de la instancia). Las instancias de VE que se crean se distribuyen en zonas de disponibilidad de AWS, como se muestra en la Figura 2, para aumentar aún más la disponibilidad.

[Figura 2 – Topología de la solución WAF de escalado automático de F5 para AWS]

La solución ha sido diseñada y completamente probada por expertos de F5 siguiendo las mejores prácticas de BIG-IP y AWS para simplificar la experiencia de implementación y permitir a los usuarios implementar sus plataformas F5 con confianza. Las instancias de BIG-IP ASM dentro de la solución se implementan con políticas de seguridad preconfiguradas creadas por F5 o con políticas personalizadas específicas para aplicações individuales.

Y eso es todo lo que realmente hay que hacer: una solución WAF completa que se adapta a las demandas de las aplicações para garantizar su protección continua contra los ataques de capa 7 más complejos. Se puede implementar directamente desde el mercado de AWS en cuestión de clics; toda esta configuración se puede implementar y poner en funcionamiento dentro de una VPC de AWS en menos de una hora.

En este punto agregaré que, si bien aquí nos centramos principalmente en la solución WAF de escalamiento automático, a través de la misma oferta de AWS Marketplace, se pueden implementar imágenes WAF independientes para proteger las aplicações con flujos de tráfico más predecibles y consistentes. Tanto las soluciones de escalamiento automático como las independientes aprovechan las instancias VE PAYG (pago por uso) con opciones de rendimiento flexibles de 25 Mbps, 200 Mbps o 1 Gbps por instancia.

Para obtener más información, puede consultar el repositorio WAF de escalado automático en GitHub, que proporciona mayor conocimiento técnico sobre cómo funciona la plantilla CloudFormation, o visitar la página del mercado aquí .

Recursos relacionados

Hoja de datos de BIG-IP ASM

F5 en la nube pública

AWS Marketplace: solución WAF de F5

Azure Marketplace: solución WAF de F5

Plantillas de soluciones en la nube: artículo de DevCentral

Actualización de un CFT de WAF de escalado automático para AWS – Artículo de DevCentral