Incorporación de servicios de disponibilidad y seguridad a un entorno de infraestructura como servicio
Dell EMC VxRail proporciona un entorno virtualizado probado para empresas que desean consolidar cargas de trabajo en una plataforma de alto rendimiento. A medida que más cargas de trabajo, incluidas las aplicações de microservicios web, migran a la plataforma, los administradores de infraestructura deben mirar más allá de la infraestructura como servicio. Para soportar la creciente lista de cargas de trabajo, necesitarán buscar servicios que garanticen el rendimiento, la seguridad y la disponibilidad para operaciones comerciales ininterrumpidas. Desde una perspectiva de ecosistema, nuestro informe técnico se centra en los servicios de aplicação de red de F5 que brindan disponibilidad y seguridad a las cargas de trabajo web en VxRail. Estos servicios de aplicação utilizan el software F5 que se integra perfectamente en el entorno VMware VxRail, lo que facilita el aprovisionamiento, la configuración y el soporte de los servicios F5 a través de VxRail vCenter.
En el entorno VxRail, los administradores de infraestructura pueden consolidar aplicações de plataformas heredadas y en la nube para crear un entorno único e integrado que se superpone a la infraestructura para un funcionamiento óptimo. Estas capacidades podrían ofrecerse como un entorno integrado “como servicio” para las partes interesadas internas, garantizando el rendimiento y la rentabilidad, y permitiendo una extensión perfecta a la nube pública a través de VMware Cloud.
Temas claves descritos en el documento técnico:
Esta sección se centra en el uso de la interfaz de administración de vCenter para aprovisionar e implementar el software F5 Advanced Web Aplicação Firewall (Advanced WAF) en VxRail. Para este ejemplo, hemos creado dos servidores web que alojan una carga de trabajo de muestra y hemos implementado Advanced WAF delante de los servidores. El ejemplo fue diseñado con el objetivo de optimizar y proteger la carga de trabajo web que reside en los servidores web.
Comience creando una plantilla Advanced WAF dentro de VxRail vCenter, como se muestra en la Figura 1. La plantilla Advanced WAF debe aparecer en la carpeta de plantillas en VxRail-Datacenter. La plantilla almacena la imagen del Advanced WAF; la plantilla se puede utilizar para iniciar el servicio de aplicação en el futuro, lo que permite una fácil creación del servicio.
Haga clic en la plantilla Advanced WAF como se indica en la Figura 2. Desde este menú puede iniciar una nueva VM y luego preparar los servicios que se utilizarán, consultando los pasos descritos en las capturas de pantalla a continuación según sea necesario. Hemos incluido capturas de pantalla individuales de cada paso para simplificar el proceso de implementación.
Para garantizar una implementación sin problemas, asegúrese de seguir estas pautas:
Cuando haya terminado el proceso de configuración, debería ver Advanced WAF implementado en el clúster VxRail con la dirección IP especificada en la página de resumen, incluidos los recursos de cómputo y el almacenamiento preasignados. Consulte la Figura 3 para ver un ejemplo de una implementación configurada correctamente.
Una vez implementado el software Advanced WAF , podemos definir la política de seguridad que debe utilizarse para filtrar el tráfico entrante antes de que pase por los servidores web. Advanced WAF permite a los usuarios crear sus propias políticas de seguridad granulares y también incluye amplias bibliotecas de inteligencia y firmas de amenazas. Estas bibliotecas se actualizan con frecuencia para incluir la información de seguridad más oportuna. Esto permite a los usuarios crear perfiles de seguridad centrados en la carga de trabajo que están respaldados por la información sobre amenazas más reciente. Los usuarios también pueden optar por habilitar el modo “escucha”. Este modo utiliza el aprendizaje automático para establecer una política de seguridad de base específica para el entorno, reduciendo así las alertas innecesarias activadas por falsos positivos.
BIG-IP High Availability cuenta con el respaldo de TMOS, lo que permite que la metodología de resiliencia y los soportes sean consistentes en todos los módulos del producto.
Las siguientes figuras lo guiarán a través de los pasos necesarios para configurar su sistema para alta disponibilidad. Estos pasos incluyen:
En esta sección, utilizamos dos características de seguridad, proyección de credenciales de usuario y bloqueo de inyección SQL, para ilustrar cómo implementar protección para cargas de trabajo web. En lugar de una guía paso a paso, creamos una que muestra cómo funcionan estas funciones de seguridad para bloquear intrusiones y amenazas automáticamente, manteniendo seguras las cargas de trabajo y la infraestructura del back-end.
Data Safe permite cifrar y ofuscar las credenciales de usuario y los nombres de parámetros (por ejemplo, ID y contraseña) en la capa de aplicação en tiempo real. No se requieren cambios de codificación ni ajustes al código fuente de la aplicação para implementar este servicio de seguridad.
Para los activos o aplicações web con tráfico HTTP/HTTPS, el cifrado de datos con SSL es el primer paso para proteger los datos contra una posible exposición a un tercero ilegal. El cifrado SSL durante la transferencia no es suficiente para garantizar la seguridad de datos. El robo de credenciales también podría ocurrir a nivel de cliente; por ejemplo, los usuarios finales pueden haber comprometido sus navegadores web al hacer clic en archivos dañinos o acceder a sitios infestados de malware.
La función Datos seguros se puede habilitar a través de la sección Seguridad en la consola Advanced WAF . Seleccione protección de datos y luego vaya a Perfiles de Data Safe:
Con Data Safe habilitado, puede establecer los criterios para cifrar la ID y la contraseña a nivel de cliente para activos o servicios accesibles desde la web. Esto reduce el riesgo de una violación de seguridad debido a navegadores infectados con malware. Las aplicações que están protegidas por Data Safe presentan páginas web a través de Advanced WAF. Los caracteres de identificación y contraseña se cifran a medida que el usuario los ingresa. Incluso si un navegador se ve comprometido, el malware solo podrá extraer los datos cifrados, que no se pueden descifrar sin la clave privada, en lugar de la contraseña real (consulte la ilustración a continuación para obtener más detalles). Además de la protección de credenciales de la capa web del lado del cliente, Advanced WAF se puede actualizar para incluir protección de la capa móvil para cargas de trabajo de aplicações móviles.
Parte A: Protección de credenciales para usuarios
Parte B: Sobre la inyección SQL
La inyección de SQL siempre ocupa un lugar destacado en la lista de las 10 principales amenazas de OWASP. Los piratas informáticos buscan vulnerabilidades dentro del código de la aplicação para encontrar oportunidades de extraer datos esenciales de la base de datos back-end. El primer paso para reducir el riesgo de compromiso por inyección SQL es promover las mejores prácticas de codificación para garantizar una codificación “segura y protegida”. También puede aplicar una capa adicional de protección dentro de su infraestructura. Advanced WAF incorpora inteligencia de amenazas extensa e incluye una biblioteca de firmas de amenazas, que pueden implementarse para proteger las cargas de trabajo web de la inyección de SQL.
Para habilitar la protección contra la inyección de SQL, acceda a la sección Firmas de ataque desde el menú Seguridad de la aplicação y utilice SQL como palabra clave de filtro. Verá una lista de firmas relacionadas con la inyección SQL dentro de la base de datos de firmas de amenazas. En el momento en que se completó esta demostración, había 563 firmas relacionadas disponibles para proteger contra ataques relacionados con SQL. Seleccione todas las firmas de amenazas relevantes y agréguelas a su política de seguridad de aplicação .
Para ilustrar la diferencia, las siguientes figuras muestran los resultados con y sin bloqueo de inyección SQL.
Con protección, la consulta se bloquea y en su lugar se devuelve un mensaje de error como éste.
Con la inyección SQL activada, las consultas SQL se bloquean antes de que lleguen a la base de datos. En lugar de eso, el posible hacker recibe un mensaje de error.
VxRail ofrece un entorno escalable y fácil de administrar que permite a los usuarios implementar, probar e integrar fácilmente los servicios de F5. En esta sección, nos centramos en los detalles de uso de Advanced WAF, demostrando cómo acceder a un informe completo de su estado actual (por ejemplo, utilización de CPU y memoria) y mostrando cómo se puede utilizar esta información para planificar una expansión futura. Nuestro objetivo es garantizar que el software F5 esté diseñado para soportar el modelo “como servicio” de VxRail.
Como se describe en la Figura 22, dentro de VxRail vCenter, podemos tener visibilidad granular del nivel de uso del dispositivo virtual Advanced WAF . Desde aquí, los usuarios pueden acceder a los detalles de la máquina virtual Advanced WAF , incluidos:
Para esta demostración de Advanced WAF , hemos creado 2 servidores web (servidor LAMP 1 y servidor LAMP 2) que se utilizan para ilustrar escenarios de uso en los que Advanced WAF optimiza y protege los activos web que residen en VxRail.
Las figuras a continuación muestran los recursos asignados a nuestros servicios, brindando a los lectores una idea de los recursos utilizados para la demostración. Esto permite a los administradores de infraestructura estimar la capacidad necesaria para ampliar estos servicios para un entorno de producción. Esta información puede ser especialmente útil si estas herramientas se utilizarán en un entorno de servicio escalable.
En este documento técnico, mostramos cómo configurar el Firewall de aplicação web avanzado (Advanced WAF) de F5 dentro del entorno VxRail. Recorrimos una guía de implementación paso a paso, ilustrando las características de seguridad Advanced WAF mediante comparaciones de antes y después.
Este documento demuestra cómo implementar software de terceros en el entorno VxRail configurándolo como un servicio que los administradores de infraestructura pueden integrar y ofrecer en un entorno rico en servicios. Mostramos cómo configurar Advanced WAF en el entorno VxRail para proporcionar servicios de seguridad de aplicação para aplicações basadas en microservicios orientados a la web.
VxRail es una plataforma de alto rendimiento, escalable y fácil de administrar que los administradores de infraestructura pueden utilizar para impulsar las operaciones comerciales. Implementar servicios de terceros que garanticen una buena experiencia de usuario es fundamental para el éxito empresarial. F5 Advanced WAF proporciona soporte perfecto dentro del entorno VxRail que puede extenderse a VMware Cloud.
La comunidad de F5 para foros de discusión y artículos de expertos.