Recursos Libros blancos

Cargas de trabajo modernas en Dell EMC VxRail

Incorporación de servicios de disponibilidad y seguridad a un entorno de infraestructura como servicio

Resumen del informe técnico

Dell EMC VxRail proporciona un entorno virtualizado probado para empresas que desean consolidar cargas de trabajo en una plataforma de alto rendimiento. A medida que más cargas de trabajo, incluidas las aplicações de microservicios web, migran a la plataforma, los administradores de infraestructura deben mirar más allá de la infraestructura como servicio. Para soportar la creciente lista de cargas de trabajo, necesitarán buscar servicios que garanticen el rendimiento, la seguridad y la disponibilidad para operaciones comerciales ininterrumpidas. Desde una perspectiva de ecosistema, nuestro informe técnico se centra en los servicios de aplicação de red de F5 que brindan disponibilidad y seguridad a las cargas de trabajo web en VxRail. Estos servicios de aplicação utilizan el software F5 que se integra perfectamente en el entorno VMware VxRail, lo que facilita el aprovisionamiento, la configuración y el soporte de los servicios F5 a través de VxRail vCenter.

En el entorno VxRail, los administradores de infraestructura pueden consolidar aplicações de plataformas heredadas y en la nube para crear un entorno único e integrado que se superpone a la infraestructura para un funcionamiento óptimo. Estas capacidades podrían ofrecerse como un entorno integrado “como servicio” para las partes interesadas internas, garantizando el rendimiento y la rentabilidad, y permitiendo una extensión perfecta a la nube pública a través de VMware Cloud.

Temas claves descritos en el documento técnico:

  • Sección 1: Implementación de servicios de F5® Advanced Web Aplicação Firewall™ dentro de VxRail
  • Sección 2: Personalización de la política de seguridad
  • Sección 3: Configuración del soporte de alta disponibilidad para cargas de trabajo y aplicações
  • Sección 4: Mantener seguros los activos web
  • Sección 5: Preparado para el futuro: Aprovechar vCenter para la visibilidad del servicio de aplicação y la planificación de la capacidad
  • Sección 6: resumen
Sección 1: Implementación de servicios de firewall de aplicação web avanzado de F5 dentro de VxRail

Esta sección se centra en el uso de la interfaz de administración de vCenter para aprovisionar e implementar el software F5 Advanced Web Aplicação Firewall (Advanced WAF) en VxRail. Para este ejemplo, hemos creado dos servidores web que alojan una carga de trabajo de muestra y hemos implementado Advanced WAF delante de los servidores. El ejemplo fue diseñado con el objetivo de optimizar y proteger la carga de trabajo web que reside en los servidores web.

Figura 1: Una captura de pantalla del vCenter de VxRail
Figura 1: Una captura de pantalla del vCenter de VxRail

Comience creando una plantilla Advanced WAF dentro de VxRail vCenter, como se muestra en la Figura 1. La plantilla Advanced WAF debe aparecer en la carpeta de plantillas en VxRail-Datacenter. La plantilla almacena la imagen del Advanced WAF; la plantilla se puede utilizar para iniciar el servicio de aplicação en el futuro, lo que permite una fácil creación del servicio.

Figura 2: Configuración del servicio Advanced WAF mediante la interfaz vCenter.
Figura 2: Configuración del servicio Advanced WAF mediante la interfaz vCenter.

Haga clic en la plantilla Advanced WAF como se indica en la Figura 2. Desde este menú puede iniciar una nueva VM y luego preparar los servicios que se utilizarán, consultando los pasos descritos en las capturas de pantalla a continuación según sea necesario. Hemos incluido capturas de pantalla individuales de cada paso para simplificar el proceso de implementación.

Para garantizar una implementación sin problemas, asegúrese de seguir estas pautas:

  • Crea un nombre único para la VM de tu WAF avanzado (aquí la llamamos F5-AWAF-A).
  • Seleccione la ubicación de la VM (seleccionamos VxRail Datacenter como ubicación predeterminada).
  • Seleccionar el clúster de cómputo de destino (lo llamamos F5 Resource Pool dentro del clúster).
  • Seleccionamos el almacenamiento (elegimos VxRail-Virtual-SAN-DataStore).

Cuando haya terminado el proceso de configuración, debería ver Advanced WAF implementado en el clúster VxRail con la dirección IP especificada en la página de resumen, incluidos los recursos de cómputo y el almacenamiento preasignados. Consulte la Figura 3 para ver un ejemplo de una implementación configurada correctamente.

Figura 3: Una página de resumen que muestra el servicio Advanced WAF implementado en VxRail
Figura 3: Una página de resumen que muestra el servicio Advanced WAF implementado en VxRail
Una guía visual paso a paso para implementar Advanced WAF en VxRail
Figura 4: Al implementar servicios de seguridad Advanced WAF , puede optar por utilizar una plantilla de servicio predefinida. Hacer esto hará que la implementación sea más rápida y más consistente.
Figura 4: Al implementar servicios de seguridad Advanced WAF , puede optar por utilizar una plantilla de servicio predefinida. Hacer esto hará que la implementación sea más rápida y más consistente.
Figura 5: Puede seleccionar su plantilla Advanced WAF preferida desde el menú de implementación del servicio.
Figura 5: Puede seleccionar su plantilla Advanced WAF preferida desde el menú de implementación del servicio.
Figura 6: Asegúrese de establecer la ubicación de la VM de servicio en VxRail Datacenter.
Figura 6: Asegúrese de establecer la ubicación de la VM de servicio en VxRail Datacenter.
Figura 7: Confirme F5 como la fuente de cómputo de la máquina virtual en VxRail Datacenter.
Figura 7: Confirme F5 como la fuente de cómputo de la máquina virtual en VxRail Datacenter.
Figura 8: Establezca la opción de almacenamiento en VxRail-SAN-Datastore.
Figura 8: Establezca la opción de almacenamiento en VxRail-SAN-Datastore.
Figura 9: Confirme que todas las configuraciones sean correctas antes de hacer clic en Finalizar.
Figura 9: Confirme que todas las configuraciones sean correctas antes de hacer clic en Finalizar.
Figura 10: Consulte la pestaña Resumen para obtener una descripción general de la configuración Advanced WAF .
Figura 10: Consulte la pestaña Resumen para obtener una descripción general de la configuración Advanced WAF .
Sección 2 – Personalización de la política de seguridad

Una vez implementado el software Advanced WAF , podemos definir la política de seguridad que debe utilizarse para filtrar el tráfico entrante antes de que pase por los servidores web. Advanced WAF permite a los usuarios crear sus propias políticas de seguridad granulares y también incluye amplias bibliotecas de inteligencia y firmas de amenazas. Estas bibliotecas se actualizan con frecuencia para incluir la información de seguridad más oportuna. Esto permite a los usuarios crear perfiles de seguridad centrados en la carga de trabajo que están respaldados por la información sobre amenazas más reciente. Los usuarios también pueden optar por habilitar el modo “escucha”. Este modo utiliza el aprendizaje automático para establecer una política de seguridad de base específica para el entorno, reduciendo así las alertas innecesarias activadas por falsos positivos.

Figura 11: Dentro de la consola F5, los usuarios pueden aplicar políticas de seguridad granulares y personalizadas para diferentes cargas de trabajo que Advanced WAF tiene la tarea de proteger.
Figura 11: Dentro de la consola F5, los usuarios pueden aplicar políticas de seguridad granulares y personalizadas para diferentes cargas de trabajo que Advanced WAF tiene la tarea de proteger.
Figura 12: Los usuarios pueden acceder a plantillas de políticas para guiar el diseño de una política de seguridad que se adapte mejor a su entorno. Estas plantillas utilizan los modos Aprender, Alarma o Bloquear.
Figura 12: Los usuarios pueden acceder a plantillas de políticas para guiar el diseño de una política de seguridad que se adapte mejor a su entorno. Estas plantillas utilizan los modos Aprender, Alarma o Bloquear.
Sección 3 – Configuración del soporte de alta disponibilidad para cargas de trabajo y aplicações

BIG-IP High Availability cuenta con el respaldo de TMOS, lo que permite que la metodología de resiliencia y los soportes sean consistentes en todos los módulos del producto.

Las siguientes figuras lo guiarán a través de los pasos necesarios para configurar su sistema para alta disponibilidad. Estos pasos incluyen:

  • Configuración de configuraciones de red interna (por ejemplo, información de VLAN)
  • Configuración de configuraciones de red externa
  • Cómo elegir su configuración de red de alta disponibilidad
  • Revisar y confirmar los detalles de configuración
Figura 13: Configurar la conmutación por error a nivel de red para lograr alta disponibilidad básica.
Figura 13: Configurar la conmutación por error a nivel de red para lograr alta disponibilidad básica.
Figura 14: Configure la información de VLAN dentro de la configuración de la red interna.
Figura 14: Configure la información de VLAN dentro de la configuración de la red interna.
Figura 15: Configurar los ajustes de red externa.
Figura 15: Configurar los ajustes de red externa.
Figura 16: Finalizar la configuración de VLAN de alta disponibilidad.
Figura 16: Finalizar la configuración de VLAN de alta disponibilidad.
Sección 4 – Protección de los activos web

En esta sección, utilizamos dos características de seguridad, proyección de credenciales de usuario y bloqueo de inyección SQL, para ilustrar cómo implementar protección para cargas de trabajo web. En lugar de una guía paso a paso, creamos una que muestra cómo funcionan estas funciones de seguridad para bloquear intrusiones y amenazas automáticamente, manteniendo seguras las cargas de trabajo y la infraestructura del back-end.

Figura 17: Una vista de la demostración del servicio Advanced WAF sobre protección de credenciales de usuario, donde denominamos al servicio “Antifraude” y lo configuramos dentro de la sección de seguridad Advanced WAF .
Figura 17: Una vista de la demostración del servicio Advanced WAF sobre protección de credenciales de usuario, donde denominamos al servicio “Antifraude” y lo configuramos dentro de la sección de seguridad Advanced WAF .
Protección de credenciales para usuarios

Data Safe permite cifrar y ofuscar las credenciales de usuario y los nombres de parámetros (por ejemplo, ID y contraseña) en la capa de aplicação en tiempo real. No se requieren cambios de codificación ni ajustes al código fuente de la aplicação para implementar este servicio de seguridad.

Para los activos o aplicações web con tráfico HTTP/HTTPS, el cifrado de datos con SSL es el primer paso para proteger los datos contra una posible exposición a un tercero ilegal. El cifrado SSL durante la transferencia no es suficiente para garantizar la seguridad de datos. El robo de credenciales también podría ocurrir a nivel de cliente; por ejemplo, los usuarios finales pueden haber comprometido sus navegadores web al hacer clic en archivos dañinos o acceder a sitios infestados de malware.

La función Datos seguros se puede habilitar a través de la sección Seguridad en la consola Advanced WAF .  Seleccione protección de datos y luego vaya a Perfiles de Data Safe:

  • Crear un nuevo perfil
  • Establezca el nombre del perfil en Antifraude
  • Habilitar el cifrado de la capa de aplicação dentro del perfil antifraude
  • Habilitar otros criterios para proteger las credenciales del usuario

Con Data Safe habilitado, puede establecer los criterios para cifrar la ID y la contraseña a nivel de cliente para activos o servicios accesibles desde la web. Esto reduce el riesgo de una violación de seguridad debido a navegadores infectados con malware. Las aplicações que están protegidas por Data Safe presentan páginas web a través de Advanced WAF. Los caracteres de identificación y contraseña se cifran a medida que el usuario los ingresa. Incluso si un navegador se ve comprometido, el malware solo podrá extraer los datos cifrados, que no se pueden descifrar sin la clave privada, en lugar de la contraseña real (consulte la ilustración a continuación para obtener más detalles). Además de la protección de credenciales de la capa web del lado del cliente, Advanced WAF se puede actualizar para incluir protección de la capa móvil para cargas de trabajo de aplicações móviles.

Figura 18: Elija las opciones de seguridad en el menú Cifrado de la capa de aplicação para establecer una política de seguridad adecuada a sus necesidades.
Figura 18: Elija las opciones de seguridad en el menú Cifrado de la capa de aplicação para establecer una política de seguridad adecuada a sus necesidades.
Demostración de la solución: Comparación del servicio con y sin Advanced WAF

Parte A: Protección de credenciales para usuarios

Figura 19: La ilustración anterior muestra los resultados de una consulta al campo password.value. Sin protección, un cliente comprometido podría exponer las credenciales del usuario a los piratas informáticos. Con Data Safe habilitado, las credenciales del usuario se cifrarán a medida que se ingresen, lo que reduce el riesgo de que se vean comprometidas.
Figura 19: La ilustración anterior muestra los resultados de una consulta al campo password.value. Sin protección, un cliente comprometido podría exponer las credenciales del usuario a los piratas informáticos. Con Data Safe habilitado, las credenciales del usuario se cifrarán a medida que se ingresen, lo que reduce el riesgo de que se vean comprometidas.

Parte B: Sobre la inyección SQL

La inyección de SQL siempre ocupa un lugar destacado en la lista de las 10 principales amenazas de OWASP. Los piratas informáticos buscan vulnerabilidades dentro del código de la aplicação para encontrar oportunidades de extraer datos esenciales de la base de datos back-end. El primer paso para reducir el riesgo de compromiso por inyección SQL es promover las mejores prácticas de codificación para garantizar una codificación “segura y protegida”. También puede aplicar una capa adicional de protección dentro de su infraestructura. Advanced WAF incorpora inteligencia de amenazas extensa e incluye una biblioteca de firmas de amenazas, que pueden implementarse para proteger las cargas de trabajo web de la inyección de SQL.

Para habilitar la protección contra la inyección de SQL, acceda a la sección Firmas de ataque desde el menú Seguridad de la aplicação y utilice SQL como palabra clave de filtro. Verá una lista de firmas relacionadas con la inyección SQL dentro de la base de datos de firmas de amenazas. En el momento en que se completó esta demostración, había 563 firmas relacionadas disponibles para proteger contra ataques relacionados con SQL. Seleccione todas las firmas de amenazas relevantes y agréguelas a su política de seguridad de aplicação .

Figura 20: Esto muestra la extensa biblioteca de firmas de amenazas de inyección SQL. La biblioteca se actualiza con frecuencia para reflejar la información sobre amenazas más reciente.
Figura 20: Esto muestra la extensa biblioteca de firmas de amenazas de inyección SQL. La biblioteca se actualiza con frecuencia para reflejar la información sobre amenazas más reciente.

Para ilustrar la diferencia, las siguientes figuras muestran los resultados con y sin bloqueo de inyección SQL.

Figura 21: Sin protección contra inyección SQL, la ejecución del comando de consulta devuelve datos de ID de usuario almacenados dentro del sistema.
Figura 21: Sin protección contra inyección SQL, la ejecución del comando de consulta devuelve datos de ID de usuario almacenados dentro del sistema.
Con protección, la consulta se bloquea y en su lugar se devuelve un mensaje de error como éste.

Con protección, la consulta se bloquea y en su lugar se devuelve un mensaje de error como éste.

Con la inyección SQL activada, las consultas SQL se bloquean antes de que lleguen a la base de datos. En lugar de eso, el posible hacker recibe un mensaje de error.

Sección 5 – Preparados para el futuro: Aprovechar vCenter para la visibilidad del servicio de aplicação y la planificación de la capacidad

VxRail ofrece un entorno escalable y fácil de administrar que permite a los usuarios implementar, probar e integrar fácilmente los servicios de F5. En esta sección, nos centramos en los detalles de uso de Advanced WAF, demostrando cómo acceder a un informe completo de su estado actual (por ejemplo, utilización de CPU y memoria) y mostrando cómo se puede utilizar esta información para planificar una expansión futura. Nuestro objetivo es garantizar que el software F5 esté diseñado para soportar el modelo “como servicio” de VxRail.

Figura 22: El panel de utilización de servicios Advanced WAF para una fácil planificación de la capacidad
Figura 22: El panel de utilización de servicios Advanced WAF para una fácil planificación de la capacidad

Como se describe en la Figura 22, dentro de VxRail vCenter, podemos tener visibilidad granular del nivel de uso del dispositivo virtual Advanced WAF . Desde aquí, los usuarios pueden acceder a los detalles de la máquina virtual Advanced WAF , incluidos:

  • Información general sobre Advanced WAF (dirección IP, nombre DNS, uso de CPU, etc.)
  • Configuración (incluida la configuración de la máquina virtual)

Para esta demostración de Advanced WAF , hemos creado 2 servidores web (servidor LAMP 1 y servidor LAMP 2) que se utilizan para ilustrar escenarios de uso en los que Advanced WAF optimiza y protege los activos web que residen en VxRail.

Descripción general del uso de recursos de F5 Advanced WAF en VxRail

Las figuras a continuación muestran los recursos asignados a nuestros servicios, brindando a los lectores una idea de los recursos utilizados para la demostración. Esto permite a los administradores de infraestructura estimar la capacidad necesaria para ampliar estos servicios para un entorno de producción. Esta información puede ser especialmente útil si estas herramientas se utilizarán en un entorno de servicio escalable.

Figura 23: Un resumen de la utilización de recursos por parte de Advanced WAF (CPU, memoria, almacenamiento)
Figura 23: Un resumen de la utilización de recursos por parte de Advanced WAF (CPU, memoria, almacenamiento)
Figura 24: Una vista de la utilización de recursos del servicio F5 que compara los recursos utilizados actualmente con el total de recursos disponibles. Esto proporciona una visión simple de la capacidad futura para escalar.
Figura 24: Una vista de la utilización de recursos del servicio F5 que compara los recursos utilizados actualmente con el total de recursos disponibles. Esto proporciona una visión simple de la capacidad futura para escalar.
Figura 25: Detalles de los dos servidores web Ubuntu de código abierto implementados para esta demostración
Figura 25: Detalles de los dos servidores web Ubuntu de código abierto implementados para esta demostración
Sección 6 – Resumen

En este documento técnico, mostramos cómo configurar el Firewall de aplicação web avanzado (Advanced WAF) de F5 dentro del entorno VxRail. Recorrimos una guía de implementación paso a paso, ilustrando las características de seguridad Advanced WAF mediante comparaciones de antes y después.

Este documento demuestra cómo implementar software de terceros en el entorno VxRail configurándolo como un servicio que los administradores de infraestructura pueden integrar y ofrecer en un entorno rico en servicios. Mostramos cómo configurar Advanced WAF en el entorno VxRail para proporcionar servicios de seguridad de aplicação para aplicações basadas en microservicios orientados a la web.  

VxRail es una plataforma de alto rendimiento, escalable y fácil de administrar que los administradores de infraestructura pueden utilizar para impulsar las operaciones comerciales. Implementar servicios de terceros que garanticen una buena experiencia de usuario es fundamental para el éxito empresarial. F5 Advanced WAF proporciona soporte perfecto dentro del entorno VxRail que puede extenderse a VMware Cloud.

Publicado el 3 de agosto de 2020
  • Compartir en Facebook
  • Compartir con X
  • Compartir en Linkedin
  • Compartir por correo electrónico
  • Compartir vía AddThis

CONECTE CON F5

Laboratorios F5

Lo último en inteligencia de amenazas de aplicaciones.

Vaya a F5 Labs

Centro de desarrollo

La comunidad de F5 para foros de discusión y artículos de expertos.

Ir a DevCentral

Sala de prensa de F5

Noticias, blogs de F5 y mucho más.

Ir a la sala de prensa