Ressources Livres blancs

Charges de travail modernes sur Dell EMC VxRail

Apporter des services de disponibilité et de sécurité à un environnement d'infrastructure en tant que service

Présentation du livre blanc

Dell EMC VxRail fournit un environnement virtualisé éprouvé pour les entreprises qui souhaitent consolider leurs charges de travail sur une plate-forme hautes performances. À mesure que de plus en plus de charges de travail, y compris les applications de microservices Web, migrent vers la plateforme, les gestionnaires d’infrastructure doivent regarder au-delà de l’infrastructure en tant que service. Pour prendre en charge la liste croissante de charges de travail, ils devront se pencher sur des services qui garantissent les performances, la sécurité et la disponibilité pour des opérations commerciales ininterrompues. En adoptant une perspective écosystémique, notre livre blanc se concentre sur les services d’application réseau F5 qui offrent disponibilité et sécurité aux charges de travail Web sur VxRail. Ces services d’application utilisent le logiciel F5 qui s’intègre parfaitement à l’environnement VxRail VMware, ce qui facilite le provisionnement, la configuration et la prise en charge des services F5 via VxRail vCenter.

Dans l'environnement VxRail, les gestionnaires d'infrastructure peuvent consolider les applications des plates-formes héritées et cloud pour créer un environnement unique et intégré qui se superpose à l'infrastructure pour un fonctionnement optimal. Ces fonctionnalités pourraient être proposées sous la forme d’un environnement intégré « en tant que service » aux parties prenantes internes, garantissant ainsi les performances et l’efficacité des coûts, et permettant une extension transparente au cloud public via VMware Cloud.

Principaux sujets abordés dans le livre blanc :

  • Section 1 : Déploiement des services F5® Advanced Web Application Firewall™ dans VxRail
  • Section 2 : Personnaliser la politique de sécurité
  • Section 3 : Configuration de la prise en charge de la haute disponibilité pour les charges de travail et les applications
  • Section 4 : Assurer la sécurité des ressources Web
  • Section 5 : Prêt pour l'avenir : Exploiter vCenter pour la visibilité des services applicatifs et la planification des capacités
  • Section 6 : Résumé
Section 1 – Déploiement des services de pare-feu d'application Web avancé F5 dans VxRail

Cette section se concentre sur l’utilisation de l’interface de gestion vCenter pour provisionner et déployer le logiciel F5 Advanced Web Application Firewall (Advanced WAF) sur VxRail. Pour cet exemple, nous avons créé deux serveurs Web hébergeant un exemple de charge de travail et avons déployé Advanced WAF devant les serveurs. L'exemple a été conçu dans le but d'optimiser et de protéger la charge de travail Web résidant dans les serveurs Web.

Figure 1 : Une capture d'écran du vCenter VxRail
Figure 1 : Une capture d'écran du vCenter VxRail

Commencez par créer un modèle WAF avancé dans VxRail vCenter, comme illustré dans la Figure 1. Le modèle WAF avancé doit être répertorié dans le dossier de modèles dans VxRail-Datacenter. Le modèle stocke l'image du WAF avancé ; le modèle peut être utilisé pour lancer le service d'application à l'avenir, permettant ainsi une création de service facile.

Figure 2 : Configuration du service WAF avancé à l'aide de l'interface vCenter.
Figure 2 : Configuration du service WAF avancé à l'aide de l'interface vCenter.

Cliquez sur le modèle WAF avancé comme indiqué dans la figure 2. À partir de ce menu, vous pouvez lancer une nouvelle VM, puis préparer les services à utiliser, en vous référant aux étapes décrites dans les captures d'écran ci-dessous si nécessaire. Nous avons inclus des captures d'écran individuelles de chaque étape pour simplifier le processus de déploiement.

Pour garantir un déploiement fluide, assurez-vous de suivre ces directives :

  • Créez un nom unique pour la VM de votre WAF avancé (nous l’avons nommé F5-AWAF-A ici).
  • Sélectionnez l’emplacement de la VM (nous sélectionnons VxRail Datacenter comme emplacement par défaut).
  • Sélectionnez le cluster de calcul de destination (nous le nommons F5 Resource Pool au sein du cluster).
  • Sélectionnez le stockage (nous choisissons VxRail-Virtual-SAN-DataStore).

Une fois le processus de configuration terminé, vous devriez voir Advanced WAF déployé sur le cluster VxRail avec l'adresse IP spécifiée dans la page de résumé, y compris les ressources de calcul et de stockage pré-attribuées. Voir la figure 3 pour un exemple de déploiement configuré avec succès.

Figure 3 : Une page récapitulative montrant le service WAF avancé déployé sur VxRail
Figure 3 : Une page récapitulative montrant le service WAF avancé déployé sur VxRail
Un guide visuel étape par étape pour le déploiement d'Advanced WAF sur VxRail
Figure 4 : Lors du déploiement des services de sécurité WAF avancés, vous pouvez choisir d'utiliser un modèle de service prédéfini. Cela rendra le déploiement plus rapide et plus cohérent.
Figure 4 : Lors du déploiement des services de sécurité WAF avancés, vous pouvez choisir d'utiliser un modèle de service prédéfini. Cela rendra le déploiement plus rapide et plus cohérent.
Figure 5 : Vous pouvez sélectionner votre modèle WAF avancé préféré dans le menu de déploiement du service.
Figure 5 : Vous pouvez sélectionner votre modèle WAF avancé préféré dans le menu de déploiement du service.
Figure 6 : Assurez-vous de définir l’emplacement de la machine virtuelle de service sur VxRail Datacenter.
Figure 6 : Assurez-vous de définir l’emplacement de la machine virtuelle de service sur VxRail Datacenter.
Figure 7 : Confirmez F5 comme source de calcul de la machine virtuelle sous VxRail Datacenter.
Figure 7 : Confirmez F5 comme source de calcul de la machine virtuelle sous VxRail Datacenter.
Figure 8 : Définissez l'option de stockage sur VxRail-SAN-Datastore.
Figure 8 : Définissez l'option de stockage sur VxRail-SAN-Datastore.
Figure 9 : Confirmez que tous les paramètres sont corrects avant de cliquer sur Terminer.
Figure 9 : Confirmez que tous les paramètres sont corrects avant de cliquer sur Terminer.
Figure 10 : Consultez l’onglet Résumé pour un aperçu des paramètres WAF avancés.
Figure 10 : Consultez l’onglet Résumé pour un aperçu des paramètres WAF avancés.
Section 2 – Personnalisation de la politique de sécurité

Une fois le logiciel WAF avancé déployé, nous pouvons définir la politique de sécurité à utiliser pour filtrer le trafic entrant avant qu'il ne passe par les serveurs Web. Advanced WAF permet aux utilisateurs de créer leurs propres politiques de sécurité granulaires et inclut également de vastes bibliothèques de renseignements sur les menaces et de signatures. Ces bibliothèques sont fréquemment mises à jour pour inclure les informations de sécurité les plus récentes. Cela permet aux utilisateurs de créer des profils de sécurité centrés sur la charge de travail qui sont pris en charge par les dernières informations sur les menaces. Les utilisateurs peuvent également choisir d’activer le mode « écoute ». Ce mode utilise l’apprentissage automatique pour établir une politique de sécurité de base spécifique à l’environnement, réduisant ainsi les alertes inutiles déclenchées par des faux positifs.

Figure 11 : Au sein de la console F5, les utilisateurs peuvent appliquer des politiques de sécurité granulaires et personnalisées pour différentes charges de travail que Advanced WAF est chargé de protéger.
Figure 11 : Au sein de la console F5, les utilisateurs peuvent appliquer des politiques de sécurité granulaires et personnalisées pour différentes charges de travail que Advanced WAF est chargé de protéger.
Figure 12 : Les utilisateurs peuvent accéder à des modèles de politiques pour guider la conception d’une politique de sécurité la mieux adaptée à leur environnement. Ces modèles utilisent les modes Apprendre, Alarme ou Blocage.
Figure 12 : Les utilisateurs peuvent accéder à des modèles de politiques pour guider la conception d’une politique de sécurité la mieux adaptée à leur environnement. Ces modèles utilisent les modes Apprendre, Alarme ou Blocage.
Section 3 – Configuration de la prise en charge de la haute disponibilité pour les charges de travail et les applications

La haute disponibilité BIG-IP est prise en charge par TMOS, ce qui permet à la méthodologie de résilience et aux supports d'être cohérents dans tous les modules du produit.

Les figures ci-dessous vous guideront à travers les étapes nécessaires à la configuration de votre système pour une haute disponibilité. Ces étapes comprennent :

  • Définition des configurations de réseau interne (par exemple, informations VLAN)
  • Définition des configurations de réseau externes
  • Choisir votre configuration réseau haute disponibilité
  • Vérification et confirmation des détails de configuration
Figure 13 : Configurez le basculement au niveau du réseau pour une haute disponibilité de base.
Figure 13 : Configurez le basculement au niveau du réseau pour une haute disponibilité de base.
Figure 14 : Configurez les informations VLAN dans les paramètres du réseau interne.
Figure 14 : Configurez les informations VLAN dans les paramètres du réseau interne.
Figure 15 : Configurer les paramètres du réseau externe.
Figure 15 : Configurer les paramètres du réseau externe.
Figure 16 : Finaliser la configuration du VLAN haute disponibilité.
Figure 16 : Finaliser la configuration du VLAN haute disponibilité.
Section 4 – Assurer la sécurité des ressources Web

Dans cette section, nous utilisons deux fonctionnalités de sécurité, la projection des informations d’identification de l’utilisateur et le blocage des injections SQL, pour illustrer comment mettre en œuvre la protection des charges de travail Web. Au lieu d'un guide étape par étape, nous avons créé un guide qui montre comment ces fonctionnalités de sécurité fonctionnent pour bloquer automatiquement les intrusions et les menaces, préservant ainsi la sécurité des charges de travail et de l'infrastructure back-end.

Figure 17 : Une vue de la démonstration du service WAF avancé sur la protection des informations d’identification de l’utilisateur, car nous nommons le service « Anti-fraude » et le configurons dans la section Sécurité WAF avancée.
Figure 17 : Une vue de la démonstration du service WAF avancé sur la protection des informations d’identification de l’utilisateur, car nous nommons le service « Anti-fraude » et le configurons dans la section Sécurité WAF avancée.
Protection des informations d’identification des utilisateurs

Data Safe permet de crypter et d'obscurcir les informations d'identification des utilisateurs et les noms des paramètres (par exemple, l'ID et le mot de passe) au niveau de la couche applicative en temps réel. Aucune modification de codage ni aucun ajustement du code source de l'application n'est requis pour implémenter ce service de sécurité.

Pour les ressources ou applications Web avec trafic HTTP/HTTPS, le cryptage des données avec SSL est la première étape vers la protection des données contre une exposition potentielle à un tiers illégal. Le cryptage SSL lors du transfert ne suffit pas à garantir la sécurité des données. Le vol d'informations d'identification peut également se produire au niveau du client ; par exemple, les utilisateurs finaux peuvent avoir compromis leur navigateur Web en cliquant sur des fichiers nuisibles ou en accédant à des sites infectés par des logiciels malveillants.

La fonctionnalité Data Safe peut être activée via la section Sécurité de la console WAF avancée.  Sélectionnez la protection des données, puis passez aux profils Data Safe :

  • Créer un nouveau profil
  • Définissez le nom du profil sur Anti-fraude
  • Activer le chiffrement de la couche applicative dans le profil antifraude
  • Activer d'autres critères pour protéger les informations d'identification des utilisateurs

Avec Data Safe activé, vous pouvez définir les critères de cryptage de l'ID et du mot de passe au niveau du client pour les actifs ou services Web. Cela réduit le risque d’une faille de sécurité due à des navigateurs infectés par des logiciels malveillants. Les applications protégées par Data Safe présentent des pages Web via Advanced WAF. Les caractères d'identification et de mot de passe sont cryptés au fur et à mesure qu'ils sont saisis par l'utilisateur. Même si un navigateur est compromis, le logiciel malveillant ne pourra extraire que les données cryptées, qui ne peuvent pas être décryptées sans la clé privée, plutôt que le mot de passe réel (voir l'illustration ci-dessous pour plus de détails). Outre la protection des informations d'identification de la couche Web côté client, Advanced WAF peut être mis à niveau pour inclure une protection de la couche mobile pour les charges de travail des applications mobiles.

Figure 18 : Choisissez les options de sécurité dans le menu Chiffrement de la couche application pour définir une politique de sécurité adaptée à vos besoins.
Figure 18 : Choisissez les options de sécurité dans le menu Chiffrement de la couche application pour définir une politique de sécurité adaptée à vos besoins.
Démonstration de la solution : Comparaison des services avec et sans Advanced WAF

Partie A: Protection des informations d'identification des utilisateurs

Figure 19 : L'illustration ci-dessus montre les résultats d'une requête sur le champ password.value. Sans protection, un client compromis pourrait exposer les informations d’identification de l’utilisateur à un pirate informatique. Lorsque Data Safe est activé, les informations d'identification de l'utilisateur sont cryptées au fur et à mesure de leur saisie, réduisant ainsi le risque de compromission des informations d'identification.
Figure 19 : L'illustration ci-dessus montre les résultats d'une requête sur le champ password.value. Sans protection, un client compromis pourrait exposer les informations d’identification de l’utilisateur à un pirate informatique. Lorsque Data Safe est activé, les informations d'identification de l'utilisateur sont cryptées au fur et à mesure de leur saisie, réduisant ainsi le risque de compromission des informations d'identification.

Partie B: À propos de l'injection SQL

L’injection SQL occupe toujours une place importante dans la liste des 10 principales menaces de l’OWASP. Les pirates informatiques recherchent des vulnérabilités dans le code des applications pour trouver des opportunités d'extraire des données essentielles de la base de données principale. La première étape pour réduire le risque de compromission par injection SQL est de promouvoir les meilleures pratiques de codage pour garantir un codage « sûr et sécurisé ». Vous pouvez également appliquer une couche de protection supplémentaire au sein de votre infrastructure. Advanced WAF intègre des informations complètes sur les menaces et comprend une bibliothèque de signatures de menaces, qui peuvent être déployées pour protéger les charges de travail Web contre l'injection SQL.

Pour activer la protection contre l’injection SQL, accédez à la section Signatures d’attaque depuis le menu Sécurité des applications et utilisez SQL comme mot-clé de filtre. Vous verrez la liste des signatures liées à l’injection SQL dans la base de données des signatures de menaces. Au moment où cette démonstration a été réalisée, 563 signatures associées étaient disponibles pour se protéger contre les attaques liées à SQL. Sélectionnez toutes les signatures de menaces pertinentes et ajoutez-les à votre politique de sécurité des applications.

Figure 20 : Ceci montre la vaste bibliothèque de signatures de menaces d’injection SQL. La bibliothèque est mise à jour fréquemment pour refléter les dernières informations sur les menaces.
Figure 20 : Ceci montre la vaste bibliothèque de signatures de menaces d’injection SQL. La bibliothèque est mise à jour fréquemment pour refléter les dernières informations sur les menaces.

Pour illustrer la différence, les figures suivantes montrent les résultats avec et sans blocage par injection SQL.

Figure 21 : Sans protection contre les injections SQL, l’exécution de la commande de requête renvoie les données d’ID utilisateur stockées dans le système.
Figure 21 : Sans protection contre les injections SQL, l’exécution de la commande de requête renvoie les données d’ID utilisateur stockées dans le système.
Avec la protection, la requête est bloquée et un message d'erreur comme celui-ci est renvoyé à la place.

Avec la protection, la requête est bloquée et un message d'erreur comme celui-ci est renvoyé à la place.

Avec l'injection SQL activée, les requêtes SQL sont bloquées avant d'atteindre la base de données. Le pirate informatique potentiel reçoit alors un message d’erreur.

Section 5 – Prêt pour l’avenir : Exploiter vCenter pour la visibilité des services d’application et la planification des capacités

VxRail offre un environnement évolutif et facile à gérer qui permet aux utilisateurs de déployer, de tester et d'intégrer facilement les services F5. Dans cette section, nous nous concentrons sur les détails d'utilisation d'Advanced WAF, en montrant comment accéder à un rapport complet de son état actuel (par exemple, l'utilisation du processeur et de la mémoire) et en montrant comment ces informations peuvent être utilisées pour planifier une extension future. Notre objectif est de garantir que le logiciel F5 est conçu pour prendre en charge le modèle « en tant que service » de VxRail.

Figure 22 : Le tableau de bord d'utilisation du service WAF avancé pour une planification facile de la capacité
Figure 22 : Le tableau de bord d'utilisation du service WAF avancé pour une planification facile de la capacité

Comme indiqué dans la figure 22, dans VxRail vCenter, nous pouvons avoir une visibilité granulaire du niveau d’utilisation de l’appliance virtuelle WAF avancée. À partir de là, les utilisateurs peuvent accéder aux détails de la machine virtuelle WAF avancée, notamment :

  • Informations générales sur Advanced WAF (adresse IP, nom DNS, utilisation du processeur, etc.)
  • Configuration (y compris les paramètres de la machine virtuelle)

Pour cette démonstration d'Advanced WAF, nous avons créé 2 serveurs Web (LAMP Server 1 et LAMP Server 2) qui sont utilisés pour illustrer les scénarios d'utilisation dans lesquels Advanced WAF optimise et protège les ressources Web résidant dans VxRail.

Présentation de l'utilisation des ressources F5 Advanced WAF sur VxRail

Les chiffres ci-dessous montrent les ressources allouées à nos services, donnant aux lecteurs un aperçu des ressources utilisées pour la démonstration. Cela permet aux gestionnaires d’infrastructure d’estimer la capacité nécessaire pour faire évoluer ces services dans un environnement de production. Ces informations peuvent être particulièrement utiles si ces outils doivent être utilisés dans un environnement de service évolutif.

Figure 23 : Un résumé de l'utilisation des ressources par Advanced WAF (CPU, mémoire, stockage)
Figure 23 : Un résumé de l'utilisation des ressources par Advanced WAF (CPU, mémoire, stockage)
Figure 24 : Une vue de l'utilisation des ressources du service F5 qui compare les ressources actuellement utilisées aux ressources totales disponibles. Cela donne une vue simple de la capacité future d’évolution.
Figure 24 : Une vue de l'utilisation des ressources du service F5 qui compare les ressources actuellement utilisées aux ressources totales disponibles. Cela donne une vue simple de la capacité future d’évolution.
Figure 25 : Détails des deux serveurs Web Ubuntu open source déployés pour cette démonstration
Figure 25 : Détails des deux serveurs Web Ubuntu open source déployés pour cette démonstration
Section 6 – Résumé

Dans ce livre blanc, nous avons montré comment configurer le pare-feu d'application Web avancé F5 (Advanced WAF) dans l'environnement VxRail. Nous avons parcouru un guide de déploiement étape par étape, illustrant les fonctionnalités de sécurité WAF avancées à l'aide de comparaisons avant et après.

Ce document montre comment déployer un logiciel tiers sur l'environnement VxRail en le configurant en tant que service que les gestionnaires d'infrastructure peuvent intégrer et proposer dans un environnement riche en services. Nous avons montré comment configurer Advanced WAF dans l'environnement VxRail pour fournir des services de sécurité d'application pour les applications basées sur des microservices orientés Web.  

VxRail est une plateforme hautes performances, évolutive et facile à gérer qui peut être utilisée par les gestionnaires d'infrastructure pour piloter les opérations commerciales. Le déploiement de services tiers garantissant une bonne expérience utilisateur est essentiel au succès de l’entreprise. F5 Advanced WAF offre une prise en charge transparente au sein de l'environnement VxRail qui peut être étendue au VMware Cloud.

Publié le 03 août 2020
  • Partager sur Facebook
  • Partager sur X
  • Partager sur Linkedin
  • Partager par e-mail
  • Partager via AddThis

Connectez-vous avec F5

F5 Labs

Les dernières nouveautés en matière de renseignement sur les menaces applicatives.

Accéder aux laboratoires F5

DevCentral

La communauté F5 pour les forums de discussion et les articles d'experts.

Accéder à DevCentral

Salle de presse F5

Actualités, blogs F5 et plus encore.

Accéder à la salle de presse