Cargas de trabalho modernas no Dell EMC VxRail

Trazendo serviços de disponibilidade e segurança para um ambiente de infraestrutura como serviço

Visão geral do whitepaper

O Dell EMC VxRail oferece um ambiente virtualizado comprovado para empresas que desejam consolidar cargas de trabalho em uma plataforma de alto desempenho. À medida que mais cargas de trabalho, incluindo aplicativos de microsserviços voltados para a Web, migram para a plataforma, os gerentes de infraestrutura precisam olhar além da infraestrutura como serviço. Para dar suporte à crescente lista de cargas de trabalho, eles precisarão procurar serviços que garantam desempenho, segurança e disponibilidade para operações comerciais ininterruptas. Adotando uma perspectiva de ecossistema, nosso whitepaper se concentra nos serviços de aplicativos de rede F5 que fornecem disponibilidade e segurança para cargas de trabalho voltadas para a Web no VxRail. Esses serviços de aplicativos usam o software F5 que se integra perfeitamente ao ambiente VxRail VMware, facilitando o provisionamento, a configuração e o suporte aos serviços F5 por meio do VxRail vCenter.

No ambiente VxRail, os gerentes de infraestrutura podem consolidar aplicativos de plataformas legadas e de nuvem para criar um ambiente único e integrado que é colocado em camadas sobre a infraestrutura para uma operação ideal. Esses recursos podem ser oferecidos como um ambiente integrado “como serviço” para as partes interessadas internas, garantindo desempenho e eficiência de custos, e permitindo uma extensão perfeita para a nuvem pública via VMware Cloud.

Principais tópicos descritos no whitepaper:

  • Seção 1: Implantando serviços do F5® Advanced Web Application Firewall™ no VxRail
  • Seção 2: Personalizando a política de segurança
  • Seção 3: Configurando suporte de alta disponibilidade para cargas de trabalho e aplicativos
  • Seção 4: Mantendo ativos voltados para a web seguros e protegidos
  • Seção 5: Preparado para o futuro: Aproveitando o vCenter para visibilidade do serviço de aplicativo e planejamento de capacidade
  • Seção 6: Resumo
Seção 1 – Implantando serviços do F5 Advanced Web Application Firewall no VxRail

Esta seção se concentra no uso da interface de gerenciamento do vCenter para provisionar e implantar o software F5 Advanced Web Application Firewall (Advanced WAF) no VxRail. Para este exemplo, criamos dois servidores web hospedando uma carga de trabalho de amostra e implantamos o Advanced WAF na frente dos servidores. O exemplo foi projetado com o objetivo de otimizar e proteger a carga de trabalho voltada para a web que reside nos servidores web.

Figura 1: Uma captura de tela do VxRail vCenter
Figura 1: Uma captura de tela do VxRail vCenter

Comece criando um modelo WAF avançado no VxRail vCenter, conforme mostrado na Figura 1. O modelo WAF avançado deve ser listado na pasta de modelos no VxRail-Datacenter. O modelo armazena a imagem do WAF avançado; o modelo pode ser usado para iniciar o serviço do aplicativo no futuro, permitindo a criação fácil do serviço.

Figura 2: Configurando o serviço WAF avançado usando a interface do vCenter.
Figura 2: Configurando o serviço WAF avançado usando a interface do vCenter.

Clique no modelo WAF avançado, conforme indicado na Figura 2. Neste menu, você pode iniciar uma nova VM e preparar os serviços a serem usados, consultando as etapas descritas nas capturas de tela abaixo, conforme necessário. Incluímos capturas de tela individuais de cada etapa para simplificar o processo de implantação.

Para garantir uma implantação tranquila, siga estas diretrizes:

  • Crie um nome exclusivo para a VM do seu Advanced WAF (nós o chamamos de F5-AWAF-A aqui).
  • Selecione o local da VM (selecionamos VxRail Datacenter como o local padrão).
  • Selecione o cluster de computação de destino (nós o chamamos de F5 Resource Pool dentro do cluster).
  • Selecione o armazenamento (escolhemos VxRail-Virtual-SAN-DataStore).

Ao concluir o processo de configuração, você verá o Advanced WAF implantado no cluster VxRail com o endereço IP especificado na página de resumo, incluindo recursos de computação e armazenamento pré-atribuídos. Veja a Figura 3 para ver um exemplo de uma implantação configurada com sucesso.

Figura 3: Uma página de resumo mostrando o serviço WAF avançado implantado no VxRail
Figura 3: Uma página de resumo mostrando o serviço WAF avançado implantado no VxRail
Um guia visual passo a passo para implementar o Advanced WAF no VxRail
Figura 4: Ao implantar serviços de segurança WAF avançados, você pode optar por usar um modelo de serviço predefinido. Isso tornará a implantação mais rápida e consistente.
Figura 4: Ao implantar serviços de segurança WAF avançados, você pode optar por usar um modelo de serviço predefinido. Isso tornará a implantação mais rápida e consistente.
Figura 5: Você pode selecionar seu modelo WAF avançado preferido no menu de implantação de serviço.
Figura 5: Você pode selecionar seu modelo WAF avançado preferido no menu de implantação de serviço.
Figura 6: Certifique-se de definir o local da VM de serviço para VxRail Datacenter.
Figura 6: Certifique-se de definir o local da VM de serviço para VxRail Datacenter.
Figura 7: Confirme F5 como a origem de computação da VM no VxRail Datacenter.
Figura 7: Confirme F5 como a origem de computação da VM no VxRail Datacenter.
Figura 8: Defina a opção de armazenamento como VxRail-SAN-Datastore.
Figura 8: Defina a opção de armazenamento como VxRail-SAN-Datastore.
Figura 9: Confirme se todas as configurações estão corretas antes de clicar em Concluir.
Figura 9: Confirme se todas as configurações estão corretas antes de clicar em Concluir.
Figura 10: Verifique a guia Resumo para uma visão geral das configurações avançadas do WAF.
Figura 10: Verifique a guia Resumo para uma visão geral das configurações avançadas do WAF.
Seção 2 – Personalizando a política de segurança

Depois que o software Advanced WAF for implantado, podemos definir a política de segurança que deve ser usada para filtrar o tráfego de entrada antes que ele passe pelos servidores web. O Advanced WAF permite que os usuários criem suas próprias políticas de segurança granulares e também inclui extensas bibliotecas de inteligência de ameaças e assinaturas. Essas bibliotecas são atualizadas com frequência para incluir as informações de segurança mais oportunas. Isso permite que os usuários criem perfis de segurança centrados na carga de trabalho, com suporte das mais recentes informações de inteligência sobre ameaças. Os usuários também podem optar por habilitar o modo “escuta”. Este modo usa aprendizado de máquina para estabelecer uma política de segurança básica específica para o ambiente, reduzindo assim alertas desnecessários acionados por falsos positivos.

Figura 11: No F5 Console, os usuários podem aplicar políticas de segurança granulares e personalizadas para diferentes cargas de trabalho que o Advanced WAF tem a tarefa de proteger.
Figura 11: No F5 Console, os usuários podem aplicar políticas de segurança granulares e personalizadas para diferentes cargas de trabalho que o Advanced WAF tem a tarefa de proteger.
Figura 12: Os usuários podem acessar modelos de políticas para orientar o design de uma política de segurança mais adequada ao seu ambiente. Esses modelos usam os modos Aprender, Alarme ou Bloquear.
Figura 12: Os usuários podem acessar modelos de políticas para orientar o design de uma política de segurança mais adequada ao seu ambiente. Esses modelos usam os modos Aprender, Alarme ou Bloquear.
Seção 3 – Configurando suporte de alta disponibilidade para cargas de trabalho e aplicativos

O BIG-IP High Availability é suportado pelo TMOS, permitindo que a metodologia de resiliência e os suportes sejam consistentes em todos os módulos do produto.

As figuras abaixo mostrarão as etapas necessárias para configurar seu sistema para alta disponibilidade. Essas etapas incluem:

  • Definir configurações de rede interna (por exemplo, informações de VLAN)
  • Definir configurações de rede externa
  • Escolhendo sua configuração de rede de alta disponibilidade
  • Revisando e confirmando detalhes de configuração
Figura 13: Configure o failover em nível de rede para alta disponibilidade básica.
Figura 13: Configure o failover em nível de rede para alta disponibilidade básica.
Figura 14: Configure as informações da VLAN nas configurações de rede interna.
Figura 14: Configure as informações da VLAN nas configurações de rede interna.
Figura 15: Configure as configurações de rede externa.
Figura 15: Configure as configurações de rede externa.
Figura 16: Finalize a configuração da VLAN de alta disponibilidade.
Figura 16: Finalize a configuração da VLAN de alta disponibilidade.
Seção 4 – Mantendo ativos voltados para a web seguros e protegidos

Nesta seção, usamos dois recursos de segurança, projeção de credenciais de usuário e bloqueio de injeção de SQL, para ilustrar como implementar proteção para cargas de trabalho voltadas para a Web. Em vez de um guia passo a passo, criamos um que mostra como esses recursos de segurança funcionam para bloquear intrusões e ameaças automaticamente, mantendo as cargas de trabalho e a infraestrutura de back-end seguras.

Figura 17: Uma visão da demonstração do serviço WAF avançado sobre proteção de credenciais do usuário, pois chamamos o serviço de “Antifraude” e o configuramos na seção Segurança do WAF avançado.
Figura 17: Uma visão da demonstração do serviço WAF avançado sobre proteção de credenciais do usuário, pois chamamos o serviço de “Antifraude” e o configuramos na seção Segurança do WAF avançado.
Proteção de credencial do usuário

O Data Safe permite que credenciais de usuário e nomes de parâmetros (por exemplo, ID e senha) sejam criptografados e ofuscados na camada do aplicativo em tempo real. Não são necessárias alterações de codificação ou ajustes no código-fonte do aplicativo para implementar este serviço de segurança.

Para ativos ou aplicativos voltados para a Web com tráfego HTTP/HTTPS, a criptografia de dados com SSL é o primeiro passo para proteger os dados contra possível exposição a terceiros ilegais. A criptografia SSL durante a transferência não é suficiente para garantir a segurança dos dados. O roubo de credenciais também pode ocorrer no nível do cliente; por exemplo, usuários finais podem ter comprometido seus navegadores da web clicando em arquivos prejudiciais ou acessando sites infestados de malware.

O recurso Data Safe pode ser habilitado na seção Segurança no console Advanced WAF.  Selecione proteção de dados e prossiga para os perfis do Data Safe:

  • Criar um novo perfil
  • Defina o nome do perfil como Antifraude
  • Habilitar criptografia da camada de aplicação dentro do perfil Antifraude
  • Habilitar outros critérios para proteger as credenciais do usuário

Com o Data Safe habilitado, você pode definir os critérios para criptografar ID e senha no nível do cliente para ativos ou serviços voltados para a Web. Isso reduz o risco de violação de segurança devido a navegadores infectados por malware. Os aplicativos protegidos pelo Data Safe apresentam páginas da web via Advanced WAF. Os caracteres de ID e senha são criptografados à medida que são inseridos pelo usuário. Mesmo que um navegador seja comprometido, o malware só conseguirá extrair os dados criptografados, que não podem ser descriptografados sem a chave privada, e não a senha real (veja a ilustração abaixo para mais detalhes). Além da proteção de credenciais da camada web do lado do cliente, o Advanced WAF pode ser atualizado para incluir proteção da camada móvel para cargas de trabalho de aplicativos móveis.

Figura 18: Escolha as opções de segurança no menu Criptografia da Camada de Aplicação para definir uma política de segurança apropriada às suas necessidades.
Figura 18: Escolha as opções de segurança no menu Criptografia da Camada de Aplicação para definir uma política de segurança apropriada às suas necessidades.
Demonstração da solução: Comparando serviço com e sem Advanced WAF

Parte A: Proteção de credencial do usuário

Figura 19: A ilustração acima mostra os resultados de uma consulta ao campo password.value. Sem proteção, um cliente comprometido pode expor as credenciais do usuário ao hacker. Com o Data Safe ativado, as credenciais do usuário serão criptografadas à medida que forem inseridas, reduzindo o risco de comprometimento das credenciais.
Figura 19: A ilustração acima mostra os resultados de uma consulta ao campo password.value. Sem proteção, um cliente comprometido pode expor as credenciais do usuário ao hacker. Com o Data Safe ativado, as credenciais do usuário serão criptografadas à medida que forem inseridas, reduzindo o risco de comprometimento das credenciais.

Parte B: Sobre injeção de SQL

A injeção de SQL sempre ocupa uma posição alta na lista das 10 principais ameaças da OWASP. Os hackers procuram vulnerabilidades no código do aplicativo para encontrar oportunidades de extrair dados essenciais do banco de dados de back-end. O primeiro passo para reduzir o risco de comprometimento por injeção de SQL é promover as melhores práticas de codificação para garantir uma codificação “segura e protegida”. Você também pode aplicar uma camada extra de proteção em sua infraestrutura. O Advanced WAF incorpora ampla inteligência de ameaças e inclui uma biblioteca de assinaturas de ameaças, que podem ser implantadas para proteger as cargas de trabalho voltadas para a Web contra injeção de SQL.

Para habilitar a proteção contra injeção de SQL, acesse a seção Assinaturas de Ataque no menu Segurança do Aplicativo e use SQL como palavra-chave do filtro. Você verá uma lista de assinaturas relacionadas à injeção de SQL no banco de dados de assinaturas de ameaças. No momento em que esta demonstração foi concluída, havia 563 assinaturas relacionadas disponíveis para proteção contra ataques relacionados a SQL. Selecione todas as assinaturas de ameaças relevantes e adicione-as à política de segurança do seu aplicativo.

Figura 20: Isso mostra a extensa biblioteca de assinaturas de ameaças de injeção de SQL. A biblioteca é atualizada com frequência para refletir as informações mais recentes sobre ameaças.
Figura 20: Isso mostra a extensa biblioteca de assinaturas de ameaças de injeção de SQL. A biblioteca é atualizada com frequência para refletir as informações mais recentes sobre ameaças.

Para ilustrar a diferença, as figuras a seguir mostram os resultados com e sem bloqueio de injeção de SQL.

Figura 21: Sem proteção contra injeção de SQL, a execução do comando de consulta retorna dados de ID do usuário armazenados no sistema.
Figura 21: Sem proteção contra injeção de SQL, a execução do comando de consulta retorna dados de ID do usuário armazenados no sistema.
Com proteção, a consulta é bloqueada e uma mensagem de erro como esta é retornada.

Com proteção, a consulta é bloqueada e uma mensagem de erro como esta é retornada.

Com a injeção de SQL ativada, as consultas SQL são bloqueadas antes de chegarem ao banco de dados. O possível hacker recebe uma mensagem de erro.

Seção 5 – Pronto para o futuro: Aproveitando o vCenter para visibilidade do serviço de aplicativo e planejamento de capacidade

O VxRail oferece um ambiente escalável e fácil de gerenciar que permite aos usuários implantar, testar e integrar facilmente os serviços F5. Nesta seção, nos concentramos nos detalhes de uso do Advanced WAF, demonstrando como acessar um relatório completo de seu estado atual (por exemplo, utilização de CPU e memória) e mostrando como essas informações podem ser usadas para planejar expansões futuras. Nosso objetivo é garantir que o software F5 seja desenvolvido para dar suporte ao modelo "como serviço" do VxRail.

Figura 22: O painel de utilização de serviço WAF avançado para fácil planejamento de capacidade
Figura 22: O painel de utilização de serviço WAF avançado para fácil planejamento de capacidade

Conforme descrito na Figura 22, dentro do VxRail vCenter, podemos ter visibilidade granular do nível de uso do Advanced WAF Virtual Appliance. A partir daqui, os usuários podem acessar detalhes da Advanced WAF VM, incluindo:

  • Informações gerais sobre o Advanced WAF (endereço IP, nome DNS, uso da CPU, etc.)
  • Configuração (incluindo configurações de VM)

Para esta demonstração do Advanced WAF, criamos 2 servidores web (LAMP Server 1 e LAMP Server 2) que são usados para ilustrar cenários de uso nos quais o Advanced WAF otimiza e protege ativos voltados para a web que residem no VxRail.

Visão geral do uso de recursos WAF avançado do F5 no VxRail

Os números abaixo mostram os recursos alocados aos nossos serviços, dando aos leitores uma visão dos recursos usados para a demonstração. Isso permite que os gerentes de infraestrutura estimem a capacidade necessária para ampliar esses serviços para um ambiente de produção. Essas informações podem ser particularmente úteis se essas ferramentas forem usadas em um ambiente escalável como serviço.

Figura 23: Um resumo da utilização de recursos pelo Advanced WAF (CPU, Memória, Armazenamento)
Figura 23: Um resumo da utilização de recursos pelo Advanced WAF (CPU, Memória, Armazenamento)
Figura 24: Uma visão da utilização de recursos do Serviço F5 que compara os recursos atualmente utilizados com o total de recursos disponíveis. Isso fornece uma visão simples da capacidade futura de escala.
Figura 24: Uma visão da utilização de recursos do Serviço F5 que compara os recursos atualmente utilizados com o total de recursos disponíveis. Isso fornece uma visão simples da capacidade futura de escala.
Figura 25: Detalhes dos dois servidores web Ubuntu de código aberto implantados para esta demonstração
Figura 25: Detalhes dos dois servidores web Ubuntu de código aberto implantados para esta demonstração
Seção 6 – Resumo

Neste whitepaper, mostramos como configurar o F5 Advanced Web Application Firewall (Advanced WAF) no ambiente VxRail. Percorremos um guia de implantação passo a passo, ilustrando os recursos de segurança do Advanced WAF usando comparações de antes e depois.

Este documento demonstra como implantar software de terceiros no ambiente VxRail configurando-o como um serviço que os gerentes de infraestrutura podem integrar e oferecer em um ambiente rico em serviços. Mostramos como configurar o Advanced WAF no ambiente VxRail para fornecer serviços de segurança de aplicativos para aplicativos baseados em microsserviços voltados para a Web.  

O VxRail é uma plataforma de alto desempenho, escalável e fácil de gerenciar que pode ser usada por gerentes de infraestrutura para impulsionar operações comerciais. A implantação de serviços de terceiros que garantam uma boa experiência do usuário é fundamental para o sucesso do negócio. O F5 Advanced WAF oferece suporte contínuo no ambiente VxRail que pode ser estendido ao VMware Cloud.

Publicado em 03 de agosto de 2020
  • Compartilhe no Facebook
  • Compartilhar para X
  • Compartilhe no Linkedin
  • Compartilhar por e-mail
  • Compartilhe via AddThis

Conecte-se com F5

F5 Labs

O que há de mais moderno em inteligência de ameaças a aplicativos.

DevCentral

A comunidade F5 para fóruns de discussão e artigos de especialistas.

Sala de redação da F5

Notícias, blogs F5 e muito mais.