Trazendo serviços de disponibilidade e segurança para um ambiente de infraestrutura como serviço
O Dell EMC VxRail oferece um ambiente virtualizado comprovado para empresas que desejam consolidar cargas de trabalho em uma plataforma de alto desempenho. À medida que mais cargas de trabalho, incluindo aplicativos de microsserviços voltados para a Web, migram para a plataforma, os gerentes de infraestrutura precisam olhar além da infraestrutura como serviço. Para dar suporte à crescente lista de cargas de trabalho, eles precisarão procurar serviços que garantam desempenho, segurança e disponibilidade para operações comerciais ininterruptas. Adotando uma perspectiva de ecossistema, nosso whitepaper se concentra nos serviços de aplicativos de rede F5 que fornecem disponibilidade e segurança para cargas de trabalho voltadas para a Web no VxRail. Esses serviços de aplicativos usam o software F5 que se integra perfeitamente ao ambiente VxRail VMware, facilitando o provisionamento, a configuração e o suporte aos serviços F5 por meio do VxRail vCenter.
No ambiente VxRail, os gerentes de infraestrutura podem consolidar aplicativos de plataformas legadas e de nuvem para criar um ambiente único e integrado que é colocado em camadas sobre a infraestrutura para uma operação ideal. Esses recursos podem ser oferecidos como um ambiente integrado “como serviço” para as partes interessadas internas, garantindo desempenho e eficiência de custos, e permitindo uma extensão perfeita para a nuvem pública via VMware Cloud.
Principais tópicos descritos no whitepaper:
Esta seção se concentra no uso da interface de gerenciamento do vCenter para provisionar e implantar o software F5 Advanced Web Application Firewall (Advanced WAF) no VxRail. Para este exemplo, criamos dois servidores web hospedando uma carga de trabalho de amostra e implantamos o Advanced WAF na frente dos servidores. O exemplo foi projetado com o objetivo de otimizar e proteger a carga de trabalho voltada para a web que reside nos servidores web.
Comece criando um modelo WAF avançado no VxRail vCenter, conforme mostrado na Figura 1. O modelo WAF avançado deve ser listado na pasta de modelos no VxRail-Datacenter. O modelo armazena a imagem do WAF avançado; o modelo pode ser usado para iniciar o serviço do aplicativo no futuro, permitindo a criação fácil do serviço.
Clique no modelo WAF avançado, conforme indicado na Figura 2. Neste menu, você pode iniciar uma nova VM e preparar os serviços a serem usados, consultando as etapas descritas nas capturas de tela abaixo, conforme necessário. Incluímos capturas de tela individuais de cada etapa para simplificar o processo de implantação.
Para garantir uma implantação tranquila, siga estas diretrizes:
Ao concluir o processo de configuração, você verá o Advanced WAF implantado no cluster VxRail com o endereço IP especificado na página de resumo, incluindo recursos de computação e armazenamento pré-atribuídos. Veja a Figura 3 para ver um exemplo de uma implantação configurada com sucesso.
Depois que o software Advanced WAF for implantado, podemos definir a política de segurança que deve ser usada para filtrar o tráfego de entrada antes que ele passe pelos servidores web. O Advanced WAF permite que os usuários criem suas próprias políticas de segurança granulares e também inclui extensas bibliotecas de inteligência de ameaças e assinaturas. Essas bibliotecas são atualizadas com frequência para incluir as informações de segurança mais oportunas. Isso permite que os usuários criem perfis de segurança centrados na carga de trabalho, com suporte das mais recentes informações de inteligência sobre ameaças. Os usuários também podem optar por habilitar o modo “escuta”. Este modo usa aprendizado de máquina para estabelecer uma política de segurança básica específica para o ambiente, reduzindo assim alertas desnecessários acionados por falsos positivos.
O BIG-IP High Availability é suportado pelo TMOS, permitindo que a metodologia de resiliência e os suportes sejam consistentes em todos os módulos do produto.
As figuras abaixo mostrarão as etapas necessárias para configurar seu sistema para alta disponibilidade. Essas etapas incluem:
Nesta seção, usamos dois recursos de segurança, projeção de credenciais de usuário e bloqueio de injeção de SQL, para ilustrar como implementar proteção para cargas de trabalho voltadas para a Web. Em vez de um guia passo a passo, criamos um que mostra como esses recursos de segurança funcionam para bloquear intrusões e ameaças automaticamente, mantendo as cargas de trabalho e a infraestrutura de back-end seguras.
O Data Safe permite que credenciais de usuário e nomes de parâmetros (por exemplo, ID e senha) sejam criptografados e ofuscados na camada do aplicativo em tempo real. Não são necessárias alterações de codificação ou ajustes no código-fonte do aplicativo para implementar este serviço de segurança.
Para ativos ou aplicativos voltados para a Web com tráfego HTTP/HTTPS, a criptografia de dados com SSL é o primeiro passo para proteger os dados contra possível exposição a terceiros ilegais. A criptografia SSL durante a transferência não é suficiente para garantir a segurança dos dados. O roubo de credenciais também pode ocorrer no nível do cliente; por exemplo, usuários finais podem ter comprometido seus navegadores da web clicando em arquivos prejudiciais ou acessando sites infestados de malware.
O recurso Data Safe pode ser habilitado na seção Segurança no console Advanced WAF. Selecione proteção de dados e prossiga para os perfis do Data Safe:
Com o Data Safe habilitado, você pode definir os critérios para criptografar ID e senha no nível do cliente para ativos ou serviços voltados para a Web. Isso reduz o risco de violação de segurança devido a navegadores infectados por malware. Os aplicativos protegidos pelo Data Safe apresentam páginas da web via Advanced WAF. Os caracteres de ID e senha são criptografados à medida que são inseridos pelo usuário. Mesmo que um navegador seja comprometido, o malware só conseguirá extrair os dados criptografados, que não podem ser descriptografados sem a chave privada, e não a senha real (veja a ilustração abaixo para mais detalhes). Além da proteção de credenciais da camada web do lado do cliente, o Advanced WAF pode ser atualizado para incluir proteção da camada móvel para cargas de trabalho de aplicativos móveis.
Parte A: Proteção de credencial do usuário
Parte B: Sobre injeção de SQL
A injeção de SQL sempre ocupa uma posição alta na lista das 10 principais ameaças da OWASP. Os hackers procuram vulnerabilidades no código do aplicativo para encontrar oportunidades de extrair dados essenciais do banco de dados de back-end. O primeiro passo para reduzir o risco de comprometimento por injeção de SQL é promover as melhores práticas de codificação para garantir uma codificação “segura e protegida”. Você também pode aplicar uma camada extra de proteção em sua infraestrutura. O Advanced WAF incorpora ampla inteligência de ameaças e inclui uma biblioteca de assinaturas de ameaças, que podem ser implantadas para proteger as cargas de trabalho voltadas para a Web contra injeção de SQL.
Para habilitar a proteção contra injeção de SQL, acesse a seção Assinaturas de Ataque no menu Segurança do Aplicativo e use SQL como palavra-chave do filtro. Você verá uma lista de assinaturas relacionadas à injeção de SQL no banco de dados de assinaturas de ameaças. No momento em que esta demonstração foi concluída, havia 563 assinaturas relacionadas disponíveis para proteção contra ataques relacionados a SQL. Selecione todas as assinaturas de ameaças relevantes e adicione-as à política de segurança do seu aplicativo.
Para ilustrar a diferença, as figuras a seguir mostram os resultados com e sem bloqueio de injeção de SQL.
Com proteção, a consulta é bloqueada e uma mensagem de erro como esta é retornada.
Com a injeção de SQL ativada, as consultas SQL são bloqueadas antes de chegarem ao banco de dados. O possível hacker recebe uma mensagem de erro.
O VxRail oferece um ambiente escalável e fácil de gerenciar que permite aos usuários implantar, testar e integrar facilmente os serviços F5. Nesta seção, nos concentramos nos detalhes de uso do Advanced WAF, demonstrando como acessar um relatório completo de seu estado atual (por exemplo, utilização de CPU e memória) e mostrando como essas informações podem ser usadas para planejar expansões futuras. Nosso objetivo é garantir que o software F5 seja desenvolvido para dar suporte ao modelo "como serviço" do VxRail.
Conforme descrito na Figura 22, dentro do VxRail vCenter, podemos ter visibilidade granular do nível de uso do Advanced WAF Virtual Appliance. A partir daqui, os usuários podem acessar detalhes da Advanced WAF VM, incluindo:
Para esta demonstração do Advanced WAF, criamos 2 servidores web (LAMP Server 1 e LAMP Server 2) que são usados para ilustrar cenários de uso nos quais o Advanced WAF otimiza e protege ativos voltados para a web que residem no VxRail.
Os números abaixo mostram os recursos alocados aos nossos serviços, dando aos leitores uma visão dos recursos usados para a demonstração. Isso permite que os gerentes de infraestrutura estimem a capacidade necessária para ampliar esses serviços para um ambiente de produção. Essas informações podem ser particularmente úteis se essas ferramentas forem usadas em um ambiente escalável como serviço.
Neste whitepaper, mostramos como configurar o F5 Advanced Web Application Firewall (Advanced WAF) no ambiente VxRail. Percorremos um guia de implantação passo a passo, ilustrando os recursos de segurança do Advanced WAF usando comparações de antes e depois.
Este documento demonstra como implantar software de terceiros no ambiente VxRail configurando-o como um serviço que os gerentes de infraestrutura podem integrar e oferecer em um ambiente rico em serviços. Mostramos como configurar o Advanced WAF no ambiente VxRail para fornecer serviços de segurança de aplicativos para aplicativos baseados em microsserviços voltados para a Web.
O VxRail é uma plataforma de alto desempenho, escalável e fácil de gerenciar que pode ser usada por gerentes de infraestrutura para impulsionar operações comerciais. A implantação de serviços de terceiros que garantam uma boa experiência do usuário é fundamental para o sucesso do negócio. O F5 Advanced WAF oferece suporte contínuo no ambiente VxRail que pode ser estendido ao VMware Cloud.