梭子鱼Web应用防火墙借助CloudFormation模板和Auto Scaling拓展AWS支持

安全
梭子鱼 Web应用防火墙(WAF)目前可以使用CloudFormation模板在AWS上进行自动部署。此外,梭子鱼WAF还集成了AWS CloudWatch和AWS移动消息推送服务(SNS)用于执行自动动态扩展。同时为确保安全部署,梭子鱼WAF还将集成了AWS IAM和STS服务。

 目录

AWS背景

• CloudFormation模板

• CloudWatch

• Auto Scaling

梭子鱼Web应用防火墙

• Auto Scaling

• Bootstrapping

• 梭子鱼CloudFormation模板(CFT)流程图

梭子鱼 Web应用防火墙(WAF)目前可以使用CloudFormation模板在AWS上进行自动部署。此外,梭子鱼WAF还集成了AWS CloudWatch和AWS移动消息推送服务(SNS)用于执行自动动态扩展。同时为确保安全部署,梭子鱼WAF还将集成了AWS IAM和STS服务。

梭子鱼WAF提供针对自动攻击和目标攻击的安全防护和DDOS防护。

 

 

AWS环境

AWS CloudFormation模板

借助AWS CloudFormation模板,无论是最初的使用VPC安装,还是后续的修订策略,DevOps团队均可以实现应用部署自动化。基于这些策略的Auto-Scaling能让您根据自身需求将部署大小调节至最优水平。

CloudFormation模板能使用部署所需的所有资源设置完整的AWS部署。例如,一个CloudFormation模板可以设置一个AWS虚拟私有云(VPC),并在这个云中创建您所选择的EC2实例。然后,它会下载需要的安装包,并执行配置任务,使用AWS基础设施端对端地创建您的应用。从本质上说,这意味着一旦您创建了CloudFormation模板,则无需再进行任何手动操作——它会自动执行所有部署操作。

AWS CloudWatch

AWS CloudWatch是一个监控系统,用于监控实例的各项数值(如CPU、网络带宽等),并在超出临界值时发出警报。该系统一般与AWS移动消息推送服务结合使用。SNS系统可以通过电子邮件、SMS等发送警报。这些警报可用于追踪AWS系统上的行为,并执行自动动态扩展。

AWS Auto Scaling

利用Auto Scaling可在AWS部署上添加或移除实例,具体的操作可基于CloudWatch警报或日程。组合在一起自动动态扩展的实例(如服务一个网站的WAF集群)称为Auto Scaling群组。Auto Scaling群组与Launch Configuration相关联。Launch Configuration提供启动图像所需的所有信息,如VPC、启动的实例、实例数量等。

梭子鱼 Web应用防火墙

Auto Scaling

梭子鱼Web应用防火墙目前支持AWS上的CloudFormation部署和自动扩展。DevOps团队可以通过该支持将梭子鱼WAF整合至部署流程。梭子鱼WAF实例使用您选择的配置初始化,然后与其他服务器一同扩展或缩小。根据CPU使用、带宽和日程使用扩展策略可以优化成本和执行。

使用AWS CloudWatch Alarms可按照事件或日程进行自动动态扩展。部署CloudWatch Alarms的梭子鱼WAF能为管理员提供额外的监控渠道;向CloudWatch系统持续报告CPU和带宽度量能让管理员监控部署实例的执行情况。

为自动扩展策略设置的CloudWatch Alarms也能采用AWS SNS,在选择的渠道(邮件、SMS等)向管理员发出通知。这些能通知管理员组内的自动动态扩展事件。

Bootstrapping

 

[[170904]]

 

在Auto Scaling基础上,梭子鱼WAF还添加了Bootstrapping支持。管理员可以定义CloudFormation模板上第一个WAF的基本配置。一旦创建了初始实例并添加引导程序,建立的其他任何实例也都可以使用该实例同步配置,并在启动后几分钟内提供流量,无需任何管理员干预。集群中任何一个实例的配置变化会同步至所有其他集群的实例。

Auto Scaling改善了AWS上部署的可用性。一个自动扩展组能在一个区域的多个可用性区域部署,一旦某个可用性区域出现可达性问题,业务依然可以正常运行。如果您选择在另一个区域部署,您可以使用CloudFormation模板轻松复制部署——提高灾难恢复能力。

梭子鱼Web应用防火墙还在自动扩展组中的多个可用性区域间部署。它能与该部署模型无缝连接,无需任何额外的配置或管理员干预。

以下流程图描述了采用AWS CloudFormation和自动扩展的梭子鱼 WAF部署:

 

 

如图所示,梭子鱼WAF采用AWS S3储存聚类信息。为防止储存区受到攻击,梭子鱼WAF与AWS IAM整合为一体。启动时,创建一个IAM角色,对S3储存段访问权限有限。使用AWS安全令牌服务提供对储存段的访问,该服务提供短期令牌访问S3储存段。令牌为动态生成,设置了过期时间以防止滥用。

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2011-03-15 17:01:40

2009-07-02 15:34:11

2009-05-12 09:40:26

2011-07-21 13:28:30

2011-04-20 21:46:33

2012-02-24 15:34:39

2012-02-17 18:06:09

2012-02-13 13:22:10

2012-02-09 16:33:52

2015-12-07 16:32:30

2012-10-23 13:29:49

2018-01-18 11:35:00

防火墙梭子鱼

2010-06-14 23:06:32

2018-09-20 16:12:19

2009-06-04 13:23:57

2011-07-06 14:30:37

2011-06-08 07:01:48

2011-03-15 20:04:31

2014-07-01 12:55:04

2011-08-23 16:52:06

点赞
收藏

51CTO技术栈公众号