Hinweis:

Visual Builder Cloud Service-Apps auf Oracle Integration mit OCI Web Application Firewall schützen

Einführung

Web Application Firewall schützt Webanwendungen vor einer Vielzahl von Online-Bedrohungen, einschließlich SQL-Injection, Cross-Site Scripting (XSS), Remotecodeausführung und mehr. Daher wird empfohlen, Visual Builder Cloud Service-(VBCS-)Anwendungen mit Oracle Cloud Infrastructure (OCI) Web Application Firewall (WAF) (Edge oder Regional) zu schützen.

Ziele

In diesem Tutorial werden zwei Szenarios mit Edge WAF behandelt:

  1. Dedizierte WAF für einzelne VBCS-Anwendung.

  2. Zentrale WAF für mehrere VBCS-Anwendungen.

APP-NAME Benutzerdefinierte URL
VBCS APP1 myapp1.mydomain.com
VBCS APP2 myapp2.mydomain.com

Voraussetzungen

Bevor Sie mit der WAF-Konfiguration fortfahren, lesen Sie Benutzerdefinierte App-URL/Vanity-Domain für VBCS-App konfigurieren, und konfigurieren Sie Vanity-Domains für VBCS-Apps.

Szenario 1: Dedizierte WAF für einzelne VBCS-Anwendung einrichten

In diesem Fall wird jede VBCS-Anwendung mit einer eigenen dedizierten WAF eingerichtet.

waf1

Aufgabe 1.1: WAF erstellen

  1. Navigieren Sie in der OCI-Konsole zu Identität und Sicherheit, Web Application Firewall, Policys, WAF-Policy erstellen.

    Edge-waf1

  2. Geben Sie unter "URI" den alternativen benutzerdefinierten Endpunkt ein, den Sie aus Schritt "Benutzerdefinierte Endpunktaliasdetails abrufen" erhalten haben, in Benutzerdefinierte App-URL/Vanity-Domain für VBCS-App konfigurieren.

Aufgabe 1.2: Zertifikat hochladen

  1. Navigieren Sie zu Einstellungen, Allgemeine Einstellungen, Bearbeiten.

    waf1s

  2. Wählen Sie Zertifikat und Private Key hochladen oder einfügen aus. Geben Sie im ersten Feld die CA-signierte Zertifikatskette ein. Geben Sie im zweiten Feld den privaten Schlüssel ein.

    waf1s2

Aufgabe 1.3: Änderungen veröffentlichen

waf-publish

Hinweis: Konfigurieren Sie die Zugriffsregeln und Schutzregeln gemäß Ihren Sicherheits-Policys. Dies wird in diesem Tutorial nicht behandelt.

Aufgabe 1.4: DNS-Datensätze erstellen

  1. Verweisen Sie die benutzerdefinierte APP-URL auf das WAF-CNAME-Ziel. Rufen Sie das CNAME-Ziel wie unten dargestellt von der WAF-Seite ab:

    waf1-cname-target

  2. Erstellen Sie CNAME-DNS-Einträge wie folgt:

    Benutzerdefinierter Hostname WAF-CNAME-Ziel
    myapp1.mydomain.com <xxxyyyy.o.waas.oci.oraclecloud.net>

Szenario 2: Zentralisierte WAF für mehrere VBCS-Anwendungen einrichten

Mit einem einzelnen WAF neben einem Load Balancer können mehrere VBCS-Anwendungen geschützt werden. Dieses Setup ist vorzuziehen, wenn die WAF-Policys für mehrere VBCS-Apps identisch sind.

waf2

Aufgabe 2.1: WAF erstellen

  1. Navigieren Sie in der OCI-Konsole zu Identität und Sicherheit, Web Application Firewall, Policys, WAF-Policy erstellen.

    Edge-Mehrfach-app1

  2. Aktualisieren Sie benutzerdefinierte URLs für app2 und app3 als zusätzliche Domains.

  3. Geben Sie im URI-Feld die öffentliche IP des OCI Load Balancers ein.

Aufgabe 2.2: Zertifikat hochladen

  1. Navigieren Sie zu Einstellungen, Allgemeine Einstellungen, Bearbeiten.

    waf1s

    waf1s2

    Hinweis: Wenn Sie einzelne WAF für mehrere Apps verwenden, stellen Sie sicher, dass Sie ein SAN-Zertifikat anfordern, das alle Anwendungsdomainnamen abdeckt.

Aufgabe 2.3: DNS-Datensätze erstellen

  1. Benutzerdefinierte APP-URL auf WAF-CNAME-Ziel verweisen. Rufen Sie das CNAME-Ziel wie unten dargestellt von der WAF-Seite ab:

    waf1s-mulitple-domain

  2. Erstellen Sie CNAME-DNS-Einträge wie folgt:

    Benutzerdefinierter Hostname WAF-CNAME-Ziel
    myapp1.mydomain.com <xxxyyyy.o.waas.oci.oraclecloud.net>
    myapp2.mydomain.com <xxxyyyy.o.waas.oci.oraclecloud.net>

WAF-Umgehung verhindern

Die Option "Netzwerkzugriff" in Oracle Integration stellt eine zulässige Liste bereit, die verhindern kann, dass Benutzer auf eine direkte URL zugreifen und WAF umgehen.

Eine Liste der WAF-IP-Bereiche finden Sie unter WAF-IP-Bereiche.

Hinweis: Stellen Sie für Szenario 2 sicher, dass nur über die WAF-IP-Bereiche auf den Load Balancer zugegriffen werden kann, indem Sie dessen NSG/SecList aktualisieren.

Schlussfolgerung

Vanity-Domains oder benutzerdefinierte URLs bieten Kunden eine wertvolle Gelegenheit, ihre auf der VBCS-Instanz gehosteten Anwendungen zu verbessern. Durch die Entscheidung für personalisierte Domains können Kunden ihre Markenidentität stärken, ein professionelles Online-Image fördern und eine unvergesslichere Erfahrung für Benutzer schaffen. Die Verwendung von Vanity-Domains/benutzerdefinierten URLs ermöglicht es Kunden, ihre zugrundeliegende Infrastruktur für Anwendungen abzuschirmen und so eine direkte Exposition gegenüber tatsächlichen Hostnamen zu gewährleisten.

Darüber hinaus können Kunden ihre Sicherheitsmaßnahmen noch einen Schritt weiter gehen, indem sie eine Web Application Firewall (WAF) vor ihren Anwendungen implementieren. Die WAF fungiert als proaktiver Abwehrmechanismus, der eingehenden Webdatenverkehr analysiert und filtert. Dadurch wird das Risiko böswilliger Angriffe reduziert und ein sichereres Surferlebnis für Endbenutzer sichergestellt.

Zusammenfassend lässt sich sagen, dass die Kombination aus Vanity-Domains/benutzerdefinierten URLs und der Implementierung einer WAF sowohl Branding- als auch Sicherheitsaspekte für Anwendungen, die auf der VBCS-Instanz gehostet werden, verstärken und eine umfassende und robuste Lösung für Unternehmen bieten, um in der digitalen Landschaft erfolgreich zu sein.

Danksagungen

Weitere Lernressourcen

Lernen Sie andere Übungen auf docs.oracle.com/learn kennen, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube Channel zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.