Información sobre protección de aplicaciones web basadas en microservicios desde ataques cibernéticos
Cuando las aplicaciones se despliegan en la nube pública, es necesario protegerlas y protegerlas en cada nivel. El servicio WAF en Oracle Cloud Infrastructure proporciona un enfoque por capas para proteger aplicaciones contra ataques cibernéticos. Algunas de las funciones incluyen, entre otras:
- En 250 proyecto de seguridad de Open Web Access (OWASP), aplicación y reglas de protección específicas de conformidad
- Inteligencia de thread agregada de varias fuentes, incluidas Webroot BrightCloud®
- Gestión avanzada de bots con verificación de JavaScript, comprobación de CAPTCHA, lista blanca, huellas de dispositivos y algoritmos de interacción humana
- Control de acceso basado en reglas, incluidas las cabeceras HTTP, los patrones de URL, la geolocalización y las características de la dirección IP
- Protección de ataque de denegación de servicio (DDoS) distribuida por capa 7
En la siguiente imagen se muestran las funciones de seguridad de WAF en Oracle Cloud Infrastructure.
Antes de Empezar
Arquitectura
Este diagrama de arquitectura muestra la aplicación completa de microservicios de RESTful Java protegida mediante WAF.
Cada microservicio consta de la aplicación que se ejecuta en varios contenedores de Docker de un cluster de Kubernetes. El tráfico de aplicaciones se enruta a través del servicio WAF orientado a Internet, normalmente mediante un sistema de nombres de dominio (DNS). WAF se configura para reenviar el tráfico de solicitudes a la aplicación a través de un equilibrador de carga. El equilibrador de carga selecciona qué instancia de aplicación se utiliza para procesar una solicitud. El número de instancias de aplicación está controlado por el cluster de Kubernetes y se puede ampliar o reducir automáticamente. Utilice esta arquitectura para desplegar aplicaciones de microservicios similares.
- La aplicación cliente de servicio web de RESTFul, escrita en HTML/CSS/JavaScript, se utiliza para acceder a la aplicación.
- El cliente se conecta a la aplicación a través del servicio WAF orientado a Internet, normalmente mediante DNS.
- WAF se configura para reenviar el tráfico de solicitudes a la aplicación a través de un equilibrador de carga mediante la dirección IP del equilibrador de carga, en este caso.
- La aplicación backend es un juego de contenedores de Docker en un cluster de Kubernetes. Normalmente, se despliega más de una copia de la aplicación y el equilibrador de carga se utiliza para seleccionar con qué instancia de aplicación se comunica el cliente.
- La aplicación utiliza Oracle Cloud Infrastructure Database para la persistencia. Los datos almacenados se envían a la base de datos. No se guarda ningún estado en el cluster de Kubernetes.
Acerca de los servicios y roles necesarios
Esta solución requiere los siguientes servicios:
- Oracle Cloud Infrastructure Database
- Oracle Cloud Infrastructure Container Engine for Kubernetes
- Oracle Cloud Infrastructure Registry
Para utilizar Oracle Cloud Infrastructure WAF, debe tener suficientes privilegios definidos en waas-policy. Si intenta realizar una acción y obtener un mensaje para el que no tiene permiso o que no está autorizado, confirme con el administrador el tipo de acceso que se le ha otorgado y en qué compartimento debería trabajar.
Para permitir que un grupo de usuarios específico gestione las políticas en WAF:
Allow group <GroupName> to manage waas-policy in compartment <CompartmentName>Allow group <GroupName> to read waas-work-request in compartment <CompartmentName>Vea cómo obtener servicios de Oracle Cloud para las soluciones de Oracle para obtener los servicios en la nube que necesite.