Remarques :

Protéger les applications Visual Builder Cloud Service sur Oracle Integration avec OCI Web Application Firewall

Introduction

Web Application Firewall protège les applications Web contre un large éventail de menaces en ligne, notamment l'injection SQL, les scripts intersites (XSS), l'exécution de code à distance, etc. Il est donc recommandé de protéger les applications Visual Builder Cloud Service (VBCS) à l'aide d'Oracle Cloud Infrastructure (OCI) Web Application Firewall (WAF) (en périphérie ou régional).

Objectifs

Dans ce tutoriel, nous aborderons deux scénarios utilisant Edge WAF :

  1. WAF dédié pour une application VBCS individuelle.

  2. WAF centralisé pour plusieurs applications VBCS.

NOM DE L'APPLICATION URL personnalisée
VBCS APP1 myapp1.mydomain.com
VBCS APP2 myapp2.mydomain.com

Prérequis

Avant de poursuivre la configuration WAF, reportez-vous à Configuration d'une URL d'application personnalisée/d'un domaine de disponibilité pour l'application VBCS et configurez des domaines personnalisés sur des applications VBCS.

Scénario 1 : configuration de WAF dédié à une application VBCS spécifique

Chaque application VBCS est ainsi configurée avec son propre WAF dédié.

waf1

Tâche 1.1 : créer WAF

  1. Sur la console OCI, accédez à Identité et sécurité, Pare-feu d'applications Web, Stratégies, Créer une stratégie WAF.

    edge : waf1

  2. Dans URI, entrez l'autre adresse personnalisée obtenue à l'étape Obtenir les détails de l'alias d'adresse personnalisée dans Configurer l'URL d'application personnalisée/le domaine de gravité pour l'application VBCS.

Tâche 1.2 : Télécharger un certificat

  1. Accédez à Paramètres, Paramètres généraux, Modifier.

    waf1s

  2. Choisissez Télécharger ou coller le certificat et la clé privée. Dans le premier champ, entrez la chaîne de certificats signés CA. Dans le deuxième champ, entrez une clé privée.

    waf1s2

Tâche 1.3 : Publier les modifications

waf-publier

Remarque : configurez les règles d'accès et les règles de protection conformément à vos stratégies de sécurité. Cette étape n'est pas traitée dans le cadre de ce tutoriel.

Tâche 1.4 : créer des enregistrements DNS

  1. Pointez l'URL de l'application personnalisée sur la cible CNAME WAF. Obtenez la cible CNAME à partir de la page WAF comme indiqué ci-dessous :

    waf1-cname-cible

  2. Créez les enregistrements DNS CNAME comme suit :

    Nom d'hôte personnalisé Cible CNAME WAF
    myapp1.mydomain.com <xxxyyyy.o.waas.oci.oraclecloud.net>

Scénario 2 : configuration de WAF centralisé pour plusieurs applications VBCS

Un seul WAF avec un équilibreur de charge peut être utilisé pour protéger plusieurs applications VBCS. Cette configuration est préférable lorsque les stratégies WAF sont identiques pour plusieurs applications VBCS.

waf2

Tâche 2.1 : créer WAF

  1. Sur la console OCI, accédez à Identité et sécurité, Pare-feu d'applications Web, Stratégies, Créer une stratégie WAF.

    edge-multiple-app1

  2. Mettez à jour les URL personnalisées pour app2, app3 en tant que domaines supplémentaires.

  3. Dans le champ URI, entrez l'adresse IP publique de l'équilibreur de charge OCI.

Tâche 2.2 : Télécharger un certificat

  1. Accédez à Paramètres, Paramètres généraux, Modifier.

    waf1s

    waf1s2

    Remarque : lorsque vous utilisez un seul WAF pour plusieurs applications, veillez à demander un certificat SAN couvrant tous les noms de domaine des applications.

Tâche 2.3 : créer des enregistrements DNS

  1. Pointer l'URL d'application personnalisée vers la cible CNAME WAF. Obtenez la cible CNAME à partir de la page WAF comme indiqué ci-dessous :

    waf1s-domaine multiple

  2. Créez les enregistrements DNS CNAME comme suit :

    Nom d'hôte personnalisé Cible CNAME WAF
    myapp1.mydomain.com <xxxyyyy.o.waas.oci.oraclecloud.net>
    myapp2.mydomain.com <xxxyyyy.o.waas.oci.oraclecloud.net>

Empêcher le contournement WAF

L'option Accès réseau dans Oracle Integration fournit une liste autorisée qui peut empêcher les utilisateurs d'accéder à l'URL directe et de contourner WAF.

Pour obtenir la liste des plages d'adresses IP WAF, reportez-vous à Plages d'adresses IP WAF.

Remarque : pour le scénario 2, assurez-vous que l'équilibreur de charge est accessible uniquement à partir des plages d'adresses IP WAF en mettant à jour son groupe de sécurité réseau/SecList.

Conclusion

Les domaines personnalisés ou les URL personnalisées offrent aux clients une occasion précieuse d'améliorer leurs applications hébergées sur l'instance VBCS. En optant pour des domaines personnalisés, les clients peuvent renforcer leur identité de marque, promouvoir une image professionnelle en ligne et créer une expérience plus mémorable pour les utilisateurs. L'utilisation de domaines personnalisés/d'URL personnalisées permet aux clients de protéger l'infrastructure sous-jacente de leurs applications, en évitant toute exposition directe aux noms d'hôtes réels.

En outre, les clients peuvent prendre des mesures de sécurité plus loin en implémentant un pare-feu d'applications Web (WAF) devant leurs applications. Le WAF agit comme un mécanisme de défense proactif, analysant et filtrant le trafic Web entrant, réduisant ainsi le risque d'attaques malveillantes et assurant une expérience de navigation plus sûre pour les utilisateurs finaux.

En résumé, la combinaison de domaines personnalisés/URL personnalisées et l'implémentation d'un WAF renforcent les aspects de marque et de sécurité pour les applications hébergées sur l'instance VBCS, fournissant une solution complète et robuste pour que les entreprises puissent prospérer dans le paysage numérique.

Remerciements

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, rendez-vous sur education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.