En savoir plus sur la protection des applications Web basées sur les microservices contre les attaques Cyberattaques
Lorsque des applications sont déployées dans le cloud public, elles doivent être protégées et sécurisées à tous les niveaux. Le service WAF sur Oracle Cloud Infrastructure fournit une approche par couches pour sécuriser les applications contre les cyberattaques. Certaines fonctionnalités incluent, mais pas seulement :
- Plus de 250 règles de protection prédéfinies OWASP (Open Web Access Security Project), d'application et propres à la conformité
- L'intelligence agrégée des threads à partir de plusieurs sources, notamment Webroot BrightCloud®
- Gestion avancée du bot avec vérification JavaScript, défi CAPTCHA, liste blanche, empreintes de périphériques et algorithmes d'interaction humaine
- Contrôle d'accès basé sur les règles, dont les en-têtes HTTP, les modèles d'URL, la géolocalisation et les caractéristiques d'adresse IP
- Protection contre les attaques par déni de service (DDoS) distribuées au niveau de la couche 7
L'image suivante présente les fonctions de sécurité de WAF sur Oracle Cloud Infrastructure.
Avant de commencer
Architecture
Le diagramme d'architecture indique l'application RESTful Java microservices terminée, sécurisée à l'aide de WAF.
Chaque microservice consiste en l'application exécutée dans plusieurs conteneurs Docker dans un cluster Kubernetes. Le trafic des applications est acheminé via un service WAF, généralement via un système DNS (Domain Name System). WAF est configuré pour transmettre le trafic de demande à l'application via un équilibreur de charge. L'équilibreur de charge sélectionne l'instance d'application utilisée pour traiter une demande. Le nombre d'instances d'application est contrôlé par le cluster Kubernetes et peut être augmenté ou réduit automatiquement. Utilisez cette architecture pour déployer des applications de microservices similaires.
- L'application client de service Web RESTFul, écrite en HTML/CSS/JavaScript, permet d'accéder à l'application.
- Le client se connecte à l'application via le service Internet, WAF, généralement via un DNS.
- WAF est configuré pour transmettre le trafic des demandes à l'application via un équilibreur de charge à l'aide de l'adresse IP de l'équilibreur de charge, dans ce cas.
- L'application back-end est un ensemble de conteneurs Docker dans un cluster Kubernetes. En général, plusieurs copies de l'application sont déployées et l'équilibreur de charge est utilisé pour sélectionner l'instance d'application avec laquelle le client communique.
- L'application utilise Oracle Cloud Infrastructure Database pour la persistance. Toutes les données stockées sont transmises à la base de données. Aucun état n'est enregistré dans le cluster Kubernetes.
A propos des services et des rôles obligatoires
Cette solution requiert les services suivants :
- Oracle Cloud Infrastructure Database
- Oracle Cloud Infrastructure Container Engine for Kubernetes
- Oracle Cloud Infrastructure Registry
Pour utiliser Oracle Cloud Infrastructure WAF, vous devez disposer de privilèges suffisants dans waas-policy. Si vous essayez d'effectuer une action et d'obtenir un message pour lequel vous ne disposez pas des droits d'accès ou que vous n'êtes pas autorisé, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Pour autoriser un groupe d'utilisateurs spécifique à gérer les règles dans WAF, procédez comme suit :
Allow group <GroupName> to manage waas-policy in compartment <CompartmentName>Allow group <GroupName> to read waas-work-request in compartment <CompartmentName>