1. Ingegna log WAF OCI utilizzando Oracle Functions ed Eventi
  2. Ingest Oracle Cloud Infrastructure WAF Logs mediante Oracle Functions ed eventi

Ingest Oracle Cloud Infrastructure WAF Logs mediante Oracle Functions ed eventi

Oracle Cloud Infrastructure (OCI) Web Application Firewall (WAF) è un servizio Oracle Cloud che protegge le applicazioni Web dalle minacce. I log sono disponibili all'interno del servizio WAF. Questo documento descrive l'architettura per la compilazione dei log di WAF e inoltra tali log a OCI Logging per un ulteriore consumo da parte di terzi, ad esempio Splunk.

Architettura

Questa architettura descrive come compilare i log di WAF e inoltrarli al log OCI per un ulteriore consumo da parte di terzi, ad esempio Splunk.

Il seguente diagramma illustra questa architettura di riferimento.

Segue descrizione waf_logs_function_events.png
Descrizione dell'immagine waf_logs_function_events.png

L'architettura contiene i componenti riportati di seguito.

  • Area

    Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni, e vaste distanze possono separarle (tra paesi o addirittura continenti).

  • Web Application Firewall

    Un Web Application Firewall (WAF) filtra e monitora il traffico HTTP tra un'applicazione Web e Internet. Si tratta di una difesa a livello di protocollo 7 che protegge le applicazioni Web dalla maggior parte degli attacchi dannosi.

  • Domini di disponibilità

    I domini di disponibilità sono data center indipendenti e autonomi all'interno di un'area. Le risorse fisiche in ogni dominio di disponibilità vengono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza di errore. I domini di disponibilità non condividono infrastrutture quali l'alimentazione o il raffreddamento o la rete di dominio di disponibilità interna. È quindi improbabile che un errore a un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.

  • Tenancy

    Una tenancy è una partizione sicura e isolata impostata da Oracle all'interno di Oracle Cloud al momento dell'iscrizione a Oracle Cloud Infrastructure. È possibile creare, organizzare e amministrare le risorse in Oracle Cloud all'interno della tenancy.

  • Rete cloud virtuale (VCN) e subnet

    Un VCN è una rete customizzabile e definita dal software impostata in un'area Oracle Cloud Infrastructure. Come le reti di data center tradizionali, i VCN consentono di controllare completamente l'ambiente di rete. Un VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo la creazione di VCN. È possibile segmentare un VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet in VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  • Storage degli oggetti

    Lo storage degli oggetti consente di accedere rapidamente a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti ricchi quali immagini e video. Utilizzare lo storage standard per lo storage "caldo" a cui è necessario accedere rapidamente, immediatamente e frequentemente. Utilizzare lo storage di archivio per lo storage "freddo" che si conserva per lunghi periodi di tempo e raramente o raramente si accede.

  • Log
    Il log è un servizio altamente scalabile e completamente gestito che fornisce l'accesso ai seguenti tipi di log dalle risorse nel cloud:
    • Log audit: log relativi agli eventi emessi dal servizio audit.
    • Log dei servizi: log emessi da singoli servizi, quali gateway API, eventi, funzioni, bilanciamento del carico, storage degli oggetti e log di flusso VCN.
    • Log personalizzati: log che contengono informazioni di diagnostica da applicazioni personalizzate, altri provider cloud o un ambiente in locale.

Suggerimenti

Utilizzare come punto di inizio i suggerimenti riportati di seguito. I requisiti potrebbero essere diversi dall'architettura descritta qui.
  • VCN e Subnet

    Quando si collega la funzione OCI a una subnet e a VCN, è necessario assicurarsi che la subnet possa raggiungere in modo corretto sia lo storage degli oggetti che gli endpoint di log OCI.

  • Servizio storage degli oggetti

    Questo servizio raccoglie i log WAF emessi automaticamente dal servizio WAF. È necessario assicurarsi che questo buck sia abilitato per "Emit Events”

  • Servizio Eventi

    Questo servizio controlla il bucket di storage degli oggetti di log di WAF per i nuovi eventi di creazione degli oggetti. Si consiglia di filtrare solo gli oggetti creati in questo bucket specifico.

  • Servizio funzioni

    Questo servizio viene attivato nei nuovi eventi di creazione oggetto.

  • Log

    Questa architettura acquisisce i log dalla memorizzazione degli oggetti generata dal servizio WAF. Si consiglia inoltre di abilitare il log delle funzioni nel caso in cui sia necessario risolvere i problemi.

  • Controllo dell'accesso
    La funzione OCI utilizzata autentica per principal risorsa. Per soddisfare questo pattern è necessario un gruppo dinamico con un criterio che consenta quanto segue:
    • Allow dynamic-group WAFLogs to use logging-family in compartment compartment
    • Allow dynamic-group WAFLogs to read buckets in compartment compartment_name
    • Allow dynamic-group WAFLogs to read objects in compartment compartment_name
  • Gateway del servizio

    Quando si distribuisce la funzione nelle subnet, utilizzare un gateway di servizio per comunicare con gli endpoint del servizio di memorizzazione degli oggetti e log OCI.

Considerazioni

Quando si implementa questa architettura, considerare i fattori riportati di seguito.

  • Prestazioni

    Le scale di architettura si basano sul numero di eventi generati dal servizio WAF. Il servizio OCI Logging è altamente scalabile.

    Anche gli eventi, le funzioni e lo streaming sono altamente scalabili ed è utilizzato come condotto temporaneo per memorizzare le informazioni sugli eventi inviate dal servizio di log. Il servizio Streaming funge anche da load balancer. Si consiglia di adeguare il numero di partizioni e flussi in base alla quantità di dati di log previsti.

  • Disponibilità

    Oracle garantisce un'elevata disponibilità dei servizi Funzioni, Eventi, Streaming, Log, nativi del cloud e completamente gestiti.

    Lo streaming include le seguenti funzionalità ad alta disponibilità:
    • Flusso costante di dati di log
    • Servizio multi-lettura e scalabile orizzontalmente
    • Ingestione quasi in tempo reale
    • Resilienza contro interruzioni a breve termine
    • Ottimizzato per un uso efficiente dei dati
  • Visualizzazione e analisi
    Una volta ingeriti i log, è possibile scegliere tra diversi pattern di implementazione, ad esempio:
    • Analitica log Oracle
    • Ingest Effettua il login a Splunk utilizzando l'aggiunta di log OCI per Splunk
    • Visualizzare i log utilizzando l'applicazione OCI per Splunk
    Per ulteriori informazioni sugli ultimi pattern elencati sopra, vedere i documenti a cui si fa riferimento nell'argomento "Esplora di più".

Esplora altro

Ulteriori informazioni sulla registrazione e l'inoltro dei log WAF al log Oracle Cloud Infrastructure.

Rivedere queste risorse aggiuntive: