Informazioni sulla protezione di applicazioni Web basate su microservizi da Cyberattacks
Quando le applicazioni vengono distribuite nel cloud pubblico, è necessario proteggerle e proteggerle a ogni livello. Il servizio WAF su Oracle Cloud Infrastructure offre un approccio strutturato per proteggere le applicazioni da cyberattacks. Alcune funzioni includono, ma non limitate a:
- Oltre 250 regole di protezione predefinite Open Web Access Security Project (OWASP), applicazione e specifiche di conformità
- Intelligence di thread aggregata da più origini, incluso Webroot BrightCloud®
- Gestione dei bot avanzati con verifica di JavaScript, richiesta di verifica CAPTCHA, lista di inclusione, impronta dei dispositivi e algoritmi di interazione umana
- Controllo dell'accesso basato su regole incluse le intestazioni HTTP, i pattern di URL, la geolocalizzazione e le caratteristiche dell'indirizzo IP
- Protezione attacchi DDoS (Denal-Service) distribuiti layer 7
Nell'immagine seguente sono elencate le funzioni di sicurezza di WAF in Oracle Cloud Infrastructure.
Operazioni preliminari
Architettura
Questo diagramma dell'architettura mostra l'applicazione RESTful Java microservizi completata protetta utilizzando WAF.
Ogni microservizio è composto dall'applicazione eseguita in più contenitori Docker in un cluster Kubernetes. Il traffico delle applicazioni viene instradato attraverso il servizio WAF, basato su Internet, in genere tramite un DNS (Domain Name System). WAF è configurato per inoltrare il traffico delle richieste all'applicazione tramite un load balancer. Il load balancer seleziona quale istanza di applicazione viene utilizzata per elaborare una richiesta. Il numero delle istanze di applicazione viene controllato dal cluster Kubernetes e può essere ridimensionato o Inattivo automaticamente. Utilizzare questa architettura per distribuire applicazioni di microservizi simili.
- L'applicazione client del servizio Web RESTFul, scritta in HTML/CSS/JavaScript, viene utilizzata per accedere all'applicazione.
- Il client si connette all'applicazione tramite il servizio WAF, basato su Internet, in genere tramite un DNS.
- WAF è configurato per inoltrare il traffico delle richieste all'applicazione tramite un load balancer utilizzando l'indirizzo IP del load balancer in questo caso.
- L'applicazione backend è un set di contenitori Docker in un cluster Kubernetes. In genere, viene distribuita più di una copia dell'applicazione e il load balancer viene utilizzato per selezionare l'istanza dell'applicazione con cui il client comunica.
- L'applicazione utilizza Oracle Cloud Infrastructure Database per la persistenza. Viene eseguito il PUSH di qualsiasi dato memorizzato nel database. Nessuno stato salvato nel cluster Kubernetes.
Informazioni su servizi e ruoli richiesti
Questa soluzione richiede i seguenti servizi:
- Oracle Cloud Infrastructure Database
- Oracle Cloud Infrastructure Container Engine for Kubernetes
- Oracle Cloud Infrastructure Registry
Per utilizzare Oracle Cloud Infrastructure WAF, è necessario disporre di privilegi sufficienti definiti in waas-policy. Se prova a eseguire un'azione e si riceve un messaggio per il quale non si dispone dell'autorizzazione o non si dispone dell'autorizzazione, confermare con l'amministratore il tipo di accesso di cui si è assegnatari e il compartimento in cui lavorare.
Per consentire a un gruppo di utenti specifico di gestire i criteri in WAF, procedere come segue.
Allow group <GroupName> to manage waas-policy in compartment <CompartmentName>Allow group <GroupName> to read waas-work-request in compartment <CompartmentName>Vedere Informazioni su come ottenere i servizi Oracle Cloud per Oracle Solutions per ottenere i servizi cloud necessari.