Observação:
- Este tutorial requer acesso ao Oracle Cloud. Para se inscrever e obter uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
- Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.
Adicione a proteção do Oracle Cloud Infrastructure Web Application Firewall a um Balanceador de Carga flexível
Introdução
Os aplicativos Web geralmente são alvos de ataques maliciosos que exploram vulnerabilidades e configurações incorretas no aplicativo. O Oracle Cloud Infrastructure Web Application Firewall (OCI WAF) ajuda a reforçar a postura de segurança dos seus aplicativos, fornecendo alguma proteção contra as vulnerabilidades comuns da Web, conforme identificado pelas 10 principais vulnerabilidades do Open Web Application Security Project (OWASP). O OCI WAF é um serviço de aplicação regional e de borda que é anexado a um ponto de aplicação, como um Balanceador de Carga Flexível da OCI ou um nome de domínio de aplicativo Web.
O OCI WAF oferece proteção ao seu aplicativo web contra ameaças à camada 7 com duas versões: Edge WAF e Regional WAF (WAF no Balanceador de Carga). O WAF nos Balanceadores de Carga da OCI pode ajudar a proteger seus aplicativos internos contra ameaças internas e fornecer segurança WAF aprimorada para cargas de trabalho de aplicativos "na região". O serviço WAF no Balanceador de Carga suporta aplicativos públicos e privados. É melhor para aplicações com presença regional. O Edge WAF é melhor para aplicativos/usuários voltados ao público que são distribuídos globalmente.
Objetivo
Aplique os recursos de proteção do OCI WAF a um Balanceador de Carga do OCI.
Pré-requisitos
- Uma conta do OCI com acesso para criar e gerenciar políticas do OCI Load Balancer e do OCI WAF
- Aplicativo Web pré-configurado (Neste tutorial, o aplicativo Web está em execução no OCI na porta 80)
- Um Balanceador de Carga Flexível do OCI
Tarefa 1: Configurar um balanceador de carga flexível
-
Siga as instruções deste blog e crie um balanceador de carga público na console do OCI.
-
Neste tutorial, criamos um balanceador de carga público e adicionamos um aplicativo Web pré-configurado como servidor de backend a esse balanceador de carga.
-
O nome do balanceador de carga é LB_WAF. Uma vez criado no OCI, o seguinte status é mostrado na console do OCI:
-
A 'Integridade geral' mostrada para o balanceador de carga mostra os resumos de status de integridade de cada conjunto de backend. Indicadores de status de integridade que exibem OK significa que todos os servidores de backend do conjunto de backend estão funcionando corretamente e estão íntegros.
Tarefa 2: Criar uma política de firewall de aplicativo web para o Balanceador de Carga
As políticas de firewall de aplicativo Web compreendem a configuração geral do serviço OCI WAF, incluindo regras de acesso, regras de limitação de taxa e regras de proteção.
Observação:
O controle de acesso do serviço WAF consiste em regras para controlar o acesso ao seu aplicativo Web com base em condições como geolocalização, consulta de URL, endereços IP, cabeçalho da Solicitação etc.
A limitação de taxa permite a inspeção das propriedades da solicitação HTTP e limita a frequência de solicitações para cada endereço IP de cliente exclusivo.
As regras de proteção comparam o tráfego web com as condições das regras e determinam as ações a serem tomadas quando as condições são atendidas.
-
Navegue até a Console do OCI, Identidade e Segurança, Firewall de Aplicativo Web.
-
Escolha seu compartimento e clique em Criar política de WAF.
-
Especifique informações básicas para a política de WAF - Nome e Compartimento.
-
Adicione uma regra de controle de acesso de amostra, limitação de taxa e regra de proteção.
-
Regra de Controle de Acesso: Neste tutorial, criamos uma regra de controle de acesso quando a condição do caminho do URL que contém a palavra-chave script é atendida. A ação da regra retornará uma resposta HTTP - 401 não autorizada.
Saída da Regra
-
Regra de Limitação de Taxa: Taxa que limita o acesso quando a condição do caminho do URL que contém a palavra-chave rate e acessada por 3 vezes em uma duração de 10 segundos é atendida. A ação da regra retornará uma resposta HTTP - 303 e uma mensagem.
Saída da Regra
-
Regra de proteção: Neste tutorial, ativamos a regra de proteção contra XSS (cross-site scripting) em que o WAF reconhece o script injetado no URL com base na regra XSS ativada. Se houver uma tentativa de injetar um Script de Site Cruzado no IP do Balanceador de Carga, o acesso será negado conforme definido na regra.
Saída da Regra
-
-
Adicione o Balanceador de Carga (LB_WAF), criado na Tarefa 1 como um firewall.
-
No assistente de Criar política de WAF, escolha a opção Verificar e Criar. Depois que a política de WAF for criada, os detalhes a seguir serão exibidos.
Links Relacionados
Aquisições
Autor: Shruti Soumya (Engenheiro Sênior de Segurança na Nuvem)
Mais Recursos de Aprendizagem
Explore outros laboratórios no site docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal YouTube do Oracle Learning. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.
Para obter a documentação do produto, visite o Oracle Help Center.
Add Oracle Cloud Infrastructure Web Application Firewall protection to a flexible Load Balancer
F80290-01
April 2023
Copyright © 2023, Oracle and/or its affiliates.