适用于 Amazon AWS 的全新 Auto Scaling 和独立 WAF 解决方案
让我们先稍微偏离主题,讨论一下世界上最受欢迎的视频点播服务 Netflix。 2009 年至 2016 年间,Netflix 的订阅用户数量呈现惊人的增长,从 1200 万增加至 4800 万余人,仅在 2016 年最后 3 个月就新增了 143 万名客户。 如果您有幸在那段时期成为 Netflix 的主要股东,那么您可能会一路笑着去银行,但如果您是负责提供支持这种爆炸性增长的基础设施的 IT 团队的一员,那么您可能要绞尽脑汁了。
扩大自己的数据中心以满足不断增长的需求根本不可行,因为涉及资本和运营支出,更不用说可能出现的管理麻烦了。 因此,大约在同一时间,他们迈出了未知的一步,开始了一项为期 7 年的项目,将所有运营转移到 AWS 云,从而能够利用云供应商可以提供的看似无限的可扩展性。 你们可能知道,他们最近完成了这一壮举。
有些人可能会想‘工作完成了’ ......但他们错了。 你知道,扩大规模以满足长期增长的需求的能力是一回事,但是当需求在短期内发生很大波动时会发生什么? 最近的一项调查显示,在互联网高峰时段(晚上 7 点至 11 点),Netflix 承担了美国所有下行流量的 35.2%——然而,不出所料,在这些时段之外,他们只承担了其中很小一部分,从而导致需求出现周期性波动,如下图 1 所示,借用自这篇文章。
为了应对这种巨大的需求变化,Netflix 实施了自己的自动扩展算法Scryer ,这使他们能够提供足够的 AWS EC2 实例来处理高峰时段的需求,同时撤销任何被视为多余的实例。 这确保了用户在高峰时段享受优质的服务,同时最大限度地减少了非高峰时段的计算开销。
虽然这只是一个例子,与 F5 的解决方案没有特定的联系,但它让我们认识到当今时代对自动扩展解决方案的需求,并引出了这篇文章的核心——F5 新的自动扩展 Webapplication防火墙 (WAF) 解决方案。
相关,您是否知道 2016 年大约 40%的数据泄露是由于应用层攻击造成的? 尽管对应用的需求可能每天、每小时都在变化,但有一件事始终不变——需要确保它的保护。 如果应用及其数据的安全性在此过程中受到威胁,那么可扩展以支持不同吞吐量的解决方案有什么好处呢? F5 针对 AWS 的全新自动扩展 WAF 解决方案可提供应用所需的企业级安全性,无论流量水平如何,同时确保您仅配置和支付所需的公共云资源。
从本质上讲,WAF 解决方案由业界验证且通过 ICSA 认证的 BIG-IP ASM 和BIG-IP LTM提供支持,它们结合起来,可以全面防御复杂的攻击媒介,包括 L7 DDoS 攻击、OWASP 十大威胁和恶意机器人攻击。 通过利用自动学习功能、动态分析和基于风险的策略,BIG-IP ASM 还能够实施额外的安全预防措施,以防止最复杂的攻击到达应用服务器。
但是自动缩放组件怎么样? 运行该解决方案所需的一切都已捆绑到 AWS CloudFormation 模板中,从 BIG-IP虚拟版和S3 存储桶到Auto Scaling 组和CloudWatch 警报,以便这些服务本能地相互作用以提供完全自主的解决方案。 启动之前,模板需要用户输入一些参数,例如随时可运行的 VE 实例的最小数量,或者吞吐量阈值(当超过该阈值时,会通知自动缩放组启动或撤销实例)(通常是最大实例吞吐量的 80% 和 20%)。 启动的 VE 实例分布在各个 AWS 可用区(如图 2 所示),以进一步提高可用性。
该解决方案由 F5 专家按照 BIG-IP 和 AWS 最佳实践进行设计和全面测试,以简化部署体验并让用户能够自信地部署他们的 F5 平台。 解决方案中的 BIG-IP ASM 实例要么采用 F5 精心设计的预配置安全策略进行部署,要么采用特定于各个应用的定制策略进行部署。
这就是它的全部内容,它是一个完整的 WAF 解决方案,可以根据应用的需求进行扩展,以确保其持续防御最复杂的第 7 层攻击。 只需单击几下即可直接从 AWS 市场进行部署,整个设置可在不到一小时的时间内于 AWS VPC 内实施并运行。
在这一点上,我要补充一点,虽然我们主要关注自动扩展 WAF 解决方案,但通过相同的 AWS Marketplace 产品,可以部署独立的 WAF 映像来保护具有更可预测和一致的流量的应用。 自动扩展和独立解决方案均利用 PAYG(即用即付)VE 实例,每个实例具有 25Mbps、200Mbps 或 1Gbps 的灵活吞吐量选项。
有关更多信息,您可以查看 GitHub 上的自动缩放 WAF 存储库,该存储库提供了有关 CloudFormation 模板如何运行的更多技术见解,或者访问此处的市场页面。
相关资源