在评估可能满足其要求的各种服务和解决方案产品时,我们的客户(一家全球 IT 解决方案公司)对部署和操作结合了内容交付网络 (CDN)、Webapplication防火墙 (WAF) 以及针对欺诈/机器人和分布式拒绝服务 (DDoS) 攻击的保护的解决方案所涉及的变量进行了广泛的审查。 经过大量分析和与多个团队的内部讨论后,我们的客户确定最佳解决方案是 F5 Silverline 与 Amazon CloudFront 内容分发网络的组合。
我们的客户选择该解决方案是因为它提供托管安全服务、快速部署以及更低的配置、维护和运营成本。 内部客户团队制定了网站发展计划,并专注于快速完成计划的每个阶段,而不会对正在进行的运营产生重大影响。
该架构的易于实施和综合优势提供了持续的性能改进、额外的安全控制、广泛的报告和日志记录以及向 SIEM 和其他日志分析平台的数据导出功能。 这使我们的客户团队能够专注于他们最擅长的领域:提供无缝且引人入胜的客户体验。
我们的客户选择 F5 和 AWS 解决方案来实施其计划的第四阶段(图 1),主要是因为每项服务在其配置中提供的灵活性、低运营成本以及通过多次迭代随时间扩展系统的能力。 另一个关键因素是能够与 F5 Silverline 安全运营中心 (SOC) 分析师合作,他们持续监控 Silverline 平台。 (Silverline 是 F5 基于云的托管安全服务平台。) SOC分析师帮助我们的客户定义他们的安全态势并最大限度地提高系统的可用性。 这使得我们的客户能够提供无摩擦的体验,同时不懈地打击欺诈和滥用行为。
在 Web应用发展过程中,平衡运营成本与性能改进,同时提供快速、安全、顺畅的客户体验
在架构和设计 Web应用时,公司面临着许多挑战和限制。 一个主要的考虑因素是平衡获取、部署和管理技术和人员的成本,从而有效地实现应用生命周期内性能的持续改进。 下图描述了我们的客户针对开发 Web应用所需的成本与性能之间的平衡进行的分析。
在初始阶段,我们的客户专注于部署应用和获取客户。 他们为实现目标所采取的步骤包括:
在第二阶段,客户专注于增强和改进,以获得客户群并为进一步扩展做好准备。
在第三阶段,我们的客户与我们的 F5 Silverline 客户团队合作部署托管安全组件并配置 Amazon CloudFront,以确保应用能够扩展并容纳所有生成的流量。
对于第四阶段,我们的客户分析了客户来源请求并确定他们的许多客户都是从美国以外的国家进行交易的。 这一观察结果,加上对美国需求增长的额外分析,促使他们实施 Amazon CloudFront,以扩大其覆盖范围并提高全球性能。
在最后阶段,客户团队专注于部署混合主机托管服务和 SaaS/IaaS/PaaS 平台的混合环境,以增强其运营能力和对快速变化的全球市场环境的适应能力。
本文档将重点介绍我们的客户为完成 Amazon CloudFront 与 F5 Silverline 托管安全服务平台第四阶段集成而执行的技术步骤。
确保服务部署和系统集成成功的基本要求
为了准备将 Amazon CloudFront 集成到 F5 Silverline 平台,我们的客户在 Silverline 团队的协助下配置了以下项目:
构建安全、可扩展的网络,让客户在全球范围内获得最佳性能和参与体验
对于任何组织来说,部署一个具有多宿主链路和多种服务的安全、快速、全球网络都不是一件容易的事。 幸运的是,客户可以从 F5 和 AWS 提供的基础设施和服务的综合投资中受益。 这使得客户能够构建一个能够快速部署到机载应用并实现最高效率的解决方案,并立即实现投资回报。
我们的客户选择部署的架构如下图所示:
易于部署,可快速集成
企业被迫推出能够快速响应市场挑战的应用,以获得竞争优势和/或节省成本。 与需要大量资源和额外成本的部署相比,可以在短时间内完成的部署具有相当大的优势。 借助 F5 和 AWS,这些配置的部署非常简单;如果客户已准备好所有组件和数据进行配置,则可以在几分钟内完成。
第三阶段完成后,我们的客户进入第四阶段,该阶段需要将 Amazon CloudFront 与 F5 Silverline 平台集成,并包括以下步骤:
当我们的 Silverline SOC 团队部署门户帐户时,客户可以登录并配置代理根对象,并使用代理显示名称、FQDN(完全限定域名)、原始服务器 IP 地址或 ELB CNAME(规范记录)、威胁情报配置文件、WAF 策略、SSL 证书和欺诈/机器人保护端点所需的设置。 客户将在入职阶段与 Silverline SOC 分析师一起审查这些步骤。 客户还可以聘请 SOC 分析师来协助任何代理部署。
一旦代理被保存并部署到 Silverline 平台,客户将收到一个唯一的 CNAME,该 CNAME 将用作 Amazon CloudFront 网络的原点。 部署后,客户可以在主配置面板中找到此代理 CNAME。
图4: Silverline 代理 CNAME
一旦启用代理,它就可以立即接收流量,并且可以在配置该服务后立即用于从 CloudFront 路由用户请求。
Amazon CloudFront - 服务配置
为了确保顺利集成,客户在执行 CloudFront 集成之前应掌握以下信息。
一旦这些组件到位并配置完毕,客户就可以通过导航到 AWS 管理控制台启动 CloudFront 配置。 在控制台菜单中,找到并选择子类别“网络和内容交付”/CloudFront 。 找到并选择“分布”链接,然后继续创建初始分布。
图5: AWS 管理控制台和 CloudFront 导航
图6: CloudFront 分布面板
要启动对象配置,请选择“创建分布”控件。 系统可能会提示您创建“特定传送方式”。 我们的客户选择了“Web”交付方式。
选择“开始”控件。 下面的面板将在浏览器上呈现。 配置 Origin 设置,如下所示:
图 7: CloudFront 分布配置面板 - 源设置
除非需要更改,否则源连接尝试次数、源超时、源响应超时、源保持活动超时、HTTP 和 HTTPS 端口应保持为默认值。
原产地客户标头: 自定义标头键和值将出现在对源的每个请求中。 这些设置还可用于过滤掉 Silverline 代理中任何不是来自 CloudFront 的请求。
可以根据应用开发人员、信息技术、DevOps、安全团队和其他利益相关者定义的内部策略进行编程。 必须强调的是,了解任何值的改变对应用整体运行的影响程度非常重要。 F5 Silverline 建议采用渐进式方法,因为每种设置都可能引入成本、安全风险、性能影响以及与 Silverline WAF 或 Bot/ 欺诈防护的交互方面的差异。 AWS 从管理控制台提供了出色的文档,帮助组织了解如何应用每个控制以及它可能对现有操作产生什么影响。 我们的 Silverline SOC 分析师还可能提供有关这些设置如何影响 Silverline 代理、WAF 或 Bot/ 欺诈防护的信息。
图 8: CloudFront 分配配置面板 - 默认缓存行为设置
分发设置也可能对操作产生相当大的影响。 值得额外考虑的设置如下:
图 9: CloudFront 分发配置面板 - 分发设置
最后一步是创建分布。
这需要几分钟,完成后客户将收到 CNAME。
图 10: CloudFront Distributions - 创建分发控制
现在,Amazon CloudFront 颁发的 CNAME 可与 AWS Route 53 一起使用,作为流向应用的任何流量的权威解析记录。
我们客户的内部安全、信息技术、运营和开发团队花费大量时间评估最适合其客户参与和营销战略目标的解决方案。 一旦我们的客户选择了解决方案,实施就会顺利进行,他们在几分钟内就可以在全球范围内启动和运行服务和应用,为全球客户提供更加顺畅、更快捷的参与体验。