Dell EMC VxRail 上的现代工作负载

将可用性和安全服务引入基础设施即服务环境

Dell EMC VxRail 为希望在高性能平台上整合工作负载的企业提供了经过验证的虚拟化环境。 随着越来越多的工作负载（包括面向 Web 的微服务应用）迁移到该平台，基础设施管理人员需要将眼光放得更远，超越基础设施即服务。 为了支持不断增长的工作负载，他们需要研究能够确保不间断业务运营的性能、安全性和可用性的服务。 从生态系统的角度来看，我们的白皮书重点介绍 F5 网络应用服务，这些服务为 VxRail 上面向 Web 的工作负载提供可用性和安全性。 这些应用服务使用无缝集成到 VxRail VMware 环境中的 F5 软件，从而可以轻松地通过 VxRail vCenter 配置、配置和支持 F5 服务。

在 VxRail 环境中，基础设施管理员可以整合来自传统平台和云平台的应用，以创建一个位于基础设施之上的单一集成环境，实现最佳运行。 这些功能可以作为集成的“即服务”环境提供给内部利益相关者，确保性能和成本效率，并实现通过 VMware Cloud 无缝扩展到公共云。

白皮书中概述的关键主题：

• 第 1 部分： 在 VxRail 中部署 F5® 高级 Webapplication防火墙™ 服务
• 第 2 部分： 自定义安全策略
• 第 3 部分： 为工作负载和应用配置高可用性支持
• 第 4 部分： 确保面向网络的资产安全无虞
• 第 5 部分： 未来准备： 利用 vCenter 实现应用服务可见性和容量规划
• 第 6 部分： 概括

本节重点介绍如何使用 vCenter 管理界面在 VxRail 上配置和部署 F5 高级 Webapplication防火墙（Advanced WAF（API 安全 - 新一代 WAF））软件。 对于此示例，我们创建了两个托管示例工作负载的 Web 服务器，并在服务器前面部署了Advanced WAF（API 安全 - 新一代 WAF） 。 该示例的设计目标是优化和保护 Web 服务器中面向 Web 的工作负载。

首先在 VxRail vCenter 中创建一个Advanced WAF（API 安全 - 新一代 WAF）模板，如图 1 所示。 Advanced WAF（API 安全 - 新一代 WAF）模板应在 VxRail-Datacenter 的模板文件夹中列出。 模板中存储了Advanced WAF（API 安全 - 新一代 WAF）的镜像，未来可以使用该模板来启动应用服务，轻松实现服务创建。

单击Advanced WAF（API 安全 - 新一代 WAF）模板，如图 2 所示。 从此菜单中，您可以启动一个新的虚拟机，然后准备要使用的服务，并根据需要参考下面屏幕截图中概述的步骤。 我们提供了每个步骤的单独屏幕截图，以简化部署过程。

为确保顺利部署，请务必遵循以下准则：

• 为您的高级 WAF 的 VM 创建一个唯一的名称（我们在这里将其命名为 F5-AWAF-A）。
• 选择虚拟机的位置（我们选择 VxRail 数据中心作为默认位置）。
• 选择目标计算集群（我们将其命名为集群内的 F5 资源池）。
• 选择存储（我们选择 VxRail-Virtual-SAN-DataStore）。

完成配置过程后，您应该会看到Advanced WAF（API 安全 - 新一代 WAF）部署在 VxRail 群集上，其 IP 地址在摘要页面中指定，包括预先分配的计算资源和存储。 有关成功配置的部署的示例，请参见图 3。

一旦部署了Advanced WAF（API 安全 - 新一代 WAF）软件，我们就可以定义在传入流量通过 Web 服务器之前对其进行筛选的安全策略。 Advanced WAF（API 安全 - 新一代 WAF）使用户能够制定自己的细粒度的安全策略，并且还包括大量威胁情报和签名库。 这些库经常更新以包含最及时的安全信息，这使用户能够创建由最新威胁情报支持的以工作负载为中心的安全配置文件。 用户还可以选择启用“聆听”模式。 该模式使用机器学习建立特定于环境的基线安全策略，从而减少由误报触发的不必要警报。

BIG-IP 高可用性由 TMOS 支持，允许弹性方法和支持在所有产品模块中保持一致。

下图将引导您完成配置系统以实现高可用性所需的步骤。 这些步骤包括：

• 设置内部网络配置（例如 VLAN 信息）
• 设置外部网络配置
• 选择高可用性网络配置
• 审查并确认配置详细信息

在本节中，我们使用两个安全功能，即用户凭证投影和 SQL 注入阻止，来说明如何为面向 Web 的工作负载实施保护。 我们没有提供分步指南，而是创建了一个指南来展示这些安全功能如何自动阻止入侵和威胁，从而保证工作负载和后端基础设施的安全。

数据安全允许在应用层实时加密和混淆用户凭证和参数名称（例如ID和密码）。 实现此安全服务不需要对应用源代码进行任何编码更改或调整。

对于面向 Web 的资产或具有 HTTP/HTTPS 流量的应用，使用 SSL 进行数据加密是保护数据免遭非法第三方侵害的第一步。 传输过程中的SSL加密不足以确保数据安全。 凭证盗窃也可能发生在客户端级别；例如，最终用户可能通过点击有害文件或访问受恶意软件感染的网站而危害了他们的网络浏览器。

可以通过Advanced WAF（API 安全 - 新一代 WAF）控制台上的“安全”部分启用数据安全功能。  选择数据保护，然后继续数据安全配置文件：

• 创建新的个人资料
• 将个人资料名称设置为反欺诈
• 在反欺诈配置文件中启用应用层加密
• 启用其他标准来保护用户凭据

启用数据安全后，您可以设置在客户端级别加密面向 Web 的资产或服务的 ID 和密码的标准。 这降低了由于浏览器感染恶意软件而出现安全漏洞的风险。 受 Data Safe 保护的应用通过Advanced WAF（API 安全 - 新一代 WAF）呈现网页。 ID 和密码字符在用户输入时被加密。 即使浏览器被入侵，恶意软件也只能提取加密数据，而没有私钥则无法解密，而无法提取实际密码（有关更多详细信息，请参阅下图）。 除了客户端 Web 层凭证保护之外， Advanced WAF（API 安全 - 新一代 WAF）还可以升级为移动应用工作负载提供移动层保护。

A 部分： 用户凭证保护

B 部分： 关于 SQL 注入

SQL 注入在 OWASP 十大威胁列表中始终名列前茅。 黑客寻找应用代码中的漏洞，以寻找从后端数据库中提取重要数据的机会。 降低 SQL 注入风险的第一步是推广最佳编码实践，以确保“安全可靠”的编码。 您还可以在基础设施中应用额外的保护层。 Advanced WAF（API 安全 - 新一代 WAF）包含广泛的威胁情报，并包含一个威胁签名库，可以部署该库来保护面向 Web 的工作负载免受 SQL 注入。

要启用针对 SQL 注入的保护，请从应用安全菜单访问攻击签名部分，并使用 SQL 作为过滤关键字。 您将在威胁签名数据库中看到与 SQL 注入相关的签名列表。 截至本次演示完成时，已有563个相关签名可用于防御SQL相关的攻击。 选择所有相关的威胁签名并将其添加到您的应用安全策略中。

为了说明差异，下图展示了使用和不使用 SQL 注入阻止的结果。

有了保护，查询就会被阻止，而是返回类似这样的错误消息。

激活 SQL 注入后，SQL 查询在到达数据库之前就会被阻止。 潜在黑客会收到一条错误消息。

VxRail 提供可扩展、易于管理的环境，使用户能够轻松部署、测试和集成 F5 服务。 在本节中，我们将重点介绍Advanced WAF（API 安全 - 新一代 WAF）的使用详情，演示如何访问其当前状态的完整报告（例如，CPU 和内存利用率），并展示如何使用这些信息来规划未来的扩展。 我们的目标是确保 F5 软件能够支持 VxRail 的“即服务”模式。

下图显示了分配给我们服务的资源，让读者了解演示所使用的资源。 这使得基础设施管理员能够估算在生产环境中扩展这些服务所需的容量。 如果这些工具将在可扩展的即服务环境中使用，则这些信息可能特别有用。

在本白皮书中，我们展示了如何在 VxRail 环境中设置 F5 高级 Webapplication防火墙 (Advanced WAF（API 安全 - 新一代 WAF）)。 我们逐步介绍了部署指南，并通过前后比较说明了Advanced WAF（API 安全 - 新一代 WAF）安全功能。

本文档演示了如何在 VxRail 环境中部署第三方软件，方法是将其设置为基础设施管理员可以在服务丰富的环境中集成和提供的服务。 我们展示了如何在 VxRail 环境中配置Advanced WAF（API 安全 - 新一代 WAF） ，为面向 Web 的基于微服务的应用提供应用安全服务。  

VxRail 是一个高性能、可扩展、易于管理的平台，基础设施管理员可以使用它来推动业务运营。 部署可确保良好用户体验的第三方服务对于业务成功至关重要。 F5 Advanced WAF（API 安全 - 新一代 WAF）在 VxRail 环境内提供无缝支持，并可扩展到 VMware Cloud。