Her satır içi dağıtım bir takas: artan kesinti riski ile artan inceleme. Sıralı koruma, özellikle şu anda en hedefli saldırı yüzeyi olan API’ler için önemlidir, ancak tutarlı çalışma süresi ve performans da bu nedenle. Başarısız bir mimarinin devreye girdiği yer burasıdır.
Bu Wallarm nasıl yapılır blogu, filtreleme altyapısı tepkisiz hale gelse bile, Wallarm’ın güvenlik kenar platformunun Azure’da Azure’da nasıl konuşlandırılacağını, yüksek kullanılabilirlik ve sıfır bozulma sağlayabileceğini özetliyor.
Zorluk: Kesinti olmadan satır içi güvenlik
APIS iş-kritik operasyonlar. Bu nedenle, kullanılabilirlikleri pazarlık edilemez. Herhangi bir satır içi çözüm, ne kadar etkili olursa olsun, tek bir başarısızlık noktası olma olasılığını getirir. Trafik filtreleme düğümü çevrimdışı olursa veya tepkisiz hale gelirse, kullanıcılar gecikmeler, kırık entegrasyonlar veya tam uygulama kesintileriyle karşılaşabilir.
Bu, satır içi dağıtımlara yönelik en yaygın itirazlardan biridir. Eski WAF’ler koruma ve kullanılabilirlik arasında ödünleşmeler gerektirse de, modern bulut mimarileri her ikisine de izin verir. Wallarm’ın dağıtılmış güvenlik kenar düğümlerinin yanında Azure ön kapısını kullanarak kuruluşlar, performansı tehlikeye atmadan korumayı koruyan yüksek oranda mevcut, otomatik olarak failover sistemine mimar yapabilir.
Wallarm Security Edge nedir?
Wallarm Security Edge, filtreleme düğümlerini birden fazla coğrafi bölgede dağıtan bulut doğal, yönetilen bir hizmettir. Bu düğümler, trafiği gerçek zamanlı olarak inceleyerek, Kötü amaçlı API çağrılarını menşe sunucularınıza ulaşmadan önce tanımlar ve engeller.
Geleneksel güvenlik cihazlarından farklı olarak, Güvenlik Edge şirket içi donanımı yüklemenizi veya yönetmenizi gerektirmez. API’nizi ve web trafiğinizi Wallarm filtreleme düğümlerinden yönlendirmeniz ve OWASP Top 10 Tehdit, API istismarları ve LLM istemi enjeksiyonları gibi ortaya çıkan saldırıların gerçek zamanlı tespitinden yararlanmanız yeterlidir.
Ancak filtreleme kümesi ulaşılamaz hale gelirse ne olur?
Azure ön kapı ile başarısız açık mantığı tanıtmak
Azure Front Door’un aktif/pasif yönlendirme yeteneklerini entegre ederek, kuruluşlar nadiren başarısızlık olayında filtreleme düğümlerini atlayan ve böylece kesintisiz API kullanılabilirliğini sağlayan esnek, arızalı bir mimari uygulayabilir.
- Menşe grupları ile masmavi ön kapı kurun
Azure ön kapı, gelen trafik için küresel giriş noktası görevi görür. Bir ön kapı örneği oluşturduğunuzda, tam nitelikli bir alan adı (FQDN) sağlar – örneğin, azureFrontDoor-a7ajbwefb6bza6ez.z01.azurefd.net.
Tipik olarak, genel alt alanınızı (örneğin api.example.com) bu FQDN ile eşleştiren bir CNAME kaydı yapılandırır ve tüm isteklerin ön kapıdan geçmesine izin verir.
Otomatik yük devretmeyi etkinleştirmek için, iki orijin uç noktasını tek bir orijin grubuna yapılandıracaksınız:
- Birincil Kökeni: Wallarm filtreleme düğümü kümesine işaret eder.
- İkincil köken: Wallarm’ı atlayarak doğrudan uygulama arka ucunuza işaret eder.
- Öncelik tabanlı yönlendirmeyi yapılandırın
Azure ön kapı, her menşe için öncelik seviyeleri atamanızı sağlar. Daha düşük bir sayı daha yüksek öncelik anlamına gelir:
- Öncelik 1: Wallarm Filtreleme Düğüm Kümesi.
- Öncelik 2: Doğrudan orijin yedekleme yolu.
Trafik her zaman en yüksek öncelikli sağlıklı kökene yönlendirilir. Wallarm düğümü kümesi kullanılamazsa, Azure ön kapı otomatik olarak ikincil orijinine geçer ve sürekli hizmet sağlar.
Bu başarısız bir mimarinin özüdür: güvenlik altyapısı başarısız olursa, kullanılabilirlik tasarıma göre kazanır.
- Sağlık problarını ince taneli kontrol için özelleştirin
Arıza koşullarını tespit etmek için Azure ön kapı sağlık problarına dayanır. Bu periyodik kontroller, filtreleme düğümü kümesinin duyarlı olup olmadığını doğrular. Prob belirli sayıda ardışık girişim için başarısız olursa, trafik sağlıklı geri dönüş kaynaklı olarak yönlendirilir.
Bu probları şu şekilde özelleştirebilirsiniz:
- Belirli HTTP yolları veya başlıklar
- Zaman aşımı ve yanıt eşikleri
- Sağlık kontrollerinin sıklığı
Bu esneklik, güvenlik ve altyapı ekiplerinize yük devretme davranışı üzerinde kesin kontrol sağlar.
Dağıtım yapıldıktan sonra, tipik bir istek akışı şöyle görünüyor:
- Bir kullanıcı api.example.com adresine bir istekte bulunur
- DNS Cname kaydı Azure ön kapı fqdn talebini işaret ediyor.
- Azure ön kapı, birincil kökenin sağlığını kontrol eder (Wallarm filtreleme kümesi).
- Sağlıklı ise, trafik satır içi inceleme için Wallarm aracılığıyla yönlendirilir.
- Wallarm, yapılandırmada tanımlandığı gibi gerçek arka uç sunucusuna temiz istekleri ileri sürer.
- Wallarm kümesi kullanılamıyorsa, Azure ön kapı, manuel müdahaleye ihtiyaç duymadan trafiği doğrudan orijin yoluna otomatik olarak yeniden yönlendirir.
Bu mimari her iki dünyanın da en iyisini sağlar:
- Gerçek zamanlı, satır içi koruma: Wallarm kümesi sağlıklı olduğunda tüm trafik tehditler için denetlenir.
- Varsayılan olarak yüksek kullanılabilirlik: Filtreleme başarısız olursa, kullanıcılar hala API’lerinize ve uygulamalarınıza kesintisiz erişim elde eder.
- Tamamen yönetilen dağıtımlar: Cihaz yok, manuel yama yok, bakım baş ağrısı yok.
Birlikte, Wallarm’ın güvenlik kenar düğümleri ve Azure ön kapı, modern API ortamları için tasarlanmış esnek, bulut doğal bir güvenlik modeli sunar. Azure ile Wallarm Security Edge’in satır satırını dağıtma ve kendi arızalı mimarinizi oluşturma hakkında daha fazla bilgi edinmek için resmi Wallarm belgelerini inceleyin.