F5 启动 WAF 功能
#
概述F5 通过成熟健壮的负载均衡和应用安全保障 Rancher 管平面的高可用性和安全性,也可以通过 SSLO 服务编排组件将流量牵引到外部的 WAF 资源池,实现更好灵活性和扩展性。
#
内置 WAF 实现管理平面安全防护#
先决条件已经部署 F5 BIG-IP LTM,实现了 Rancher 管理平面的负载均衡。SSL 可以终结结在 F5 或原生的 Ingress Controller 上。随着内网安全的挑战不断增大,端到端的 SSL 连接越来越被企业接受,因此首选的部署模式还是终结在管理平面上。
F5 设施上有 WAF 许可(ASM 或者 AWAF)。在这种条件下,可以直接启用 F5 设施上的 WAF 模块实现对管理平面的安全防护,提高安全性,简化了部署架构。
#
配置实现#
启用 ASM(WAF)模块在 system > Resource Provisioning
界面启用 ASM
模块,单击 submit
提交即可,如下图所示:
#
配置 WAF 策略启用 ASM 之后,设备将出现 security > Application Security
界面,从界面新建 WAF 策略。
策略模板可以使用快速部署(Rapid Deployment Policy),由于本文主要关注部署架构,关于安全策略的细节将不进行详细的描述。
#
绑定到 LTM 虚拟服务器(Virtual Server)安全策略的绑定可在建立策略是直接选择,也可在 LTM 的属性中直接关联。创建策略时选择虚拟服务器,如下:
在虚拟服务器属性中关联:
完成关联后,系统将自动创建策略将访问流量引导给 ASM 模块进行处理:
#
验证访问使用浏览器访问集群管理平面,应该能见到 F5 ASM 插入的相关 cookie:
ASM 的安全策略页开始学习访问流量:
#
外部 WAF 实现管理平面安全防护#
概述很多情况下,企业的安全设施会采用独立部署,通过一定的方式将流量牵引到安全设施进行相应的安全处理。流量牵引的方式很多,包含但不限于下面的方式:
部署方式 | 优点 | 缺点 |
---|---|---|
负载均衡 | 扩展性强,探活机制完善 | 缺乏全局视野 |
路由设施 | 成熟稳定 | 基于 IP 地址,无服务概念 |
SDN 服务链 | 网络编排,全局视野 | 投入大,成熟度、兼容性不够 |
网络服务编排 | 网络服务编排,动态服务链,扩展性强、探活机制完善 | 局部视野 |
网络服务编排的方式虽然比较新,但由于融合了负载均衡和服务链的能力,接受度不断提升。这里我们介绍如何利用 F5 的 SSLO 网络服务编排模块将管理平面的访问牵引到外部 WAF 资源池,实现管理平面的安全防护。
采用这种部署模式的优势显而易见:
- 独立安全设施,专业分工:交付设施专注交付,安全设施专注安全,边界清晰。
- WAF 多活部署:改变传统部署下 WAF 主备模式,ROI 成倍提升。
- 弹性扩展,灰度升级:融合了负载均衡功能,WAF 可以池化扩展,设备可以灰度升级,流量可以灰度发布。
- 旁路部署,便于运维:结合 F5 完善的探活机制,可随时隔离故障设备,运维灵活。
#
前置条件已经部署 F5 BIG-IP LTM 实现了 Rancher 管理平面的负载均衡。SSL 可以端结在 F5 上,也可以端结在原生的 Ingress Controller 上。
F5 设备具备 SSLO 网络服务编排软件许可。
#
配置实现#
启用 SSLO 网络服务编排模块首先启用 SSLO 网络服务编排功能。在 F5 System > Resource Provisioning
菜单下,打开 SSL Orchestrator
功能,单击 Submit
提交即可。
#
配置网络编排策略F5 的 SSLO 策略配置完全实现向导化,只需根据流程指引完成配置:
选择部署拓扑。
进入配置菜单
SSL Orchestrator ›› Configuration
,选择部署拓扑“Existing Application”
,单击“Save & Next”
。配置网络服务
进入 service 配置界面,选择
“Generic Inline Layer 3”
,选择“Auto Manage Addresses”
,系统将给出相应的 IP 地址,VLAN 同样可以选择由系统新建。选择
“Service Down Action”
为“Ingore”
,失效自动屏蔽,添加 WAF 设备地址及其探活方式。保存,下一步进入服务链配置。
配置服务链,将 步骤 2 中配置的 WAF 服务加入服务链即可。
配置安全策略,编辑缺省的安全策略,添加服务链。单击保存,进入下一步。
完成所有步骤后,提交部署。
#
绑定到 LTM 虚拟服务器(Virtual Server)打开菜单 Local Traffic ›› Virtual Servers : Virtual Server List ›› vs-rancher-443
在 Access Policy
中,Access Profile
选择 “ssloDefault_accessProfile”
,Per-Request Ploicy
选择 “ssloP_existing_app_per_req_policy”
即可。
#
验证访问从管理客户端发起访问,观察客户端体验是否正常。观察 WAF 设备接收流量是否为明码的解密流量。