Bereitstellen von Amazon CloudFront mit der Silverline Managed Services Platform

Bei der Evaluierung verschiedener Service- und Lösungsangebote, die möglicherweise seinen Anforderungen entsprechen würden, hat unser Kunde, ein globales IT-Lösungsunternehmen, eine umfassende Prüfung der Variablen durchgeführt, die bei der Bereitstellung und dem Betrieb einer Lösung eine Rolle spielen, die ein Content Delivery Network (CDN), eine Web Application Firewall (WAF) sowie Schutzmaßnahmen gegen Betrug/Bots und Distributed-Denial-of-Service-Angriffe (DDoS) kombiniert. Nach eingehender Analyse und internen Diskussionen mit mehreren Teams kam unser Kunde zu dem Schluss, dass eine Kombination aus F5 Silverline und dem Content Delivery Network von Amazon CloudFront die beste Lösung wäre.

Unser Kunde hat sich für diese Lösung entschieden, weil sie verwaltete Sicherheitsdienste, eine schnelle Bereitstellung und geringere Kosten für Bereitstellung, Wartung und Betrieb bietet. Die internen Kundenteams definierten einen Plan für die Weiterentwicklung der Website und konzentrierten sich darauf, jede Phase ihres Plans schnell und ohne größere Auswirkungen auf den laufenden Betrieb abzuschließen.

Die einfache Implementierung und die kombinierten Vorteile der Architektur ermöglichten kontinuierliche Leistungsverbesserungen, zusätzliche Sicherheitskontrollen sowie umfassende Berichts- und Protokollierungsfunktionen mit Datenexportfunktionen zu SIEM und anderen Protokollanalyseplattformen. Dadurch konnte sich das Team unseres Kunden auf das konzentrieren, was es am besten kann: ein nahtloses und ansprechendes Kundenerlebnis bieten.

Unser Kunde hat sich für die Umsetzung der vierten Phase seines Plans (Abbildung 1) vor allem aufgrund der Flexibilität, die die einzelnen Dienste in ihren Konfigurationen bieten, der niedrigen Betriebskosten und der Möglichkeit, das System im Laufe der Zeit durch mehrere Iterationen zu erweitern, für F5- und AWS-Lösungen entschieden. Ein weiterer Schlüsselfaktor war die Möglichkeit, mit den Analysten des F5 Silverline Security Operations Center (SOC) zusammenzuarbeiten, die die Silverline-Plattform kontinuierlich überwachen. (Silverline ist die cloudbasierte, verwaltete Sicherheitsdienstplattform von F5.) Die SOC-Analysten halfen unserem Kunden, seine Sicherheitslage zu definieren und die Benutzerfreundlichkeit des Systems zu maximieren. Dadurch konnte unser Kunde für ein reibungsloses Erlebnis sorgen und gleichzeitig Betrug und Missbrauch unermüdlich bekämpfen.

Abwägung der Betriebskosten mit Leistungsverbesserungen im Laufe der Entwicklung einer Webanwendung bei gleichzeitiger Gewährleistung einer schnellen, sicheren und reibungslosen Kundenerfahrung

Bei der Architektur und Gestaltung von Web-Anwendungen stehen Unternehmen vor zahlreichen Herausforderungen und Einschränkungen. Ein wichtiger Aspekt besteht darin, die Kosten für Anschaffung, Einsatz und Verwaltung von Technologie und Personal effektiv abzuwägen, um kontinuierliche Leistungsverbesserungen über den gesamten Lebenszyklus der Anwendung hinweg zu ermöglichen. Die folgende Abbildung zeigt die Analyse, die unser Kunde hinsichtlich des erforderlichen Kosten-Leistungs-Verhältnisses für die Entwicklung einer Webanwendung durchgeführt hat.

Abbildung 1: Leistungslebenszyklus für F5 Silverline-Kunden-Webanwendungen

In der Anfangsphase konzentrierte sich unser Kunde auf die Bereitstellung der Anwendung und die Gewinnung von Kunden. Die Schritte, die sie zur Erreichung ihres Ziels unternommen haben, umfassten:

In Phase zwei konzentrierte sich der Kunde auf Erweiterungen und Verbesserungen, um einen Kundenstamm aufzubauen und sich auf die weitere Expansion vorzubereiten.

In Phase drei arbeitete unser Kunde mit unserem F5 Silverline-Accountteam zusammen, um die verwalteten Sicherheitskomponenten bereitzustellen und Amazon CloudFront so zu konfigurieren, dass die Anwendung skalierbar ist und den gesamten generierten Datenverkehr bewältigen kann.

In Phase vier analysierte unser Kunde die Herkunftsanfragen der Kunden und stellte fest, dass viele seiner Kunden Transaktionen aus Ländern außerhalb der USA durchführten. Diese Beobachtung sowie eine zusätzliche Analyse der gestiegenen Nachfrage in den USA waren für sie der Grund für die Implementierung von Amazon CloudFront, um ihre Reichweite zu erweitern und die globale Leistung zu verbessern.

In der letzten Phase konzentrierten sich die Kundenteams auf die Bereitstellung einer Hybridumgebung aus gemischten Colocation-Diensten und SaaS-/IaaS-/PaaS-Plattformen, um ihre Betriebsfähigkeiten zu verbessern und sich an die sich schnell verändernden globalen Marktumgebungen anzupassen.

In diesem Dokument geht es vor allem um die technischen Schritte, die unser Kunde ausgeführt hat, um die vierte Phase der Integration von Amazon CloudFront mit der verwalteten Sicherheitsdienstplattform F5 Silverline abzuschließen.

Grundlegende Voraussetzungen für eine erfolgreiche Dienstbereitstellung und Systemintegration

Zur Vorbereitung der Integration von Amazon CloudFront in die F5 Silverline-Plattform hat unser Kunde mit Unterstützung des Silverline-Teams die folgenden Elemente bereitgestellt:

Aufbau eines sicheren und skalierbaren Netzwerks, das es Kunden ermöglicht, weltweit die beste Leistung und das beste Engagement-Erlebnis zu erzielen

Die Bereitstellung eines sicheren, schnellen, globalen Netzwerks mit Multi-Homed-Links und mehreren Diensten ist für keine Organisation einfach. Glücklicherweise können Kunden von den kombinierten Investitionen in Infrastruktur und Dienste profitieren, die F5 und AWS anbieten können. Auf diese Weise können Kunden eine Lösung konstruieren, die schnell bereitgestellt werden kann, um Anwendungen mit maximaler Effizienz zu integrieren und eine sofortige Kapitalrendite zu erzielen.

Die Architektur, für die sich unser Kunde entschieden hat, ist in der folgenden Abbildung dargestellt:

Abbildung 2: Nahtlose Systemintegration für ein reibungsloses Kundenerlebnis

Einfache Bereitstellung für schnelle Integration

Unternehmen stehen unter Druck, Anwendungen einzuführen, die schnell auf die Herausforderungen des Marktes reagieren, um Wettbewerbsvorteile und/oder Kosteneinsparungen zu erzielen. Bereitstellungen, die in kurzer Zeit durchgeführt werden können, bieten einen erheblichen Vorteil gegenüber Bereitstellungen, die umfangreiche Ressourcen und zusätzliche Kosten erfordern. Mit F5 und AWS ist die Bereitstellung dieser Konfigurationen einfach; wenn Kunden alle Komponenten und Daten zur Konfiguration bereit haben, ist dies in wenigen Minuten erledigt.

Nach Abschluss der dritten Phase ging unser Kunde zur vierten Phase über, die die Integration von Amazon CloudFront in die F5 Silverline-Plattform beinhaltete und die folgenden Schritte umfasste:

Wenn unser Silverline SOC-Team das Portalkonto bereitstellt, können sich Kunden anmelden und das Proxy-Stammobjekt mit den erforderlichen Einstellungen für den Proxy-Anzeigenamen, den FQDN (Fully Qualified Domain Name), die IP-Adresse des Ursprungsservers oder den ELB CNAME (Canonical Record), Threat Intelligence-Profile, WAF-Richtlinien, SSL-Zertifikate und Betrugs-/Bot-Schutzendpunkte konfigurieren. Kunden besprechen diese Schritte während der Onboardingphase mit einem Silverline SOC-Analysten. Kunden können zur Unterstützung bei der Proxy-Bereitstellung auch einen SOC-Analysten hinzuziehen.

Abbildung 3: Hinzufügen und Konfigurieren des Proxyobjekts

Sobald der Proxy gespeichert und auf der Silverline-Plattform bereitgestellt wurde, erhalten Kunden einen eindeutigen CNAME, der als Ursprung für das Amazon CloudFront-Netzwerk verwendet wird. Kunden können diesen Proxy-CNAME nach der Bereitstellung im Hauptkonfigurationsfenster finden.

Abbildung 4: Silverline-Proxy CNAME

Sobald der Proxy aktiviert ist, ist er sofort bereit, Datenverkehr zu empfangen und kann zum Weiterleiten von Benutzeranforderungen von CloudFront verwendet werden, sobald dieser Dienst konfiguriert ist.

Amazon CloudFront – Servicekonfiguration

Um eine reibungslose Integration zu gewährleisten, sollten Kunden vor der Durchführung der CloudFront-Integration über die folgenden Informationen verfügen.

Sobald diese Komponenten vorhanden und bereitgestellt sind, können Kunden die CloudFront-Konfiguration starten, indem sie zur AWS-Verwaltungskonsole navigieren. Suchen und wählen Sie im Konsolenmenü die Unterkategorie „Networking & Content Delivery“ / CloudFront aus. Suchen und wählen Sie den Link „Distributionen“ und fahren Sie mit der Erstellung der ersten Distribution fort.

Abbildung 5: AWS Management Console und CloudFront-Navigation

Abbildung 6: CloudFront-Distributionspanel

Um die Objektkonfiguration zu starten, wählen Sie das Steuerelement „Verteilung erstellen“ aus. Sie werden möglicherweise aufgefordert, eine „Spezifische Übermittlungsmethode“ zu erstellen. Unser Kunde hat sich für die Versandart „Web“ entschieden.

Wählen Sie das Steuerelement „Erste Schritte“ aus. Die folgenden Bedienfelder werden im Browser gerendert. Konfigurieren Sie die Ursprungseinstellungen wie gezeigt:

Abbildung 7: Konfigurationsfenster für CloudFront-Distributionen – Ursprungseinstellungen

Origin-Verbindungsversuche, Origin-Timeout, Origin-Antwort-Timeout, Origin-Keep-Alive-Timeout, HTTP- und HTTPS-Ports sollten als Standardwerte verbleiben, sofern keine Änderung erforderlich ist.

Header des Ursprungskunden: Benutzerdefinierte Header-Schlüssel und -Werte sind in jeder Anfrage an den Ursprung enthalten. Diese Einstellungen können auch verwendet werden, um alle Anfragen beim Silverline-Proxy herauszufiltern, die nicht von CloudFront stammen.

Standardeinstellungen für das Cache-Verhalten können gemäß den internen Richtlinien programmiert werden, die von Anwendungsentwicklern, der Informationstechnologie, DevOps, Sicherheitsteams und anderen Beteiligten definiert werden. Es muss unbedingt betont werden, wie wichtig es ist, zu verstehen, welche Auswirkungen Änderungen der Werte auf die Gesamtfunktion der Anwendung haben können. F5 Silverline empfiehlt einen evolutionären Ansatz, da jede Einstellung Unterschiede hinsichtlich Kosten, Sicherheitsrisiko, Leistungseinbußen und Interaktion mit dem Silverline WAF oder Bot-/Betrugsschutz mit sich bringen kann. AWS stellt über die Verwaltungskonsole eine hervorragende Dokumentation bereit, die Unternehmen dabei hilft zu verstehen, wie die einzelnen Steuerelemente anzuwenden sind und welche Auswirkungen diese auf den laufenden Betrieb haben können. Unsere Silverline SOC-Analysten können auch Informationen darüber bereitstellen, wie sich diese Einstellungen auf den Silverline-Proxy, WAF oder Bot-/Betrugsschutz auswirken.

Abbildung 8: Konfigurationsfenster für CloudFront-Distributionen – Standardeinstellungen für das Cache-Verhalten

Auch die Verteilungseinstellungen können erhebliche Auswirkungen auf den Betrieb haben. Die folgenden Einstellungen sollten zusätzlich berücksichtigt werden:

Abbildung 9: Konfigurationsfenster für CloudFront-Distributionen – Verteilungseinstellungen

Der letzte Schritt besteht darin, die Verteilung zu erstellen.

Dies sollte einige Minuten dauern. Sobald der Vorgang abgeschlossen ist, erhalten die Kunden einen CNAME.

Abbildung 10: CloudFront-Verteilungen – Verteilungssteuerung erstellen

Der von Amazon CloudFront ausgegebene CNAME kann jetzt mit AWS Route 53 als maßgeblicher Auflösungsdatensatz für sämtlichen an die Anwendung gerichteten Datenverkehr verwendet werden.

Die internen Sicherheits-, Informationstechnologie-, Betriebs- und Entwicklungsteams unseres Kunden verbrachten viel Zeit damit, die beste Lösung für ihre Ziele in Bezug auf Kundenbindung und Marketingstrategie zu ermitteln. Nachdem unser Kunde sich für die Lösung entschieden hatte, verlief die Implementierung reibungslos und die Dienste und Anwendungen waren innerhalb weniger Minuten weltweit einsatzbereit, sodass die Kunden weltweit deutlich reibungsloser und schneller von der Zusammenarbeit profitieren konnten.