Implementación de Amazon CloudFront con la plataforma de servicios administrados Silverline
Durante la evaluación de varias ofertas de servicios y soluciones que potencialmente podrían satisfacer sus necesidades, nuestro cliente, una empresa global de soluciones de TI, realizó una revisión exhaustiva de las variables involucradas en la implementación y operación de una solución que combina una red de distribución de contenido (CDN), firewall de aplicação web (WAF) y protecciones contra fraude/bots y ataques distribuidos de denegación de servicio (DDoS). Después de un análisis considerable y discusiones internas con varios equipos, nuestro cliente determinó que la mejor solución sería una combinación de F5 Silverline y la red de distribución de contenido de Amazon CloudFront.
Nuestro cliente eligió esta solución porque ofrecía servicios de seguridad administrados, implementación rápida y menores costos de aprovisionamiento, mantenimiento y operación. Los equipos de clientes internos definieron un plan para la evolución del sitio web y se centraron en completar cada fase de su plan rápidamente, sin un impacto importante en las operaciones en curso.
La facilidad de implementación y los beneficios combinados de la arquitectura proporcionaron mejoras continuas del rendimiento, controles de seguridad adicionales y amplios informes y registros con capacidades de exportación de datos a SIEM y otras plataformas de análisis de registros. Esto permitió que el equipo de nuestro cliente se concentrara en lo que mejor sabe hacer: brindar una experiencia al cliente fluida y atractiva.
Nuestro cliente seleccionó las soluciones de F5 y AWS para la implementación de la cuarta fase de su plan (Figura 1) principalmente debido a la flexibilidad que cada servicio ofrecía en sus configuraciones, el bajo costo de operación y la capacidad de hacer crecer el sistema con el tiempo a través de múltiples iteraciones. Otro factor clave fue la capacidad de trabajar con los analistas del Centro de Operaciones de Seguridad (SOC) de F5 Silverline, quienes monitorean continuamente la plataforma Silverline. (Silverline es la plataforma de servicios de seguridad gestionados y basados en la nube de F5). Los analistas de SOC ayudaron a nuestro cliente a definir su postura de seguridad y maximizar la usabilidad del sistema. Esto permitió a nuestro cliente brindar una experiencia sin fricciones y al mismo tiempo luchar incansablemente contra el fraude y el abuso.
Equilibrar el costo de las operaciones con mejoras de rendimiento a lo largo de la evolución de una aplicação web al tiempo que se proporciona una experiencia del cliente rápida, segura y sin fricciones
Las empresas se enfrentan a varios desafíos y limitaciones a la hora de diseñar y diseñar aplicações web. Una consideración importante es equilibrar el costo de adquirir, implementar y administrar la tecnología y el personal de manera efectiva para permitir mejoras continuas del rendimiento durante el ciclo de vida de las aplicaciones. La siguiente ilustración muestra el análisis que realizó nuestro cliente con respecto al equilibrio entre costo y rendimiento que se requiere para desarrollar una aplicação web.
Figura 1: Ciclo de vida del rendimiento de las aplicação web del cliente de F5 Silverline
Durante la fase inicial, nuestro cliente se centró en implementar la aplicação y obtener clientes. Los pasos que ejecutaron para lograr su objetivo incluyeron:
En la segunda fase, el cliente se centró en mejoras y desarrollos para adquirir una base de clientes y prepararse para una expansión adicional.
En la fase tres, nuestro cliente trabajó con nuestro equipo de cuentas F5 Silverline para implementar los componentes de seguridad administrados y configurar Amazon CloudFront para garantizar que la aplicação pudiera escalar y adaptarse a todo el tráfico generado.
Para la fase cuatro, nuestro cliente analizó las solicitudes de origen de los clientes y determinó que muchos de sus clientes realizaban transacciones desde países fuera de EE. UU. Esta observación, junto con un análisis adicional de la mayor demanda en EE. UU., motivó la implementación de Amazon CloudFront para ampliar su alcance y mejorar el rendimiento global.
Para la fase final, los equipos de los clientes se centraron en implementar un entorno híbrido de servicios de coubicación mixtos y plataformas SaaS/IaaS/PaaS para mejorar sus capacidades operativas y su adaptación a entornos de mercado globales que cambian rápidamente.
Este documento se centrará en los pasos técnicos que nuestro cliente ejecutó para completar la integración de la fase cuatro de Amazon CloudFront con la plataforma de servicios de seguridad administrados F5 Silverline.
Requisitos básicos para garantizar una implementación exitosa del servicio y la integración del sistema
Para prepararse para la integración de Amazon CloudFront en la plataforma F5 Silverline, nuestro cliente suministró los siguientes elementos, con la ayuda del equipo de Silverline:
Construir una red segura y escalable que permita a los clientes obtener el mejor rendimiento y experiencia de participación a nivel mundial
Implementar una red global segura y rápida con enlaces multi-homed y múltiples servicios no es fácil para ninguna organización. Afortunadamente, los clientes pueden beneficiarse de las inversiones combinadas en infraestructura y servicios que F5 y AWS pueden ofrecer. Esto permite a los clientes construir una solución que pueda implementarse rápidamente para integrar aplicações con máxima eficacia y obtener un retorno inmediato de la inversión.
La arquitectura que nuestro cliente eligió implementar se muestra en la siguiente ilustración:
Figura 2: Integración perfecta del sistema para una experiencia del cliente sin fricciones
Facilidad de implementación para una rápida integración
Las organizaciones se ven presionadas a implementar aplicações que respondan rápidamente a los desafíos del mercado para obtener una ventaja competitiva y/o ahorros de costos. Las implementaciones que se pueden realizar en un corto período de tiempo ofrecen una ventaja considerable sobre las implementaciones que requieren grandes recursos y costos adicionales. Con F5 y AWS, la implementación de estas configuraciones es fácil; si los clientes tienen todos los componentes y datos listos para configurar, se puede hacer en minutos.
Una vez completada la fase tres, nuestro cliente pasó a la cuarta fase, que implicó la integración de Amazon CloudFront con la plataforma F5 Silverline e incluyó los siguientes pasos:
Cuando nuestro equipo SOC de Silverline implementa la cuenta del portal, los clientes pueden iniciar sesión y configurar el objeto raíz del proxy con las configuraciones requeridas para el nombre para mostrar del proxy, el FQDN (nombre de dominio completo), la dirección IP del servidor de origen o ELB CNAME (registro canónico), perfiles de inteligencia de amenazas, políticas WAF, certificados SSL y puntos finales de protección contra fraudes/bots. Los clientes revisarán estos pasos con un analista de SOC de Silverline durante la fase de incorporación. Los clientes también pueden contratar a un analista de SOC para que los ayude con cualquier implementación de proxy.
Figura 3: Agregar y configurar el objeto proxy
Una vez que el proxy se haya guardado e implementado en la plataforma Silverline, los clientes recibirán un CNAME único que se utilizará como origen para la red de Amazon CloudFront. Los clientes pueden ubicar este proxy CNAME en el panel de configuración principal después de la implementación.
Figura 4: CNAME de proxy Silverline
Una vez que el proxy está habilitado, está listo para recibir tráfico de inmediato y puede usarse para enrutar solicitudes de usuarios desde CloudFront tan pronto como se configure ese servicio.
Amazon CloudFront - Configuración del servicio
Para garantizar una integración fluida, los clientes deben tener la siguiente información disponible antes de realizar la integración de CloudFront.
Una vez que estos componentes estén instalados y aprovisionados, los clientes pueden iniciar la configuración de CloudFront navegando a la consola de administración de AWS. En el menú de la consola, busque y seleccione la subcategoría "Redes y entrega de contenido" / CloudFront . Localice y seleccione el enlace “Distribuciones” y proceda a crear la distribución inicial.
Figura 5: Navegación de la consola de administración de AWS y CloudFront
Figura 6: Panel de distribuciones de CloudFront
Para iniciar la configuración del objeto, seleccione el control "Crear distribución". Es posible que se le solicite crear un "Método de entrega específico". Nuestro cliente eligió el método de envío “Web”.
Seleccione el control "Comenzar". Los paneles siguientes se mostrarán en el navegador. Configure los ajustes de origen como se muestra:
Figura 7: Panel de configuración de distribuciones de CloudFront: Configuración de origen
Los intentos de conexión de origen, el tiempo de espera de origen, el tiempo de espera de respuesta de origen, el tiempo de espera de mantenimiento de conexión de origen y los puertos HTTP y HTTPS deben permanecer como predeterminados a menos que se requiera un cambio.
Encabezados de clientes de origen: Las claves y valores de encabezado personalizados estarán en cada solicitud al origen. Estas configuraciones también se pueden usar para filtrar cualquier solicitud en el proxy Silverline que no se origine en CloudFront.
Las configuraciones de comportamiento de caché predeterminadas se pueden programar de acuerdo con las políticas internas definidas por los desarrolladores de aplicação , tecnología de la información, DevOps, equipos de seguridad y otras partes interesadas. Es fundamental enfatizar la importancia de comprender el grado de impacto que cualquier cambio en los valores puede tener en el funcionamiento general de la aplicação. F5 Silverline recomienda un enfoque evolutivo ya que cada configuración puede introducir variaciones en el costo, la riesgo de seguridad, el impacto en el rendimiento y la interacción con el WAF de Silverline o la protección contra el fraude. AWS proporciona una excelente documentación desde la consola de administración para ayudar a las organizaciones a comprender cómo aplicar cada control y qué impacto puede tener en las operaciones existentes. Nuestros analistas de SOC de Silverline también pueden brindar información sobre cómo estas configuraciones afectarán el proxy de Silverline, el WAF o la protección contra el fraude.
Figura 8: Panel de configuración de distribuciones de CloudFront: configuración predeterminada del comportamiento de la caché
La configuración de distribución también puede tener un impacto considerable en las operaciones. Los ajustes que merecen consideración adicional son los siguientes:
Figura 9: Panel de configuración de distribuciones de CloudFront: Configuración de distribución
El paso final será crear la distribución.
Esto debería tomar unos minutos y, una vez completado, los clientes recibirán un CNAME.
Figura 10: Distribuciones de CloudFront: Crear control de distribución
El CNAME emitido por Amazon CloudFront ahora se puede usar con AWS Route 53 como registro autorizado de resolución para cualquier tráfico destinado a la aplicação.
Los equipos de seguridad interna, tecnología de la información, operaciones y desarrollo de nuestros clientes dedicaron mucho tiempo a evaluar la mejor solución para sus objetivos de participación del cliente y estrategia de marketing. Una vez que nuestro cliente seleccionó la solución, la implementación se realizó sin ningún obstáculo y tuvieron los servicios y aplicações funcionando globalmente en cuestión de minutos, brindando a sus clientes en todo el mundo una experiencia de interacción mucho más fluida y rápida.
- Seguridad de pila completa
Incluye múltiples capas de protección para mitigar ataques DDoS/WAF/Fraud/Bot. - Facilidad de implementación
Implemente rápida y fácilmente servicios de F5 y AWS para entregar y proteger aplicações. - Entrega en la nube, disponible globalmente, impacto empresarial cero
Mantenga la disponibilidad continua de las aplicação aprovechando la plataforma F5 Silverline y Silverline SOC con Amazon CloudFront. - Bajo costo de entrada y propiedad
F5 Silverline permite a los clientes obtener los servicios que necesitan a un precio competitivo y mejorar su costo total de propiedad. - Aumento de personal, expertos en seguridad de guardia, agregación de conocimientos
Los equipos de clientes internos pueden trabajar en colaboración con los expertos de F5 Silverline, que están disponibles las 24 horas, los 7 días de la semana y tienen la información de vulnerabilidad más reciente disponible de los equipos internos de respuesta a incidentes de seguridad de F5 (F5 SIRT). - Alta disponibilidad, servidores proxy dedicados, direccionamiento de tráfico, monitoreo del estado
La plataforma F5 Silverline ofrece un SLA de tiempo de actividad del 99,999 %, servidores proxy inversos dedicados, modelado de tráfico para servicios de origen único o múltiple y monitoreo continuo de la disponibilidad y el estado del backend. - Ancho de banda y enrutamiento/Peering directo
F5 Silverline y Amazon son pares directos y ofrecen un excelente ancho de banda y conectividad de peering a nivel mundial, lo que resulta en un rendimiento superior para nuestros clientes.
CONECTE CON F5
