Nova solução de Auto Scaling e WAF autônomo para Amazon AWS
Vamos começar um pouco fora do assunto discutindo o serviço de vídeo sob demanda favorito do mundo, o Netflix. Entre 2009 e 2016, a Netflix observou um aumento impressionante no número de assinantes, de 12 milhões para pouco mais de 48 milhões, adicionando 1,43 milhão de novos clientes aos seus catálogos somente nos últimos 3 meses de 2016. Se você teve a sorte de ser um dos principais acionistas da Netflix durante esse período, provavelmente estava rindo o caminho todo até o banco, mas se você fizesse parte da equipe de TI encarregada de fornecer a infraestrutura para dar suporte a esse crescimento explosivo, então você poderia estar coçando a cabeça.
Escalar seu próprio data center para atender ao aumento da demanda simplesmente não era viável devido ao capital associado e às despesas operacionais, sem mencionar as dores de cabeça de gerenciamento que teriam surgido. Então, mais ou menos na mesma época, eles deram um passo em direção ao desconhecido e embarcaram em um projeto de 7 anos que os levaria a transferir todas as operações para a nuvem AWS, permitindo-lhes aproveitar a escalabilidade aparentemente ilimitada que o fornecedor de nuvem podia pagar. E como você deve saber, eles completaram esse feito recentemente.
"Trabalho feito", alguns podem pensar... mas eles estariam errados. Veja bem, a capacidade de aumentar a escala para atender ao aumento da demanda no longo prazo é uma coisa, mas o que acontece quando essa demanda flutua muito no curto prazo? Uma pesquisa recente mostrou que durante os horários de pico da internet (19h às 23h), a Netflix era responsável por 35,2% de todo o tráfego downstream nos EUA – mas, sem surpresa, fora desses horários, eles eram responsáveis por uma fração muito menor disso, causando oscilações cíclicas na demanda, conforme mostrado abaixo na Figura 1, emprestada desta postagem .
Para combater essa enorme variação na demanda, a Netflix implementou seu próprio algoritmo de dimensionamento automático, o Scryer , que permitiu provisionar instâncias AWS EC2 suficientes para lidar com a demanda do horário de pico e, ao mesmo tempo, revogar quaisquer instâncias consideradas excedentes aos requisitos. Isso garantiu uma qualidade de serviço premium para seus usuários durante os horários de pico, ao mesmo tempo em que minimizou sua sobrecarga computacional durante o período de menor demanda.
Embora este seja apenas um exemplo e não tenha nenhuma conexão específica com as soluções da F5, ele dá uma noção da necessidade de soluções de dimensionamento automático nos dias atuais e nos leva ao cerne desta postagem: a nova solução de Firewall de Aplicativo Web (WAF) de dimensionamento automático da F5.
Relacionado, você sabia que cerca de 40% das violações de dados em 2016 ocorreram como resultado de ataques na camada de aplicação? Embora a demanda por um aplicativo possa variar de dia para dia e de hora para hora, uma coisa permanece constante: a necessidade de garantir sua proteção . De que adianta uma solução que pode ser dimensionada para oferecer suporte a diferentes taxas de transferência se a segurança do aplicativo e seus dados são comprometidos no processo? A nova solução WAF de dimensionamento automático da F5 para AWS fornece a segurança de nível empresarial que os aplicativos exigem, independentemente dos níveis de tráfego, ao mesmo tempo em que garante que você provisione e pague apenas pelos recursos de nuvem pública necessários.
Em sua essência, a solução WAF é alimentada pelo BIG-IP ASM e BIG-IP LTM , comprovados pelo setor e certificados pela ICSA, que, quando combinados, fornecem proteção abrangente contra vetores de ataque sofisticados, incluindo ataques DDoS L7, as 10 principais ameaças OWASP e ataques de bots maliciosos. Usando recursos de aprendizado automatizado, criação de perfil dinâmico e políticas baseadas em risco, o BIG-IP ASM também é capaz de impor precauções de segurança adicionais para impedir que até mesmo os ataques mais complexos cheguem aos servidores de aplicativos.
Mas e o componente de dimensionamento automático? Tudo o que é necessário para executar a solução foi agrupado em um modelo do AWS CloudFormation , desde o BIG-IP Virtual Editions e S3 Buckets até grupos de dimensionamento automático e alarmes do CloudWatch , de modo que esses serviços interagem instintivamente entre si para fornecer uma solução completamente autônoma. Antes do lançamento, o modelo requer algumas entradas de parâmetros do usuário, como o número mínimo de instâncias de VE que devem estar operacionais a qualquer momento ou os limites de taxa de transferência que, quando ultrapassados, informam ao grupo de dimensionamento automático para iniciar ou revogar instâncias (geralmente 80% e 20% da taxa de transferência máxima da instância). As instâncias de VE que são criadas são distribuídas entre zonas de disponibilidade da AWS, conforme mostrado na Figura 2, para aumentar ainda mais a disponibilidade.
A solução foi projetada e totalmente testada por especialistas da F5, seguindo as práticas recomendadas do BIG-IP e da AWS para simplificar a experiência de implantação e permitir que os usuários implantem suas plataformas F5 com confiança. As instâncias do BIG-IP ASM na solução são implantadas com políticas de segurança pré-configuradas criadas pela F5 ou com políticas personalizadas específicas para aplicativos individuais.
E isso é tudo o que realmente existe, uma solução WAF completa que se dimensiona para atender à demanda de um aplicativo para garantir sua proteção contínua contra os ataques mais complexos da camada 7. Implantável diretamente do mercado da AWS em questão de cliques, toda essa configuração pode ser implementada e ficar operacional em uma VPC da AWS em menos de uma hora.
Neste ponto, acrescentarei que, embora estejamos focados principalmente na solução de WAF de dimensionamento automático aqui, por meio da mesma oferta do AWS Marketplace, imagens WAF autônomas podem ser implantadas para proteger aplicativos com fluxos de tráfego mais previsíveis e consistentes. Tanto as soluções de dimensionamento automático quanto as autônomas aproveitam instâncias VE PAYG (pague conforme o uso) com opções de taxa de transferência flexíveis de 25 Mbps, 200 Mbps ou 1 Gbps por instância.
Para obter mais informações, você pode conferir o repositório WAF de dimensionamento automático no GitHub, que fornece mais informações técnicas sobre como o modelo CloudFormation opera, ou visitar a página do marketplace aqui .
Recursos relacionados
AWS Marketplace – Solução F5 WAF
Azure Marketplace – Solução F5 WAF
Modelos de solução em nuvem – Artigo DevCentral
Atualizando um Auto Scale WAF CFT para AWS – Artigo DevCentral