Configurer des règles de filtrage du trafic, y compris des règles WAF

Découvrez comment configurer des règles de filtrage du trafic, y compris des règles WAF. Consultez cet article pour apprendre à créer, déployer et tester les règles, puis analyser les résultats.

Configuration

Le processus de configuration comprend les éléments suivants :

  • Créer des règles avec une structure de projet AEM et un fichier de configuration appropriés.
  • Déployer les règles à l’aide du pipeline de configuration d’Adobe Cloud Manager.
  • Tester les règles à l’aide de divers outils pour générer du trafic.
  • Analyser les résultats à l’aide des journaux du réseau CDN AEMCS et des outils du tableau de bord.

Créer des règles dans votre projet AEM

Pour créer des règles, procédez comme suit :

  1. Au niveau supérieur de votre projet AEM, créez le dossier config.

  2. Dans le dossier config, créez un fichier nommé cdn.yaml.

  3. Ajoutez les métadonnées suivantes au fichier cdn.yaml :

kind: CDN
version: '1'
metadata:
  envTypes:
    - dev
    - stage
    - prod
data:
  trafficFilters:
    rules:

Consultez un exemple de fichier cdn.yaml dans le projet AEM Guides Sites WKND :

Fichier et dossier des règles de projet AEM WKND. {width="800" modal="regular"}

Déployer les règles via Cloud Manager deploy-rules-through-cloud-manager

Pour déployer les règles, procédez comme suit :

  1. Connectez-vous à Cloud Manager à l’adresse my.cloudmanager.adobe.com et sélectionnez l’organisation et le programme appropriés.

  2. Accédez à la vignette Pipelines de la page Vue d’ensemble du programme, cliquez sur le bouton +Ajouter et sélectionnez le type de pipeline souhaité.

    Vignette Pipelines de Cloud Manager.

    Dans l’exemple ci-dessus et à des fins de démonstration, Ajouter un pipeline hors production est sélectionné en raison de l’utilisation d’un environnement de développement.

  3. Dans la boîte de dialogue Ajouter un pipeline hors production, sélectionnez et saisissez les détails suivants :

    1. Étape de configuration :

      • Type  : pipeline de déploiement
      • Nom du pipeline  : Dev-Config

      Boîte de dialogue Configuration du pipeline Cloud Manager

    2. Étape de code source :

      • Code à déployer  : déploiement ciblé
      • Inclure  : Config
      • Environnement de déploiement  : nom de votre environnement, par exemple wknd-program-dev.
      • Référentiel  : référentiel Git à partir duquel le pipeline doit récupérer le code. Par exemple, wknd-site.
      • Branche Git  : nom de la branche du référentiel Git.
      • Emplacement du code  : /config, correspondant au dossier de configuration de niveau supérieur créé à l’étape précédente.

      Boîte de dialogue de configuration du pipeline Cloud Manager.

Tester les règles en générant du trafic

Pour tester les règles, choisissez parmi les outils tiers disponibles en fonction des préférences de votre entreprise. À des fins de démonstration, nous allons utiliser les outils suivants :

  • Curl pour les tests de base, comme appeler une URL et vérifier le code de réponse.

  • Vegeta pour effectuer un déni de service (DOS). Suivez les instructions d’installation de la section Vegeta GitHub.

  • Nikto pour rechercher des problèmes potentiels et des vulnérabilités de sécurité telles que XSS, l’injection SQL, etc. Suivez les instructions d’installation de la section Nikto GitHub.

  • Vérifiez que les outils sont installés et disponibles dans votre terminal en exécutant les commandes ci-dessous :

    code language-shell
    # Curl version check
    $ curl --version
    
    # Vegeta version check
    $ vegeta -version
    
    # Nikto version check
    $ cd <PATH-OF-CLONED-REPO>/program
    ./nikto.pl -Version
    

Analyser les résultats à l’aide des outils du tableau de bord

Après avoir créé, déployé et testé les règles, vous pouvez analyser les résultats à l’aide de la fonction CDN logs et AEMCS-CDN-Log-Analysis-Tooling. L’outil fournit un ensemble de tableaux de bord pour visualiser les résultats de la pile Splunk et ELK (Elasticsearch, Logstash et Kibana).

Les outils peuvent être clonés à partir de la fonction AEMCS-CDN-Log-Analysis-Tooling Référentiel GitHub. Suivez ensuite les instructions pour installer et charger le Tableau de bord du trafic CDN et Tableau de bord WAF des tableaux de bord pour l’outil d’observabilité de votre choix.

Dans ce tutoriel, nous allons utiliser la pile ELK. Suivez la Conteneur Docker ELK pour l’analyse des journaux CDN AEM instructions pour configurer la pile ELK.

  • Une fois que vous avez chargé l’exemple de tableau de bord, la page d’outils du tableau de bord Elastic doit se présenter comme suit :

    Tableau de bord des règles de filtrage de trafic ELK.

NOTE
Comme aucun journal de réseau CDN AEM n’a encore été ingéré, le tableau de bord est vide.

Étape suivante

Pour en savoir plus sur les règles de filtrage du trafic, y compris des règles WAF, consultez le chapitre Exemples et analyse des résultats du projet AEM Sites WKND.

recommendation-more-help
4859a77c-7971-4ac9-8f5c-4260823c6f69