Configurer des règles de filtrage du trafic, y compris des règles WAF
Découvrez comment configurer des règles de filtrage du trafic, y compris des règles WAF. Consultez cet article pour apprendre à créer, déployer et tester les règles, puis analyser les résultats.
Configuration
Le processus de configuration comprend les éléments suivants :
- Créer des règles avec une structure de projet AEM et un fichier de configuration appropriés.
- Déployer les règles à l’aide du pipeline de configuration d’Adobe Cloud Manager.
- Tester les règles à l’aide de divers outils pour générer du trafic.
- Analyser les résultats à l’aide des journaux du réseau CDN AEMCS et des outils du tableau de bord.
Créer des règles dans votre projet AEM
Pour créer des règles, procédez comme suit :
-
Au niveau supérieur de votre projet AEM, créez le dossier
config
. -
Dans le dossier
config
, créez un fichier nommécdn.yaml
. -
Ajoutez les métadonnées suivantes au fichier
cdn.yaml
:
kind: CDN
version: '1'
metadata:
envTypes:
- dev
- stage
- prod
data:
trafficFilters:
rules:
Consultez un exemple de fichier cdn.yaml
dans le projet AEM Guides Sites WKND :
Déployer les règles via Cloud Manager deploy-rules-through-cloud-manager
Pour déployer les règles, procédez comme suit :
-
Connectez-vous à Cloud Manager à l’adresse my.cloudmanager.adobe.com et sélectionnez l’organisation et le programme appropriés.
-
Accédez à la vignette Pipelines de la page Vue d’ensemble du programme, cliquez sur le bouton +Ajouter et sélectionnez le type de pipeline souhaité.
Dans l’exemple ci-dessus et à des fins de démonstration, Ajouter un pipeline hors production est sélectionné en raison de l’utilisation d’un environnement de développement.
-
Dans la boîte de dialogue Ajouter un pipeline hors production, sélectionnez et saisissez les détails suivants :
-
Étape de configuration :
- Type : pipeline de déploiement
- Nom du pipeline : Dev-Config
-
Étape de code source :
- Code à déployer : déploiement ciblé
- Inclure : Config
- Environnement de déploiement : nom de votre environnement, par exemple wknd-program-dev.
- Référentiel : référentiel Git à partir duquel le pipeline doit récupérer le code. Par exemple,
wknd-site
. - Branche Git : nom de la branche du référentiel Git.
- Emplacement du code :
/config
, correspondant au dossier de configuration de niveau supérieur créé à l’étape précédente.
-
Tester les règles en générant du trafic
Pour tester les règles, choisissez parmi les outils tiers disponibles en fonction des préférences de votre entreprise. À des fins de démonstration, nous allons utiliser les outils suivants :
-
Curl pour les tests de base, comme appeler une URL et vérifier le code de réponse.
-
Vegeta pour effectuer un déni de service (DOS). Suivez les instructions d’installation de la section Vegeta GitHub.
-
Nikto pour rechercher des problèmes potentiels et des vulnérabilités de sécurité telles que XSS, l’injection SQL, etc. Suivez les instructions d’installation de la section Nikto GitHub.
-
Vérifiez que les outils sont installés et disponibles dans votre terminal en exécutant les commandes ci-dessous :
code language-shell # Curl version check $ curl --version # Vegeta version check $ vegeta -version # Nikto version check $ cd <PATH-OF-CLONED-REPO>/program ./nikto.pl -Version
Analyser les résultats à l’aide des outils du tableau de bord
Une fois que vous avez créé, déployé et testé les règles, vous pouvez analyser les résultats à l’aide des journaux de réseau CDN et de AEMCS-CDN-Log-Analysis-Tooling. L’outil fournit un ensemble de tableaux de bord pour visualiser les résultats de la pile Splunk et ELK (Elasticsearch, Logstash et Kibana).
L’outil peut être cloné directement à partir du référentiel GitHub AEMCS-CDN-Log-Analysis-Tooling. Suivez ensuite les instructions pour installer et charger le tableau de bord du trafic de réseau CDN et le tableau de bord WAF pour votre outil d’observabilité préféré.
Dans ce tutoriel, nous allons utiliser la pile ELK. Suivez les instructions Conteneur ELK Docker pour l’analyse de journal de réseau CDN AEMCS pour configurer la pile ELK.
-
Une fois que vous avez chargé l’exemple de tableau de bord, la page d’outils du tableau de bord Elastic doit se présenter comme suit :
Étape suivante
Pour en savoir plus sur les règles de filtrage du trafic, y compris des règles WAF, consultez le chapitre Exemples et analyse des résultats du projet AEM Sites WKND.