Come impostare le regole del filtro del traffico, incluse le regole WAF

Scopri come impostare regole del filtro del traffico, incluse le regole WAF. Scopri come creare, distribuire, testare e analizzare i risultati.

Configurazione

Il processo di configurazione prevede quanto segue:

  • creazione di regole con una struttura di progetto e un file di configurazione AEM appropriati.
  • distribuzione delle regole tramite la pipeline di configurazione di Adobe Cloud Manager.
  • verifica delle regole utilizzando vari strumenti per generare il traffico.
  • analisi dei risultati tramite registri CDN AEMCS e strumenti del dashboard.

Creare regole nel progetto AEM

Per creare le regole, effettua le seguenti operazioni:

  1. Creare una cartella config al livello superiore del progetto AEM.

  2. Nella cartella config creare un nuovo file denominato cdn.yaml.

  3. Aggiungere i metadati seguenti al file cdn.yaml:

kind: CDN
version: '1'
metadata:
  envTypes:
    - dev
    - stage
    - prod
data:
  trafficFilters:
    rules:

Vedi un esempio del file cdn.yaml all'interno del progetto AEM Guides WKND Sites:

File e cartella delle regole del progetto AEM WKND

Distribuire le regole tramite Cloud Manager deploy-rules-through-cloud-manager

Per distribuire le regole, effettua le seguenti operazioni:

  1. Accedi a Cloud Manager all’indirizzo my.cloudmanager.adobe.com e seleziona l’organizzazione e il programma appropriati.

  2. Passa alla scheda Pipeline dalla pagina Panoramica del programma, fai clic sul pulsante +Aggiungi e seleziona il tipo di pipeline desiderato.

    Scheda pipeline Cloud Manager

    Nell'esempio precedente, per scopi demo Aggiungi pipeline non di produzione è selezionato poiché viene utilizzato un ambiente di sviluppo.

  3. Nella finestra di dialogo Aggiungi pipeline non di produzione, scegli e immetti i seguenti dettagli:

    1. Passaggio di configurazione:

      • Tipo: pipeline di distribuzione
      • Nome pipeline: Dev-Config

      Finestra di dialogo Pipeline di configurazione di Cloud Manager

    2. Passaggio codice Source:

      • Codice da distribuire: distribuzione di destinazione
      • Includi: Configurazione
      • Ambiente di distribuzione: nome dell'ambiente, ad esempio wknd-program-dev.
      • Archivio: l'archivio Git da cui la pipeline deve recuperare il codice, ad esempio wknd-site
      • Ramo Git: nome del ramo dell'archivio Git.
      • Posizione codice: /config, corrispondente alla cartella di configurazione di primo livello creata nel passaggio precedente.

      Finestra di dialogo Pipeline di configurazione di Cloud Manager

Verifica le regole generando traffico

Per testare le regole, sono disponibili vari strumenti di terze parti e la tua organizzazione potrebbe avere uno strumento preferito. A scopo dimostrativo, utilizziamo i seguenti strumenti:

  • Curl per test di base, ad esempio per richiamare un URL e controllare il codice di risposta.

  • Vegeta per l'esecuzione di Denial of Service (DOS). Segui le istruzioni di installazione da Vegeta GitHub.

  • Nikto per trovare potenziali problemi e vulnerabilità di sicurezza come XSS, SQL injection e altro ancora. Segui le istruzioni di installazione da Nikto GitHub.

  • Verificare che gli strumenti siano installati e disponibili nel terminale eseguendo i comandi seguenti:

    code language-shell
    # Curl version check
    $ curl --version
    
    # Vegeta version check
    $ vegeta -version
    
    # Nikto version check
    $ cd <PATH-OF-CLONED-REPO>/program
    ./nikto.pl -Version
    

Analizzare i risultati utilizzando gli strumenti del dashboard

Dopo aver creato, distribuito e testato le regole, puoi analizzare i risultati utilizzando i registri CDN e AEMCS-CDN-Log-Analysis-Tooling. Gli strumenti forniscono un set di dashboard per visualizzare i risultati per lo stack Splunk e ELK (Elasticsearch, Logstash e Kibana).

È possibile clonare gli strumenti dall'archivio GitHub AEMCS-CDN-Log-Analysis-Tooling. Segui quindi le istruzioni per installare e caricare le dashboard CDN Traffic Dashboard e WAF Dashboard per lo strumento di osservabilità preferito.

In questa esercitazione utilizzeremo lo stack ELK. Segui le istruzioni del contenitore Docker ELK per l'analisi del registro CDN di AEMCS per configurare lo stack ELK.

  • Dopo aver caricato il dashboard di esempio, la pagina dello strumento del dashboard elastico dovrebbe avere un aspetto simile a quella riportata di seguito:

    Dashboard regole filtro traffico ELK

NOTE
Poiché non sono ancora stati acquisiti registri CDN AEMCS, la dashboard è vuota.

Passaggio successivo

Scopri come dichiarare le regole del filtro del traffico, incluse le regole WAF, nel capitolo Esempi e analisi dei risultati, utilizzando il progetto WKND Sites dell’AEM.

recommendation-more-help
4859a77c-7971-4ac9-8f5c-4260823c6f69