Web Application Firewall：Aktifkan perlindungan WAF untuk instans ALB

Cara kerjanya

Setelah mengaktifkan perlindungan WAF 3.0 untuk instans ALB, WAF 3.0 mengintegrasikan kemampuan deteksi keamanannya langsung ke bidang data ALB menggunakan SDK tersemat. Ketika lalu lintas layanan mencapai instans ALB, SDK melakukan analisis lalu lintas waktu nyata dan mendeteksi ancaman di jalur penerusan. SDK secara otomatis memblokir permintaan jahat dan meneruskan permintaan valid ke server backend.

Prasyarat

• Persyaratan akun: Instans ALB dan instans WAF harus milik Akun Alibaba Cloud yang sama, kecuali jika Anda telah mengonfigurasi manajemen multi-akun.

• Persyaratan wilayah:

  Area	Wilayah
  Tiongkok	Tiongkok (Chengdu), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Guangzhou), Tiongkok (Hangzhou), Tiongkok (Ulanqab), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Zhangjiakou), Tiongkok (Hong Kong)
  Asia-Pasifik	Filipina (Manila), Indonesia (Jakarta), Jepang (Tokyo), Malaysia (Kuala Lumpur), Singapura, Thailand (Bangkok), Korea Selatan (Seoul)
  Eropa dan Amerika	Jerman (Frankfurt), AS (Silicon Valley), AS (Virginia), Meksiko
  Timur Tengah	SAU (Riyadh - Wilayah Mitra)

Jika instans ALB Anda tidak memenuhi persyaratan ini, gunakan Mode rekaman CNAME sebagai gantinya.

Prosedur

1. Buka Konsol WAF.

   Masuk ke Konsol WAF 3.0. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) dari instans WAF Anda. Di panel navigasi sebelah kiri, klik Onboarding. Klik tab Cloud Native, lalu klik Application Load Balancer (ALB) dari daftar layanan cloud di sebelah kiri.

2. Otorisasi layanan cloud (hanya untuk pengguna pertama kali).

   Ikuti petunjuk di layar dan klik Authorize Now untuk menyelesaikan otorisasi layanan cloud. Anda dapat melihat peran Layanan-Terkait AliyunServiceRoleForWAF pada halaman Identities > Roles di Konsol RAM.

3. Tambahkan instans ALB.

   Dalam daftar di sebelah kanan, temukan instans ALB yang ingin ditambahkan ke WAF dan klik Add Now di kolom Actions. Jika Anda tidak dapat menemukan instans target, klik Synchronize Assets di pojok kanan atas.

   Ketika status menunjukkan Full Protection, instans berhasil ditambahkan.

   Penting

   Ketika instans ALB ditambahkan ke WAF, ia secara otomatis ditingkatkan ke edisi yang diaktifkan WAF. Ini akan menimbulkan biaya tambahan di sisi ALB.

   

   Catatan

   Anda juga dapat menambahkan beberapa instans ALB dalam satu batch atau klik One-Click Onboarding untuk menambahkan semua instans sekaligus.

4. Verifikasi perlindungan.

   Untuk memverifikasi perlindungan, masukkan domain situs web Anda diikuti oleh string serangan web di browser Anda (misalnya, <domain-situs-web-anda>/alert(xss), di mana alert(xss) adalah contoh serangan cross-site scripting). Jika WAF mengembalikan halaman kesalahan 405, itu telah berhasil memblokir serangan dan perlindungan aktif.

Apa yang harus dilakukan selanjutnya

Lihat dan konfigurasikan aturan perlindungan

Setelah mengaktifkan perlindungan WAF untuk instans ALB Anda, WAF secara otomatis membuat objek yang dilindungi dengan akhiran -alb dan mengaktifkan aturan perlindungan default untuknya, seperti yang ada di modul perlindungan inti. Anda dapat melihat ini di halaman Protection Configuration > Protected Objects. Jika aturan perlindungan default tidak memenuhi kebutuhan Anda, buat atau edit aturan perlindungan. Untuk informasi lebih lanjut, lihat Gambaran konfigurasi perlindungan.

Operasi lainnya

Terapkan dalam produksi

Mengaktifkan dan menghapus perlindungan WAF untuk instans ALB tidak memengaruhi layanan Anda. Namun, ketika Anda mengaktifkan perlindungan WAF, Anda harus memantau log dan kesehatan layanan untuk memastikan ketersediaan layanan.

• Peluncuran bertahap: Sebagai praktik terbaik, tambahkan instans ALB non-produksi terlebih dahulu selama jam-jam sepi. Setelah menjalankan instans selama periode tertentu dan memastikan layanan Anda stabil, integrasikan instans ALB produksi Anda.

• Pemantauan layanan: Setelah integrasi selesai, gunakan metode berikut untuk memastikan layanan Anda bekerja dengan benar.

  • Periksa log: Periksa log untuk fluktuasi signifikan dalam proporsi kode status 200 atau lonjakan atau penurunan mendadak dalam QPS. Jika Anda telah mengaktifkan Simple Log Service untuk ALB atau WAF, lihat Log ALB atau Log WAF.

  • Pemantauan bisnis: Periksa apakah layanan Anda, seperti akses pengguna dan transaksi, bekerja dengan benar.

• Pemeliharaan: Lakukan operasi dan pemeliharaan berkelanjutan, dengan memperhatikan serangan dan positif palsu.

  • Tinjau peristiwa: Pantau laporan keamanan dan konfigurasikan notifikasi Cloud Monitor untuk tetap mendapatkan informasi tentang serangan dan peristiwa keamanan.

  • Atur ulang aturan: Tinjau log serangan untuk menganalisis apakah WAF secara salah memblokir permintaan bisnis valid dan optimalkan aturan perlindungan sesuai dengan itu.

Keterbatasan

• Verifikasi identitas: Anda harus menyelesaikan verifikasi identitas sebelum dapat membeli instans ALB yang diaktifkan WAF.

• Status instans:

  • Hanya instans ALB Edisi Dasar dan Standar yang berada dalam status Berjalan yang dapat ditingkatkan ke edisi yang diaktifkan WAF.

  • Untuk mengaktifkan perlindungan WAF untuk instans ALB di Container Service for Kubernetes (ACK), lihat Gunakan instans ALB yang diaktifkan WAF untuk melindungi aplikasi.

• Jumlah instans terintegrasi: Jumlah instans terintegrasi tidak boleh melebihi batas spesifikasi instans WAF Anda.

  • Langganan: hingga 300 untuk Edisi Dasar, 600 untuk Edisi Pro, 2.500 untuk Edisi Perusahaan, dan 10.000 untuk Edisi Ultimate.

  • Bayar sesuai penggunaan: hingga 10.000.

• Fitur yang tidak didukung: Pencegahan kebocoran data dan integrasi Web SDK otomatis untuk skenario anti-penggojekan di Bot Management.

Mengapa saya tidak dapat menemukan instans ALB yang ingin saya tambahkan?

Pertama, klik Synchronize Assets di pojok kanan atas halaman Onboarding.

Jika Anda masih tidak dapat menemukan instans tersebut, itu tidak memenuhi Prasyarat. Misalnya, instans ALB di wilayah luar daratan Tiongkok memerlukan instans WAF di wilayah luar daratan Tiongkok untuk integrasi cloud-native, atau Anda harus menggunakan mode rekaman CNAME.

Bagaimana cara menambahkan perlindungan WAF jika satu nama domain merujuk ke beberapa instans ALB?

• Gunakan mode cloud-native: Anda harus menambahkan semua instans ALB ini ke WAF untuk melindunginya.

• Gunakan mode rekaman CNAME: Tambahkan domain dalam mode rekaman CNAME dan konfigurasikan CNAME dari beberapa instans ALB sebagai alamat asal.

Bagaimana cara menambahkan perlindungan WAF jika beberapa nama domain merujuk ke instans ALB yang sama?

• Gunakan mode cloud-native: Setelah Anda menambahkan instans ALB, semua nama domain di instans tersebut dilindungi oleh kebijakan perlindungan WAF default. Namun, jika Anda ingin mengonfigurasi aturan perlindungan berbeda untuk setiap domain, Anda harus menambahkan domain secara manual sebagai objek yang dilindungi. Untuk informasi lebih lanjut, lihat Tambahkan objek yang dilindungi secara manual.

• Gunakan mode rekaman CNAME: Tambahkan setiap domain satu per satu.

Bisakah saya menggunakan mode cloud-native dan mode rekaman CNAME untuk domain di instans ALB?

Ini tidak disarankan, karena menggunakan kedua mode akan menyebabkan konflik penerusan dan kegagalan perlindungan. Jika Anda memiliki domain yang sudah ditambahkan melalui mode rekaman CNAME dan ingin beralih ke mode cloud-native, Anda harus terlebih dahulu mengarahkan catatan DNS Anda kembali ke asal, tunggu perubahan DNS menyebar, hapus konfigurasi mode rekaman CNAME untuk domain tersebut, dan kemudian tambahkan instans ALB yang sesuai menggunakan mode cloud-native.

Apa perbedaan cara WAF 2.0 dan WAF 3.0 berintegrasi dengan instans ALB?

• Integrasi SDK WAF 3.0: WAF 3.0 menggunakan integrasi berbasis SDK. SDK disematkan di instans ALB dan bertanggung jawab atas ekstraksi lalu lintas, deteksi, dan perlindungan. Karena WAF tidak meneruskan lalu lintas, integrasi ini menghindari latensi ekstra-hop dan masalah kompatibilitas lapisan penerusan tambahan. Permintaan hanya melewati satu gateway, menghilangkan kebutuhan bagi WAF untuk menyinkronkan konfigurasi sertifikat dan suite enkripsi dari instans ALB. Ini mencegah masalah seperti drift sertifikat atau konfigurasi.

• Proxy transparan WAF 2.0: WAF 2.0 menggunakan metode proxy transparan. Dengan mengonfigurasi port pengalihan lalu lintas, gateway layanan cloud secara otomatis mengubah rute untuk mengarahkan lalu lintas web ke WAF. WAF memblokir lalu lintas serangan dan meneruskan permintaan normal ke asal, berpartisipasi dalam penerusan lalu lintas dan deteksi keamanan. Permintaan harus melewati dua gateway, dan Anda harus memelihara konfigurasi seperti timeout dan sertifikat di WAF dan load balancer.

Untuk informasi lebih lanjut, lihat Bandingkan WAF 3.0 dengan WAF 2.0.