Implantando o Node Wallarm com Section.io¶

O Section é um sistema de hospedagem nativa na nuvem que facilita a implantação de um node Wallarm. Ao encaminhar o tráfego por meio dele como um proxy reverso, você pode efetivamente mitigar o tráfego malicioso sem adicionar componentes de terceiros à infraestrutura do seu aplicativo.

Casos de uso¶

Entre todas as opções de implantação Wallarm suportadas, esta solução é a recomendada para os seguintes casos de uso:

• Você está procurando uma solução de segurança que seja rápida e fácil de implantar para proteger serviços leves.

• Você não tem a capacidade de implantar nós Wallarm dentro de sua infraestrutura de hospedagem.

• Você prefere uma abordagem passiva à implantação, evitando a gestão e manutenção dos nós de filtragem Wallarm.

Limitações¶

A solução tem certas limitações:

• Para análise e filtração de alto tráfego, o uso de nós CDN não é recomendado.

• A implantação do tipo de nó CDN não é suportada no plano gratuito.

• Com o nó CDN, você pode proteger os domínios de terceiro nível (ou inferior, como 4º-, 5º- etc). Por exemplo, você pode criar um nó CDN para ple.example.com, mas não para example.com.

• A configuração direta do aplicativo por meio de procedimentos padrão está indisponível. Entre em contato com a equipe de suporte do Wallarm para obter assistência na configuração.

• Páginas de bloqueio personalizadas e códigos de erro não são configuráveis. Por padrão, o nó CDN retorna um código de resposta 403 para solicitações bloqueadas.

Requisitos¶

• O site a ser protegido deve ser um domínio de terceiro nível (ou inferior)

• O IPv4 associado ao site (IPv6 não é suportado)

• Permissões de acesso suficientes para editar os registros DNS do domínio

• O papel de Administrador role atribuído ao usuário que configura o nó CDN

Como funciona o nó CDN¶

O nó CDN do Wallarm opera como um proxy reverso para o servidor protegido. Ele analisa o tráfego de entrada, mitiga solicitações maliciosas e encaminha solicitações legítimas para o servidor protegido.

Quanto às outras características do nó CDN do Wallarm:

• Hospedado pelo provedor de nuvem de terceiros (Section.io), portanto, nenhum recurso é necessário da sua infraestrutura para implantar o nó CDN.

  Upload de dados de solicitação para o provedor de nuvem de terceiros

  Alguns dados sobre as solicitações processadas são carregados para o serviço Lumen.

• Faz o upload de alguns dados de solicitação para a Nuvem Wallarm. Saiba mais sobre os dados carregados e a redução dos dados sensíveis

• Opera no modo de bloqueio seguro confiando no conteúdo da lista de IPs cinza para identificar tráfego suspeito e bloqueá-lo.

  Para alterar o modo, use a regra correspondente.

• O nó CDN é totalmente configurado via Wallarm Console UI. A única configuração a ser alterada de outra forma é adicionar o registro CNAME do Wallarm aos registros de DNS do recurso protegido.

• Você pode solicitar que a equipe de suporte do Wallarm realize a configuração do aplicativo para o seu nó.

Implantação do nó CDN¶

1. Abra o Console Wallarm → Nós → CDN → Criar nó.

2. Insira o endereço de domínio a ser protegido, por exemplo, ple.example.com.

   O endereço especificado deve ser o domínio de terceiro nível (ou inferior) e não conter o esquema e as barras.

3. Certifique-se de que o Wallarm identifica corretamente o endereço de origem associado ao domínio especificado. Caso contrário, altere o endereço de origem descoberto automaticamente.

   

   Atualização dinâmica do endereço de origem

   Se o seu provedor de hospedagem atualiza dinamicamente o endereço IP de origem ou o domínio associado ao recurso protegido, mantenha o endereço de origem especificado na configuração do nó CDN atualizado. O Console do Wallarm permite que você altere o endereço de origem a qualquer momento.

   Caso contrário, as solicitações não alcançarão o recurso protegido, pois o nó CDN tentará proxyá-las para um endereço de origem incorreto.

4. Aguarde a conclusão do registro do nó CDN.

   Uma vez concluído o registro do nó CDN, o status do nó CDN será alterado para Requer CNAME.

5. Adicione o registro CNAME gerado pelo Wallarm aos registros DNS do domínio protegido.

   Se o registro CNAME já estiver configurado para o domínio, substitua seu valor pelo gerado pelo Wallarm.

   

   Dependendo do seu provedor de DNS, as alterações nos registros de DNS podem levar até 24 horas para se propagar e ter efeito na Internet. Uma vez propagado o novo registro CNAME, o nó CDN Wallarm irá fazer proxy de todas as solicitações recebidas para o recurso protegido e bloquear as maliciosas.

6. Se necessário, faça o upload do certificado SSL/TLS personalizado.

   Por padrão, o Wallarm gerará o certificado Let's Encrypt para o domínio do nó CDN.

7. Uma vez que as alterações no registro DNS se propagaram, envie um ataque de teste para o domínio protegido:

   curl http://<PROTECTED_DOMAIN>/etc/passwd
   

   • Se o endereço IP de origem estiver na lista cinza, o nó bloqueará o ataque (o código de resposta HTTP é 403) e o registrará.

   • Se o endereço IP de origem não estiver na lista cinza, o nó registrará apenas os ataques detectados. Você pode verificar que os ataques foram registrados no Console Wallarm → Eventos:

     

Próximos passos¶

O nó CDN Wallarm foi implantado com sucesso!

Conheça as opções de configuração Wallarm:

• Configuração do modo de filtragem de tráfego

• Personalização das regras de filtragem de tráfego

• Permissões de endereço IP, listas de negação e listas cinza

• Notificações de eventos do sistema configuradas por meio de integrações nativas com ferramentas DevOps e gatilhos

• Usando a seção Nós da interface do usuário para atualizar o endereço de origem do recurso protegido, carregar o certificado SSL/TLS personalizado e excluir nós da CDN

• Selecionando se deve usar o Varnish Cache para acelerar a entrega do seu conteúdo.

Resolução de problemas do nó CDN¶

O que significam os status do nó CDN?¶

Os seguintes status podem aparecer no Console Wallarm → Nós para nós CDN:

• Registrando: Wallarm registra o nó CDN no provedor de nuvem.

  Ação necessária: aguarde pelo status Requer CNAME para adicionar o registro Wallarm CNAME aos registros DNS do domínio protegido.

• Requer CNAME: o registro Wallarm CNAME não está adicionado aos registros DNS do domínio protegido ou está adicionado, mas ainda não propagado.

  Ação necessária: adicione o registro CNAME fornecido pela Wallarm aos registros DNS do domínio protegido ou aguarde as mudanças surtirem efeito na Internet.

  Se as mudanças não surtirem efeito em mais de 24 horas, verifique se o seu provedor de domínio atualizou com sucesso os registros DNS. Se sim, mas o status Ainda não propagado ainda é exibido no Console Wallarm, entre em contato com o suporte técnico da Wallarm.

  O próximo status esperado é Ativo.

• Configurando: Wallarm processa o endereço de origem alterado ou certificado SSL/TLS.

  Ação necessária: aguarde o status Ativo.

• Ativo: o nó CDN da Wallarm mitiga o tráfego mal-intencionado.

  Ação necessária: nenhuma. Você pode monitorar os eventos que o nó CDN detecta.

• Excluindo: Wallarm exclui o nó CDN.

  Ação necessária: nenhuma, aguarde a exclusão ser concluída.

Como identificar o registro CNAME propagado?¶

A seção Nós do Console Wallarm exibe o status atual de se o registro Wallarm CNAME surtiu efeito na Internet. Se o registro CNAME estiver propagado, o status do nó CDN é Ativo.

Além disso, você pode verificar os cabeçalhos de resposta HTTP com a seguinte solicitação:

curl -v <DOMINIO_PROTEGIDO>

Se o registro Wallarm CNAME estiver propagado, a resposta conterá os cabeçalhos section-io-*.

Se o registro CNAME não for propagado em mais de 24 horas, verifique se o seu provedor de domínio atualizou com sucesso os registros DNS. Se sim, mas o status Ainda não propagado ainda é exibido no Console Wallarm, entre em contato com o suporte técnico da Wallarm.

O nó CDN está destacado em vermelho na seção Nós. O que isso significa?¶

Se o nó CDN estiver destacado em vermelho na seção Nós, ocorreu um erro durante seu registro ou configuração pelos seguintes motivos possíveis:

• Erro desconhecido durante o registro do nó no provedor de nuvem de terceiros

  Ação necessária: contate o suporte técnico da Wallarm.

• Certificado SSL/TLS personalizado inválido

  Ação necessária: certifique-se de que o certificado carregado é válido. Se não for, faça o upload do válido.

O nó CDN destacado em vermelho não faz proxy de solicitações e, como resultado, não mitiga o tráfego mal-intencionado.

Por que o nó CDN pode desaparecer da lista de nós no Console Wallarm?¶

Wallarm exclui nós CDN com registros CNAME que permanecem inalterados por 10 ou mais dias desde o momento da criação do nó.

Se você descobrir que o nó CDN desapareceu, crie um novo nó.

Por que há um atraso na atualização do conteúdo protegido pelo nó CDN?¶

Se o seu site é protegido pelo nó CDN e você notar que, ao mudar seus dados, o site é atualizado com um atraso sensível, a provável razão pode ser o Varnish Cache que acelera a entrega do seu conteúdo, mas a cópia armazenada em cache no CDN pode ser atualizada com um atraso.

Exemplo:

1. Você tem o Varnish Cache ativado para o seu nó CDN.

2. Você atualizou os preços em seu site.

3. Todas as solicitações são feitas via proxy via CDN, e o cache não é atualizado imediatamente.

4. Os usuários do site veem os preços antigos por algum tempo.

Para resolver o problema, você pode desativar o Varnish Cache. Para fazer isso, vá para Nós → menu do nó CDN → Desativar Varnish Cache.

Was this page helpful?

How can we improve this article? (Optional)

Information is unclear or confusing

Insufficient information

Outdated or incorrect information

0/240

Send