Pular para conteúdo

Atualizando uma imagem de nó em nuvem EOL

Estas instruções descrevem as etapas para atualizar a imagem do nó em nuvem fim de vida (versão 3.6 e inferior) implantada no AWS ou GCP até 4.8.

Os nós Wallarm 3.6 e inferiores não são suportados

Recomenda-se que você atualize os nós Wallarm 3.6 e inferiores, pois essas versões não são suportadas, elas estão no fim da vida.

A configuração do nó e a filtragem de tráfego foram significativamente simplificadas no nó Wallarm das últimas versões. Antes de atualizar os módulos, por favor, revise cuidadosamente a lista de mudanças e as recomendações gerais. Observe que algumas configurações do nó mais recente são incompatíveis com os nós 3.6 e inferiores.

Requisitos

  • Acesso à conta com a função de Administrador no Console Wallarm no US Cloud ou EU Cloud

  • Acesso a https://us1.api.wallarm.com se estiver trabalhando com o Wallarm Cloud dos EUA ou para https://api.wallarm.com se estiver trabalhando com o Wallarm Cloud da UE. Por favor, certifique-se de que o acesso não está bloqueado por um firewall

Passo 1: Informe o suporte técnico do Wallarm que você está atualizando os módulos do nó de filtragem (somente se estiver atualizando o nó 2.18 ou inferior)

Se estiver atualizando o nó 2.18 ou inferior, por favor informe o suporte técnico do Wallarm que você está atualizando os módulos do nó de filtragem para a versão mais recente e peça para ativar a nova lógica da lista de IPs para sua conta Wallarm. Quando a nova lógica de lista de IPs estiver ativada, assegure-se de que a seção Listas de IPs do Wallarm Console esteja disponível.

Passo 2: Desative o módulo de verificação de ameaças ativas (somente se estiver atualizando o nó 2.16 ou inferior)

Se você estiver atualizando o nó Wallarm 2.16 ou inferior, por favor, desative o módulo Verificação de Ameaça Ativa em Wallarm Console → VulnerabilidadesConfigurar.

O funcionamento do módulo pode causar falsos positivos durante o processo de atualização. Desativar o módulo minimiza esse risco.

Passo 3: Atualize a porta da API

Começando com a versão 4.0, o nó de filtragem carrega dados para a nuvem usando os endpoints da API us1.api.wallarm.com:443 (NUvem EUA) e api.wallarm.com:443 (Nuvem EU) em vez de us1.api.wallarm.com:444 e api.wallarm.com:444.

Se você atualizar o nó da versão 3.x ou inferior e seu servidor com o nó implantado tiver acesso limitado aos recursos externos, e o acesso for concedido a cada recurso separadamente, então após a atualização a sincronização entre o nó de filtragem e a nuvem irá parar.

Para restaurar a sincronização, em sua configuração, altere a porta 444 para 443 para o endpoint da API para cada recurso.

Passo 4: Inicie uma nova instância com o nó de filtragem 4.8

  1. Abra a imagem do nó de filtragem do Wallarm no mercado de plataforma em nuvem e prossiga com o lançamento da imagem:

  2. Na etapa de lançamento, defina as seguintes configurações:

  3. Confirme o lançamento da instância.

  4. Para o GCP, configure a instância de acordo com estas instruções.

Passo 5: Ajuste as configurações do modo de filtragem do Wallarm node às alterações lançadas nas últimas versões (somente se estiver atualizando o nó 2.18 ou inferior)

  1. Certifique-se de que o comportamento esperado das configurações listadas abaixo corresponde à a lógica alterada dos modos de filtragem off e monitoring:

  2. Se o comportamento esperado não corresponder à lógica de modo de filtragem alterada, ajuste as configurações de modo de filtragem às alterações lançadas usando as instruções.

Passo 6: Conecte o nó de filtragem à Nuvem Wallarm

  1. Conecte-se à instância do nó de filtragem via SSH. Instruções mais detalhadas para a conexão com instâncias estão disponíveis na documentação da plataforma em nuvem:

  2. Crie um novo nó Wallarm e conecte-o à Nuvem Wallarm usando o token gerado conforme descrito nas instruções para a plataforma em nuvem:

Passo 7: Copie as configurações do nó de filtragem da versão anterior para a nova versão

  1. Copie as configurações para processamento e proxy de solicitações dos seguintes arquivos de configuração da versão anterior do nó Wallarm para os arquivos do nó de filtragem 4.8:

    • /etc/nginx/nginx.conf e outros arquivos com configurações de NGINX
    • /etc/nginx/conf.d/wallarm.conf com configurações globais do node de filtragem

    • /etc/nginx/conf.d/wallarm-status.conf com as configurações do serviço de monitoramento do nó de filtragem

      Certifique-se de que o conteúdo do arquivo copiado corresponde à configuração segura recomendada.

    • /etc/environment com variáveis de ambiente

    • /etc/default/wallarm-tarantool com configurações de Tarantool
    • outros arquivos com configurações personalizadas para processamento e proxy de solicitações

  2. Renomeie as seguintes diretivas de NGINX se estiverem explicitamente especificadas em arquivos de configuração:

    Só mudamos os nomes das diretivas, a lógica permanece a mesma. As diretivas com nomes antigos serão descontinuadas em breve, por isso, recomenda-se renomeá-las antes.

  3. Se o formato de log extendido estiver configurado, verifique se a variável wallarm_request_time está especificada explicitamente na configuração.

    Se sim, por favor, renomeie-o para wallarm_request_cpu_time.

    Só mudamos o nome da variável, a lógica permanece a mesma. O nome antigo ainda é suportado temporariamente, mas ainda assim é recomendado renomear a variável.

  4. Se estiver atualizando o nó 2.18 ou inferior, migre a configuração da lista de permissões e da lista de negações da versão anterior do nó Wallarm para 4.8.

  5. Se a página &/usr/share/nginx/html/wallarm_blocked.html for retornada para solicitações bloqueadas, copie e personalize sua nova versão.

    Na nova versão do nó, a página de bloqueio de amostra do Wallarm foi alterada. O logotipo e o e-mail de suporte na página agora estão vazios por padrão.

Informações detalhadas sobre como trabalhar com arquivos de configuração do NGINX estão disponíveis na documentação oficial do NGINX.

A lista de diretivas do nó de filtragem está disponível aqui.

Passo 8: Transfira a configuração de detecção de ataque overlimit_res das diretivas para a regra

A partir da versão 3.6, você pode ajustar a detecção de ataque overlimit_res usando a regra no Console Wallarm.

Anteriormente, as diretivas NGINX wallarm_process_time_limit e wallarm_process_time_limit_block eram usadas. As diretivas listadas são consideradas obsoletas com o novo lançamento da regra e serão excluídas em futuros lançamentos.

Se as configurações de detecção de ataque overlimit_res forem personalizadas por meio das diretivas listadas, é recomendado transferi-las para a regra da seguinte forma:

  1. Abra o Console Wallarm → Rules e prossiga para a configuração da regra Ajuste fino da detecção de ataque overlimit_res.

  2. Configure a regra da mesma maneira que as diretivas NGINX:

    • A condição da regra deve corresponder ao bloco de configuração NGINX com as diretivas wallarm_process_time_limit e wallarm_process_time_limit_block especificadas.
    • O limite de tempo para o nó processar uma única solicitação (milissegundos): o valor de wallarm_process_time_limit.

    • Processamento de solicitações: a opção Parar processamento é recomendada.

      Risco de esgotamento da memória do sistema

      O limite de tempo alto e/ou continuação do processamento de solicitações após o limite ser excedido pode desencadear o esgotamento de memória ou o processamento de solicitações fora do tempo.

    • Registrar o ataque overlimit_res: a opção Registrar e exibir nos eventos é recomendada.

      Se o valor de wallarm_process_time_limit_block ou process_time_limit_block for off, escolha a opção Não criar evento de ataque.

    • A regra não possui opção explícita equivalente para a diretiva wallarm_process_time_limit_block. Se a regra definir Registrar e exibir nos eventos, o nó bloqueará ou passará o ataque overlimit_res dependendo do modo de filtragem do nó:

      • No modo monitoramento, o nó encaminha a solicitação original para o endereço do aplicativo. O aplicativo tem o risco de ser explorado pelos ataques incluídos nas partes processadas e não processadas da solicitação.
      • No modo bloqueio seguro, o nó bloqueia a solicitação se ela for originada do endereço IP graylisted. Caso contrário, o nó encaminha a solicitação original para o endereço do aplicativo. O aplicativo tem o risco de ser explorado pelos ataques incluídos nas partes processadas e não processadas da solicitação.
      • No modo block, o nó bloqueia a solicitação.

  3. Exclua as diretivas NGINX wallarm_process_time_limit e wallarm_process_time_limit_block do arquivo de configuração NGINX.

    Se a detecção de ataque overlimit_res for ajustada usando tanto as diretivas quanto a regra, o nó processará as solicitações conforme a regra define.

Passo 9: Reinicie o NGINX

Reinicie o NGINX para aplicar as configurações:

sudo systemctl restart nginx

Passo 10: Teste a operação do nó Wallarm

  1. Envie a solicitação com o ataque de teste Path Traversal para um endereço de recurso protegido:

    curl http://localhost/etc/passwd

  2. Abra o Console Wallarm → seção Eventos na Nuvem dos EUA ou Nuvem da UE e certifique-se de que o ataque está exibido na lista.
    Ataques na interface

Passo 11: Crie a imagem da máquina virtual baseada no nó de filtragem 4.8 na AWS ou GCP

Para criar a imagem da máquina virtual baseada no nó de filtragem 4.8, siga as instruções para AWS ou GCP.

Passo 12: Delete a instância do nó Wallarm anterior

Se a nova versão do nó de filtragem estiver configurada e testada com sucesso, remova a instância e a imagem da máquina virtual com a versão anterior do nó de filtragem usando o console de gerenciamento da AWS ou GCP.

Passo 13: Reative o módulo de verificação de ameaças ativas (somente se estiver atualizando o nó 2.16 ou inferior)

Aprenda a recomendação sobre a configuração do módulo de Verificação de Ameaça Ativa e reative-o, se necessário.

Depois de um tempo, assegure-se de que a operação do módulo não cause falsos positivos. Se encontrar falsos positivos, entre em contato com o suporte técnico do Wallarm.