Wallarm On-Premise Deployment¶
Wallarm, partnerlar, büyük işletmeler ve kapsamlı bir on-premise güvenlik sistemi arayan her türlü organizasyon için tasarlanmış bir on-premise çözümü sunar. Bu teklif, Wallarm'ın güvenlik altyapısının doğrudan kendi ortamlarınıza entegre edilmesine olanak tanır. Bu makale, bu teklife nasıl erişileceği ve kullanılacağı hakkında bilgi sunar.
Herhangi bir soru için iletişime geçin
Lütfen on-premise dağıtımla ilgili sorularınız veya talepleriniz için Wallarm's sales team ile iletişime geçin.
Wallarm mimarisi, iki ana bileşen etrafında inşa edilmiştir:
-
Filtering node: İhtiyaçlarınıza uygun esnek dağıtım seçenekleri sunan, altyapınız içerisinde dağıtılan bileşen.
-
Wallarm Cloud: Geleneksel olarak Wallarm tarafından dışarıda barındırılan bileşen. On-premise dağıtım modelinde, Wallarm Cloud'un kendi altyapınız içerisinde dağıtılmasını sağlayan bir yöntem sunuyoruz. Bu yaklaşım, hizmet dağıtımının kapsamlı doğası nedeniyle tüm altyapının organize edilmesini gerektirir. Tüm gerekli servisleri otomatik olarak başlatan bir script sağlayarak bu süreci basitleştiriyoruz.
Deploying Wallarm Cloud on-premise¶
On-premise dağıtım için, Wallarm Cloud'u kendi altyapınızda dağıtmanız gerekmektedir. Wallarm, backend ve frontend bileşenleri (Wallarm Console UI) dahil olmak üzere tüm gerekli Cloud servislerini birkaç adımda dağıtan bir script sağlayarak bu süreci basitleştirir.
Requirements¶
Wallarm Cloud'u on-premise dağıtmak için, aşağıdaki kriterlere uygun bir compute instance hazırlamanız gerekir.
Operating system
-
Ubuntu LTS 18.04, 20.04, 22.04
-
Debian 11.x, 12.x
-
Red Hat Enterprise Linux 8.x
System requirements
-
Sunucu, bağımsız bir birim olarak tahsis edilmelidir. Ayrılmış güç kaynağı tahsis edilmesi tavsiye edilir.
-
Kurulum, güncellemeler ve hata ayıklama için
rootyetkileri gereklidir.
Minimal kaynak gereksinimleri:
-
16+ çekirdek
-
48 GB+ bellek
-
300 GB SSD root depolama (HDD'ler yavaş performanstaki sebepten yetersizdir; NVMe kabul edilebilir ancak gerekmemektedir). Sunucu yapılandırmasının, root dizinine (ve isteğe bağlı olarak /boot dizinine) yalnızca varsayılan işletim sistemi mount noktalarını içerdiğinden emin olun. Ek disk hacimleri veya depolama bölümleri oluşturulmamalıdır.
-
Ayda 100 milyon istek için 1 yıllık veri depolaması amacıyla ek 100 GB depolama
Ayda 1 milyardan fazla istek için önerilen kaynak gereksinimleri:
-
32+ çekirdek
-
80 GB+ bellek (120 GB önerilir)
-
500 GB SSD root depolama (HDD'ler yavaş performanstaki sebepten yetersizdir; NVMe kabul edilebilir ancak gerekmemektedir). Sunucu yapılandırmasının, root dizinine (ve isteğe bağlı olarak /boot dizinine) yalnızca varsayılan işletim sistemi mount noktalarını içerdiğinden emin olun. Ek disk hacimleri veya depolama bölümleri oluşturulmamalıdır.
-
Ayda 100 milyon istek için 1 yıllık veri depolaması amacıyla ek 100 GB depolama
-
Lisans anahtarını ve kurulum/güncelleme paketlerini indirmek için 80 ve 443 portlarıyla
https://onprem.wallarm.comvehttps://meganode.wallarm.comadreslerine izin verilen çıkış bağlantıları. Bu domain, statik bir IP adresinden çalışır ve DNS'in de onu çözmesi gerekmektedir. -
Instance için 3-5 seviye DNS wildcard kaydı yapılandırılmalıdır (örneğin,
*.wallarm.companyname.tld).Instance'ın bu DNS kayıtları üzerinden Wallarm filtering node'larına ve gerekli istemcilere erişilebilir olduğundan emin olun. Erişim, güvenlik gereksinimlerinize bağlı olarak VPN üzerinden kısıtlanabilir veya dış erişime açık bırakılabilir.
Alternatif domain adları
Eğer joker kart (wildcard) Common Name (CN) mümkün değilse, aşağıdaki bireysel domain adlarını yapılandırın:
wallarm.companyname.tldmy.wallarm.companyname.tldapi.wallarm.companyname.tldsso.wallarm.companyname.tldldap.wallarm.companyname.tldconsole.wallarm.companyname.tldui.wallarm.companyname.tldql.wallarm.companyname.tldminio.wallarm.companyname.tldminio-ui.wallarm.companyname.tldprometheus.wallarm.companyname.tldalertmanager.wallarm.companyname.tldgrafana.wallarm.companyname.tld
-
Güvenilir veya dahili bir CA tarafından verilen geçerli bir SSL/TLS wildcard sertifikası (ve anahtarı). Tüm filtering node instance'ları ve tarayıcıların bu SSL/TLS sertifika/anahtar çiftini güvenilir olarak tanıması gerekmektedir.
Software dependencies
Sadece gerekli yazılımları içeren temiz bir işletim sistemi kurulumu ile başlayın. Dağıtım süreci, sonrasında (containerd, Kubernetes vb. dahil) ek paketler kuracaktır. Aşağıdaki koşulların sağlandığından emin olun:
-
SSHd servisi TCP port 22 üzerinde çalışır durumda olmalı ve SSH anahtar doğrulaması etkinleştirilmiş olmalıdır.
-
Aşağıdaki paketler önceden kurulmuş olmalıdır (bunlar çoğu sistemde varsayılan olarak gelir):
iprouteiptablesbashcurlca-certificates
-
SELinux tamamen devre dışı bırakılmış olmalıdır; performans açısından permissive mod yetersizdir.
-
Herhangi bir güvenlik duvarı (ör.
firewalld,ufw) ağ kısıtlamalarını önlemek amacıyla tamamen devre dışı bırakılmalıdır. -
SWAP belleği devre dışı bırakılmalıdır.
Procedure¶
Hazır compute instance üzerinde Wallarm Cloud'u on-premise dağıtmak için:
-
Cloud servislerinin dağıtım script'ini, ilgili talimatları ve ilk kimlik bilgilerini elde etmek için sales team ile iletişime geçin.
-
Yukarıda belirtilen gereksinimlere uygun olarak sanal (veya fiziksel) bir makine hazırlayın.
-
Kurulum paketini hazırlanan instance'a yükleyin ve çözüm bileşenlerini dağıtmak için çalıştırın.
-
Instance'ın IP adresine işaret eden bir DNS wildcard kaydı yapılandırın (örneğin,
*.wallarm.companyname.tld).my.wallarm.companyname.tld,api.wallarm.companyname.tldve gereken diğer bireysel domain adlarının bu IP adresine çözüldüğünden emin olun. -
Kurulum paketiyle birlikte sağlanan ilk yapılandırma kılavuzunu takip edin.
-
Yapılandırma tamamlandığında,
https://my.wallarm.companyname.tld(veya yapılandırdığınız ilgili domain kaydı) adresine erişin ve kurulum paketinde sağlanan ilk kimlik bilgileriyle giriş yapmayı deneyin.
Artık, on-premise UI üzerinden, barındırılan Cloud versiyonu gibi, Wallarm platformunu yapılandırabilirsiniz, örneğin:
-
API Discovery gibi ek platform modüllerini yönetme
Tüm işlevler bu dokümantasyon sitesinde belirtilmiştir. Farklı Cloud'lardaki Wallarm Console UI linklerine makaleler içerisinde referans verirken, kendi domaininizi ve on-premise Wallarm Cloud'u dağıttığınız arayüzü kullanın.
Deploying Wallarm filtering node¶
On-premise Wallarm filtering node için dağıtım süreci, standart filtering node dağıtım prosedürlerine benzer. İhtiyaçlarınıza ve altyapınıza uygun bir dağıtım seçeneği belirleyin ve seçtiğiniz dağıtım yöntemi için belirtilen özel gereksinimleri dikkate alarak kılavuzlarımızı takip edin.
Requirements¶
Bir filtering node dağıtmak için, aşağıdaki kriterlere uygun bir compute instance hazırlayın:
-
Trafik hacminize göre optimize edilmiş, node operasyonunu destekleyecek yeterli CPU, bellek ve depolama. Genel kaynak tahsisi önerileri için buraya bakın.
-
On-premise Cloud instance'ının TCP/80 ve TCP/443 portlarına erişim.
-
Seçtiğiniz dağıtım yöntemi makalesinde belirtilen diğer gereksinimlere uyum.
Procedure¶
On-premise bir filtering node dağıtmak için:
-
Mevcut seçeneklerden bir dağıtım seçeneği belirleyin ve verilen talimatlara uyun. Satır içi veya out-of-band (OOB) yapılandırmalar dahil olmak üzere tüm seçenekler on-premise dağıtımı destekler.
Node kurulumu sırasında, Wallarm Cloud host'unu tanımlayan parametrelerde, daha önce oluşturduğunuz Wallarm Cloud instance'ının domaini olan
api.wallarm.companyname.tldyazın. -
Çalışan instance'ın domaininin, IP adresine çözüldüğünden emin olun. Örneğin, domain
wallarm.node.comolarak yapılandırıldıysa, bu domain instance'ın IP'sine işaret etmelidir.
Testing the deployment¶
Dağıtımı test etmek için:
-
Filtering node instance'ına yönelik test Path Traversal saldırısını çalıştırın:
-
Dağıtılan Wallarm Console UI'ya erişin ve ilgili saldırının saldırı listesinde göründüğünü kontrol edin.
Limitations¶
Aşağıdaki işlevler, şu anda on-premise Wallarm çözümü tarafından desteklenmemektedir: