在幾分鐘內部署 Check Point 的 AI 支援的 WAF 即服務,保護您的應用程式

2024 December 09

Web 應用程式防火牆 (WAF) 有助於保護您的 Web 應用程式和 API,但傳統 WAF 的配置和維護可能很複雜。在考慮部署 WAF 時,了解單一 WAF 所需的要求和注意事項非常重要。傳統的WAF部署必須考慮效能、規模、網路架構和其他問題。借助CloudGuard WAF 即服務 (WAFaaS),這些注意事項已被預設,使部署變得輕鬆。此外,CloudGuard WAF 即服務不需要傳統 WAF 所需的手動調整。

Check Point CloudGuard WAF以前稱為 AppSec,是AWS Marketplace中提供的 Web 應用程式和 API 安全解決方案,可透過基於 AI 的方法簡化 WAF 部署和管理。在這篇文章中,我們示範如何在幾分鐘內將 WAF 部署為服務。

CloudGuard WAF 的分析師認可

GigaOm Radar 報告審查了 13 個頂級應用程式和 API 安全解決方案,連續第二年將 CloudGuard WAF 評為領導者。

開放全球應用安全專案 (OWASP) 的獨立測試表明,CloudGuard WAF 的威脅偵測率為 98.6%,誤報率為 0.81%,是其測試中唯一在品質和安全方面均達到 95% 的 WAF 解決方案。 。

持續的人工智慧學習與自動策略管理

CloudGuard WAF 的人工智慧引擎根據網路流量進行自我訓練,分析 API 事務,偵測與正常情況的偏差,並自動採取補救措施。這種持續的人工智慧學習消除了複雜的防火牆規則重寫的需要,因為 CloudGuard WAF 只需管理員最少的努力即可自動執行策略管理。

CloudGuard WAF 還透過偵測雲端、混合和本機環境中的每個 API 路由和端點來保護 API,提供現有資料的上下文。 CloudGuard 針對架構修訂的建議有助於隨著時間的推移提高安全性。

CloudGuard WAF 作為服務

雖然 CloudGuard WAF 的強大功能已在 AWS Marketplace 中提供多年,但 CloudGuard WAF 現在已作為服務提供。這種新模式顯著減少了部署時間並支援按月付款。透過僅需幾分鐘的四個簡單步驟,任何組織都可以利用CloudGuard WAF 即服務的強大功能來保護其 Web 應用程式和 API ,從而對 AWS 客戶環境幾乎為零的影響,並且無需安裝和維護基礎設施即服務解決方案。

解決方案概述

在本部分中,我們將示範如何使用以下簡單步驟設定 CloudGuard WAF 即服務來保護您的 Web 應用程式。

  1. 登入您的 Infinity Portal 帳戶。
  2. 建立網路資產並證明網域的所有權。
  3. 將您的 Web 網域連接到 CloudGuard WAF 即服務。
  4. 允許從 CloudGuard WAF 即服務 IP 位址進行存取。
  5. 測試對您網站的存取。

先決條件

要執行該解決方案,您需要完成以下先決條件。

  • 擁有或建立 Infinity Portal 帳戶。
  • 從AWS Marketplace購買並啟動 CloudGuard WAF 即服務。
  • 驗證受保護網域的 DNS 配置的所有權。
  • 擁有或創建資產的內部網址。

解決方案演練:只需幾分鐘即可在 AWS 上新增由 AI 驅動的 WAF 即服務安全性

若要保護受 CloudGuard WAFas-a-Service 保護的每個資產中每個網域的流量,您需要執行以下四個步驟。

登入您的Infinity Portal帳戶並導航至 CloudGuard WAF

如果您沒有 Infinity Portal 帳戶,請依照Infinity Portal 入門指南中的步驟建立帳戶。

圖 1 – Check Point 控制台上的 WAF

創建網路資產並證明網域所有權

1. 透過導覽至「新資產」 > “Web 應用程式”來建立新的 Web 資產

圖 2 – 建立新的 Web 資源

2. 在策略標籤中,選擇設定文件,然後選擇在步驟 1 中的新 Web 應用程式精靈期間自動建立的 WAF 即服務設定檔。

圖 3 – 選擇 WebApp SaaS 設定文件

3. 對於每個待驗證的 Web 網域,選擇該 Web 網域並依照指示透過在 DNS 配置中新增具有提供的名稱和值的 CNAME 記錄來證明所有權,如圖 4 所示

圖 4 – 證明 Web 網域所有權

您需要對每個 Web 網域執行此操作。例如,如果您要保護www.<插入您的網域>.net和api.<插入您的網域>.net,則需要分別證明每個 Web 網域的所有權,如圖 5 所示

圖 5 – www..net 的網域設定範例

將您的 Web 網域連接到 CloudGuard WAF 即服務

重要提示:在執行此步驟之前,請停用您網站位址的任何現有Amazon CloudFront設定。

  1. 驗證網域所有權後(最多可能需要 30 分鐘),將頒發 CNAME 記錄。
  2. 變更要保護的網域的現有 DNS CNAME 記錄,將其值更新為提供的字串。

DNS 在全球傳播後,流量將透過 CloudGuard WAF 即服務,然後路由到您的內部 Web 伺服器。

圖 6 - 成功的網域驗證並將現有 DNS 更新為新的 CNAME

允許從 CloudGuard WAF 即服務 IP 位址進行訪問

在此步驟中,您將 IP 位址新增至內部 Web 伺服器允許的存取清單中,並且可能需要刪除不再需要的 IP 位址。

由於 DNS 傳播最多可能需要 72 小時,因此我們建議僅根據需要添加 IP 位址,但不要刪除對 Web 伺服器的任何訪問,直到 72 小時過去並且您已通過 WAF 即服務測試了連接。

  1. 對於受 CloudGuard WAF 即服務保護的每項資產,配置反向代理功能的上游 URL,以允許從 CloudGuard WAF UI 部署表單中提供的 IP 位址進行存取。僅允許從這些地址進行存取。
  2. 如果該網域之前已公開暴露,請減少可存取性並僅允許來自這些 IP 位址的流量。
  3. 如果先前只能從已設定的反向代理程式存取該網域,請將 WAF 即服務 IP 位址新增至存取列表,並考慮從先前的反向代理程式中刪除不相關的 IP 位址。

圖 7 – 允許列出的 IP 和準備測試存取的網域

測試對您網站的訪問

完成前面的步驟後,測試對您網站的存取。更改 DNS 記錄通常需要幾個小時才能在全球範圍內傳播,但最長可能需要 72 小時。

確保您驗證您沒有在先前的環境中留下公開暴露的網域。

準備好開始了嗎?

立即聯絡 Check Point請求示範或在AWS Marketplace中尋找 Check Point CloudGuard WAF 即服務!

關於作者:

泰勒·卡里根(Tyler Carrigan)是一位溝通者,簡單明了。十多年來,他一直在研究技術主題,從美國海軍潛艇部隊到領導 Linux 管理員社群。他現在專注於雲端安全。

Vinit Ans human是 AWS Marektplace 的技術合作夥伴領導者,專門從事安全和 AI 解決方案的整合和創新。他擁有三項專利,並領導戰略舉措,為客戶和合作夥伴提供尖端、可擴展且安全的人工智慧驅動解決方案。工作之餘,Vinit 喜歡在大自然中健行並指導年輕學生

Dhanil Parwani是 AWS 的高級合作夥伴解決方案架構師。他與網路合作夥伴密切合作,建立解決方案和功能,以支援和簡化他們在雲端的遷移和​​操作。他擁有科羅拉多大學博爾德分校的電信碩士學位,並對電腦網路充滿熱情。工作之餘,丹尼爾是一位狂熱的旅行者,喜歡為利物浦足球俱樂部加油。

文章來源/Check Point Blog Check Point Blog 

返回