Рекомендации по обновлению WAF‑ноды¶
Этот документ содержит общие рекомендации к процессу обновления WAF‑ноды до версии 2.18, а также описание возможных рисков и способов их минимизации.
Общие рекомендации¶
-
Планируйте обновление WAF‑ноды и контролируйте процесс обновления. Ориентировочные даты выхода новых версий WAF‑ноды публикуются в политике версионирования ноды.
-
Если в вашей инфраструктуре установлено несколько WAF‑нод, обновляйте их поочередно. Если в течение суток после обновления первой WAF‑ноды все модули работают корректно, выполните поочередное обновление других WAF‑нод с интервалом в сутки.
-
Если вы используете разные среды для разработки и для боевого трафика, сначала примените и проверьте новую версию в среде разработки или тестирования, затем в боевой среде. Подробные рекомендации описаны в инструкции по настройке WAF‑ноды для изолированных сред.
-
Перед обновлением ноды, отключите движение трафика через ноду любым доступным методом (например, переключите режим фильтрации трафика в
off
). -
После обновления ноды, переключите режим фильтрации трафика в
monitoring
. Если в режимеmonitoring
в течение суток все модули работают корректно и нет аномального роста в количестве ложных атак, переведите ноду в режимblock
. -
Обновляйте NGINX до последней доступной версии перед применением обновлений WAF‑ноды. Если в вашей инфраструктуре необходимо использовать другую версию NGINX, пожалуйста, напишите в техническую поддержку Вебмониторэкс для сборки модуля WAF для кастомной версии NGINX.
Риски при обновлении¶
Ниже приведены риски, возможные при обновлении WAF‑ноды. Чтобы снизить влияние риска на систему, следуйте соответствующим рекомендациям.
Изменения в функциях WAF‑ноды¶
Новая минорная версия WAF‑ноды может содержать следующий набор изменений:
-
Поддержка новых способов установки
-
Прекращение поддержки невостребованных способов установки
-
Новые возможности продукта
-
Оптимизация работы продукта
Конфигурация предыдущей версии применяется к новой версии автоматически и не требует изменений в формате конфигурации. Исключение — при обновлении облачного образа необходимо перенести файлы с конфигурацией на новую версию вручную. Большинство новых возможностей настраиваются с помощью директив в файлах конфигурации.
Перед обновлением мы рекомендуем ознакомиться с набором изменений и учесть возможное изменение конфигурации при планировании обновления.
Набор изменений в WAF‑ноде 2.18
Изменения в поддерживаемых платформах
- Добавлена поддержка Ubuntu 20.04 LTS (focal)
Полный список поддерживаемых платформ →
Новые возможности продукта
- Новая переменная
wallarm_attack_type_list
для настройки расширенного логирования WAF‑ноды. В переменную записываются обнаруженные типы атак в текстовом формате.
[Подробное описание переменнойwallarm_attack_type_list
→] - Новый способ настройки страницы блокировки и кода ошибки, которые возвращаются клиенту в ответ на заблокированный запрос. Теперь чтобы возвращать разные ответы на запросы, отправленные с разных устройств или приложений, вы можете передать переменную в значении директив
wallarm_block_page
иwallarm_acl_block_page
.
[Подробная инструкция по настройке ответа через переменную →] - Новый параметр статистики WAF‑ноды:
startid
. В параметр записывается случайный уникальный идентификатор WAF‑ноды.
[Список всех параметров сервиса статистики →] - Поддержка новой аннотации Ingress‑контроллера Вебмониторэкс:
nginx.ingress.kubernetes.io/wallarm-acl-block-page
. Аннотация ипользуется для настройки страницы блокировки и кода ошибки, которые возвращаются в ответ на запрос с заблокированного IP‑адреса.
[Пример настройки ответа с помощью аннотацииnginx.ingress.kubernetes.io/wallarm-acl-block-page
→] - Снижено количество ресурсов, которое выделяется для сервиса постаналитики при деплое облачного образа WAF‑ноды по умолчанию.
В предыдущих вериях WAF‑ноды, развернутый образ WAF‑ноды выделял 75% общей памяти инстанса для Tarantool. В WAF‑ноде версии 2.18, для Tarantool выделяется 40% общей памяти инстанса.
Новые ложные срабатывания¶
Качество анализа трафика повышается с каждой новой версией WAF‑ноды, соответственно снижается количество ложных срабатываний. Но каждое защищаемое приложение имеет особенности, поэтому мы рекомендуем проанализировать работу новой версии WAF‑ноды в режиме monitoring
перед включением режима блокировки (block
).
Чтобы проанализировать количество новых ложных срабатываний после обновления:
-
Разверните новую версию WAF‑ноды в режиме
monitoring
и направьте на нее трафик. -
Через некоторое время перейдите в Консоль управления Вебмониторэкс → секция События и проанализируйте количество запросов, которые ошибочно распознаны как атаки.
-
При обнаружении аномального роста в количестве ложных срабатываний, пожалуйста, напишите в техническую поддержку Вебмониторэкс.
Увеличение количества потребляемых ресурсов¶
Настройка новых возможностей продукта может вызвать изменение в количестве потребляемых ресурсов. Информация о возможных изменениях указывается в разделе Что нового.
Также, рекомендуется проводить мониторинг работы WAF‑ноды: при обнаружении значительных отличий в фактическом количестве потребляемых ресурсов и в количестве, описанном в документации, пожалуйста, свяжитесь с технической поддержкой Вебмониторэкс.
Процедура обновления¶
Процедура обновления WAF‑ноды зависит от платформы и формы установки. Выберите форму установки и следуйте инструкциям по обновлению: