Consideraciones de alta disponibilidad de la base de conocimientos de Palo Alto Networks en aws y azure bitcoin minecraft

A medida que los clientes comienzan a usar la serie VM para proteger sus aplicaciones y datos críticos para el negocio en la nube pública, surge la pregunta “¿admite la alta disponibilidad en AWS o Azure?”. La publicación original de noviembre de 2016 (abajo) no respondió la pregunta claramente. La respuesta es sí, puede implementar una arquitectura con la serie VM en AWS y azure que ofrezca una alta disponibilidad y resistencia requerida para implementaciones de aplicaciones empresariales. Sin embargo, el diablo está en los detalles de la implementación.

En AWS, la serie VM admite alta disponibilidad activa-pasiva utilizando dos cortafuegos de la serie VM (activo y pasivo) implementados dentro de una única zona de disponibilidad de AWS. Si ocurre una falla, el AWS ENI que está vinculado al firewall activo de la serie VM se mueve al firewall pasivo de la serie VM. El movimiento de ENI se realiza a través de una llamada de la API a AWS, que generalmente toma hasta 60 segundos, pero a veces más. La demora es un subproducto de cómo funciona la estructura de AWS, y no controlada por la serie VM, que vende bitcoin por dinero en efectivo. Durante ese tiempo, algunas sesiones pueden perderse, pero el estado se mantiene.

El uso pasivo activo de esta manera proporciona una alta disponibilidad en la definición tradicional. Además del tiempo de demora de conmutación por error, este HA pasivo activo no puede abarcar múltiples zonas de disponibilidad debido a la limitación de AWS de no permitir que ENI se mueva para abarcar azs. Además, ambas licencias de la serie VM están activas, al igual que los recursos de AWS necesarios para mantenerlas en ejecución, lo que genera consideraciones de gastos.

El escalado automático para la serie VM en AWS implementa múltiples cortafuegos en dos zonas de disponibilidad dentro de una VPC. Si cualquiera de los cortafuegos de la serie VM falla, suceden dos cosas: primero, el equilibrador de carga de AWS detecta la falla y desvía el tráfico a los cortafuegos de la serie VM en buen estado, lo que suele suceder en unos segundos, dependiendo de la configuración de la prueba de estado. . En segundo lugar, los grupos de escalamiento automático de AWS eliminarán automáticamente los firewalls insalubres y los reemplazarán por nuevos firewalls de la serie VM que se encuentran totalmente configurados, con licencia y listos para manejar el tráfico.

Dependiendo del equilibrio entre el rendimiento y la sensibilidad al costo, los controles de estado y los grupos de escalado automático pueden ajustarse para ser muy agresivos o muy conservadores en cuanto a la detección y reemplazo de componentes defectuosos. Esto le permite tomar su propia decisión de costo / beneficio al diseñar su implementación. La serie VM no solo se adapta y reduce automáticamente, sino que también se recupera automáticamente y ofrece una solución general y de alta disponibilidad en múltiples zonas de disponibilidad.

La alta disponibilidad de la serie VM en Azure se puede lograr utilizando los conjuntos de disponibilidad de Azure combinados con la integración de la puerta de enlace de la aplicación y el equilibrador de carga. Los conjuntos de disponibilidad abordan la necesidad de alta disponibilidad y flexibilidad minimizando o eliminando el impacto negativo que el mantenimiento de la infraestructura de Azure o las fallas del sistema pueden tener en su empresa al distribuir las cargas de trabajo entre los diferentes hosts. Implementado como un sándwich de equilibrador de carga, la puerta de enlace de la aplicación actúa como el frente externo del equilibrador de carga que finaliza la aplicación, mientras que el equilibrador de carga actúa como el mecanismo de distribución de tráfico interno, distribuyendo el tráfico a su aplicación web.

El tráfico se distribuye a los dos cortafuegos de la serie VM, cada uno asignado a un conjunto de disponibilidad diferente. Si falla un firewall de la serie VM para bitcoin, la puerta de enlace de la aplicación de Azure redirige el tráfico a los cortafuegos de la serie VM en buen estado. Cuando se repara la serie VM (según la funcionalidad del conjunto de disponibilidad), el tráfico se redistribuye. Esta arquitectura no solo ofrece escalabilidad, sino que también ofrece resistencia y alta disponibilidad a través del soporte para conjuntos de disponibilidad de Azure.

Para abordar la necesidad de una alta disponibilidad entrante y saliente en Azure, la plantilla ARM basada en la comunidad se puede usar para implementar firewalls separados con carga equilibrada para el tráfico entrante y saliente. Cada servidor de seguridad consta de dos o más servidores de seguridad de la serie VM en un conjunto de disponibilidad para que puedan administrarse de forma independiente y se puedan ampliar o ajustar para adaptarse a la carga. El balanceador de carga entrante recibe el tráfico entrante de la puerta de enlace de la aplicación que distribuye la carga a una instancia del firewall entrante de la serie VM. El firewall aplica la política de seguridad y enruta el tráfico seguro al equilibrador de carga back-end que distribuye la carga a una instancia de la carga de trabajo web back-end.

A medida que los clientes buscan mover sus aplicaciones y los datos hacen que Bitcoin vuelva a ser grande en la nube pública, no es raro que surjan preguntas sobre construcciones de centros de datos tradicionales como la alta disponibilidad (HA). La pregunta a menudo se plantea como “¿cómo se respalda la HA en AWS o el azul?”. Una forma más centrada en la nube para plantear la pregunta sería “¿necesitamos la HA en la nube pública?”

Para responder a la pregunta, primero debemos definir con precisión qué entendemos por HA. Si la pregunta es, ¿necesitamos una solución totalmente redundante y de alta disponibilidad para proteger las aplicaciones de la nube pública? Entonces la respuesta es definitivamente sí. Pero si la pregunta es, ¿necesitamos la conmutación por error de HA de estado de PAN-OS tal como lo hicimos en la nube privada, entonces la respuesta probablemente no lo sea?

Es probable que los clientes estén utilizando docenas o incluso cientos de aplicaciones en su computadora portátil, tableta y teléfono inteligente que usan infraestructura que ha tenido fallas de algún tipo. Y el 99% de las veces, no tienen idea de que sucedió. Algunos equilibradores de carga, conmutadores o procesos de enrutamiento pasaron por alto el fallo y la aplicación lo intentó de nuevo sin interrupciones, con poca o ninguna interrupción para el usuario. Por lo tanto, el enfoque para integrar nuestra seguridad de firewall de la serie VM en la aplicación de nube pública debe estar en los servicios de nube nativos como grupos de escalado automático, balanceo de carga elástico, enrutamiento, etc. y no en PAN-OS HA.

La serie VM admite HA para AWS, pero generalmente no es necesario si el cliente utiliza la migración de la nube pública como una oportunidad para actualizar sus aplicaciones para aprovechar los servicios nativos de la nube para crear una arquitectura resistente que maximice el tiempo de actividad. Muchos clientes comenzarán su migración a la nube pública siguiendo la lista de requisitos de hardware del centro de datos tradicional (conmutadores redundantes, enrutadores, cortafuegos, etc.) que puede limitar la capacidad de aprovechar la potencia de la nube. El uso del requisito de redundancia como controlador, y luego el aprovechamiento de la nube para lograrlo permitirá a los clientes: a) mejorar el tiempo de actividad de la aplicación yb) reducir los costos. Sé que esto no siempre es posible, pero el intento de dejar ese equipaje atrás.

Para los clientes que no tienen más remedio que mover una aplicación heredada a la nube pública, tenemos HA para AWS y estamos investigando HA para azure. Pero tiene un costo. No solo necesitarán un mercado de firewall pasivo bitcoin en funcionamiento en todo momento (y el proyecto de ley que lo acompaña), sino que la HA en la nube pública se basa en llamadas a API que pueden demorar más que lo que podemos hacer en hardware en dedicado infraestructura de red. Por ejemplo, en AWS, nuestra solución HA se basa en una llamada a la API para mover interfaces (ENI) de un firewall fallido al firewall pasivo. En la práctica, esto lleva de 30 a 45 segundos pero a veces más. Lo más probable es que las sesiones que HA tenía la intención de guardar ya deban restablecerse en ese período de tiempo.

En estos entornos, los datos de sesión se almacenan en servicios de base de datos confiables, como amazon dynamodb o amazon elasticache, y son compartidos por los servidores de aplicaciones. Por ejemplo, en un servicio de carrito de compras, la sesión de cookies del usuario puede sincronizarse / almacenarse entre servidores web para que la falla de un solo servidor web no tenga ningún impacto en la experiencia del usuario. El enfoque de las nuevas arquitecturas, en la nube pública y en las nubes privadas en las instalaciones, es la confiabilidad del servicio y no la confiabilidad de la sesión.

Como se mencionó anteriormente, cualquier implementación de AWS debe ser diseñada para que la resiliencia elimine el impacto negativo que puede tener una falla del componente de infraestructura. Si ocurre una falla, la solución debe ser capaz de detectar y encaminar una falla. Esto es cierto también para la seguridad de la solución. El escalado automático para la serie VM en AWS entrega HA utilizando servicios nativos de nube.

El escalado automático para la serie VM en AWS implementa múltiples cortafuegos en dos o más zonas de disponibilidad dentro de una VPC. Si cualquiera de los cortafuegos de la serie VM falla, suceden dos cosas: primero, el equilibrador de carga de AWS detecta la falla y desvía el tráfico a los cortafuegos de la serie VM en buen estado. En segundo lugar, los grupos de escalamiento automático de AWS eliminarán automáticamente los firewalls insalubres y los reemplazarán con nuevos firewalls de la serie VM que se encuentran totalmente configurados y listos para manejar el tráfico.

Dependiendo del equilibrio entre el rendimiento y la sensibilidad al costo, los controles de estado y los grupos de escalado automático pueden ajustarse para ser muy agresivos o muy conservadores en cuanto a la detección y reemplazo de componentes defectuosos. Esto le permite tomar su propia decisión de costo / beneficio al diseñar su implementación. La serie VM no solo se adapta y reduce automáticamente, independientemente de las cargas de trabajo, sino que también se recupera automáticamente y ofrece una solución general y de alta disponibilidad en múltiples zonas de disponibilidad.

La serie VM le permite implementar una solución de escalamiento administrado para el tráfico de la carga de trabajo de la aplicación web entrante utilizando un “sándwich” de equilibrador de carga. Todo el servicio. Proporciona el controlador de entrega de aplicaciones (ADC) como un servicio e incluye el balanceo de carga de capa 7 para HTTP y HTTPS, junto con características como la descarga de SSL y el enrutamiento basado en contenido. Los firewalls de la serie VM implementados detrás de la puerta de enlace de la aplicación proporcionarán la minería completa de la seguridad de próxima generación de bitcoin que protege las implementaciones de Azure de los ataques de amenazas conocidas y desconocidas. Después de la inspección de seguridad realizada por el firewall, el tráfico se envía al equilibrador de carga de Azure que actúa como equilibrador de carga interno, que distribuye el tráfico a sus aplicaciones web. Esta arquitectura no solo ofrece escalabilidad, sino que también ofrece resistencia y alta disponibilidad a través del soporte para conjuntos de disponibilidad de Azure

La pasarela de aplicaciones y el equilibrador de carga se ocupan de cualquier interrupción del tráfico, los conjuntos de disponibilidad proporcionan protección contra el mantenimiento planificado y no planificado de la infraestructura azul. Esto aborda la necesidad de flexibilidad y disponibilidad al minimizar o eliminar el impacto negativo que el mantenimiento de la infraestructura de Azure o las fallas del sistema pueden tener en su empresa al distribuir las cargas de trabajo entre los diferentes hosts.

banner