¿Cómo puedo migrar de AWS WAF Classic a AWS WAF y cuál es el tiempo de inactividad durante la migración?

8 minutos de lectura
0

Quiero migrar el despliegue actual de AWS WAF Classic a AWS WAF. ¿Cómo lo hago? ¿Habrá tiempo de inactividad durante en la migración?

Descripción corta

Tiene las siguientes tres opciones para migrar de AWS WAF Classic a AWS WAF:

  • Migración manual
  • Automatizada mediante la automatización de seguridad de AWS WAF
  • Automatizada mediante el asistente de migración de AWS WAF Classic

Importante: Antes de iniciar la migración, consulte Migration caveats and limitations (Advertencias y limitaciones de la migración).

Resolución

Migración manual

Las migraciones manuales son adecuadas para despliegues de AWS WAF sencillos. Con una migración manual, recrea los recursos de AWS WAF Classic con AWS WAF. El cambio de la asociación de ACL web de AWS WAF Classic a la nueva ACL web de AWS WAF podría provocar una breve interrupción.

Para realizar una migración manual, haga lo siguiente:

  1. A fin de crear un nuevo despliegue de AWS WAF, consulte Getting started with AWS WAF (Introducción a AWS WAF).
  2. Complete los pasos en Migrating a web ACL: switchover (Migración de una ACL web: conmutación).
  3. Consulte Migrating a web ACL: additional considerations (Migración de una ACL web: consideraciones adicionales) para optimizar el nuevo despliegue de AWS WAF.

Migración automatizada de la seguridad de AWS WAF

Utilice la automatización de seguridad de AWS WAF para migrar automáticamente a AWS WAF mediante AWS CloudFormation. Después, asocie la nueva ACL web con un recurso compatible, como los siguientes:

  • Distribución de Amazon CloudFront
  • API de REST de Amazon API Gateway
  • Equilibrador de carga de aplicación (ALB)
  • API de GraphQL de AWS AppSync

No hay tiempo de inactividad involucrado en este proceso de migración. Es una práctica recomendada probar y ajustar las protecciones de AWS WAF antes de implementar reglas en producción.

Importante: No tiene que usar el asistente de migración de AWS WAF Classic cuando migra un despliegue de AWS WAF Classic creado por la automatización de seguridad de AWS WAF. Para obtener información adicional, consulte Migration caveats and limitations (Advertencias y limitaciones de la migración).

Para implementar una nueva ACL web mediante la automatización de seguridad de AWS WAF, haga lo siguiente:

  1. Abra la página AWS WAF Automation on AWS (Automatización de WAF en AWS).
  2. Navegue hasta AWS Solution overview (Información general sobre la solución de AWS).
  3. Elija Launch in the AWS Console (Lanzar en la consola de AWS) en la parte derecha del diagrama.
  4. En Region (Región), elija la región de AWS en la que desea crear sus recursos de AWS WAF.
  5. En Create stack (Crear pila), utilice la configuración predeterminada y, a continuación, seleccione Next (Siguiente).
  6. Ingrese un Stack name (Nombre de pila) y seleccione los Parameters (Parámetros) para su caso de uso. Para obtener más información sobre Parameters (Parámetros), consulte Launch a stack (Lanzar una pila).
    Importante: Asegúrese de elegir el Endpoint Type (Tipo de punto de conexión) correcto. El tipo tiene que coincidir con el recurso que utiliza actualmente en AWS WAF Classic. Si utiliza la API de REST de Amazon API Gateway o el equilibrador de carga de aplicación, seleccione ALB.
  7. Seleccione Next (Siguiente).
  8. Configure las opciones de pila o utilice la configuración predeterminada (opcional). A continuación, seleccione Next (Siguiente).
  9. Revise la configuración. Después, confirme que CloudFormation creará recursos de AWS Identity and Access Management (IAM) en su cuenta.
  10. Elija Create Stack (Crear pila).

CloudFormation crea una nueva pila con todos los recursos necesarios para la automatización de la seguridad de AWS, incluida una nueva ACL web de AWS WAF.
Importante: La nueva ACL web de AWS WAF no se asocia automáticamente a ningún recurso de AWS.

Para completar la migración a AWS WAF, tiene que asociar manualmente la ACL web de AWS WAF al recurso de AWS. Este proceso desasocia automáticamente el recurso de AWS de la ACL web de AWS WAF Classic. Después de asociar un recurso a esta ACL web de AWS WAF, las solicitudes se inspeccionan según las reglas de la nueva ACL web de AWS WAF.

Después de migrar correctamente a AWS WAF, se recomienda revisar Migrating a web ACL: additional considerations (Migración de una ACL web: consideraciones adicionales) para optimizar el nuevo despliegue de AWS WAF.

Nota: Es posible que tenga que volver a crear manualmente las reglas existentes que no se puedan migrar automáticamente. Para obtener más información, consulte Migrating a web ACL: manual follow-up (Migración de una ACL web: seguimiento manual).

Migración automatizada mediante el asistente de migración de AWS WAF Classic

Use el asistente de migración de AWS WAF Classic para migrar automáticamente los recursos de AWS WAF Classic existentes a AWS WAF. Hay casos en los que no se tiene que usar la migración de AWS WAF Classic. Para obtener más información, consulte Migration caveats and limitations (Advertencias y limitaciones de la migración).

No hay tiempo de inactividad involucrado en este proceso de migración. Es una práctica recomendada probar y ajustar las protecciones de AWS WAF antes de implementar reglas en producción.

Para implementar una nueva ACL web mediante el asistente de migración automatizado de AWS WAF Classic, haga lo siguiente:

  1. Abra la consola de AWS WAF.
  2. En el panel de navegación, elija Switch to AWS WAF Classic (Cambiar a AWS WAF Classic).
  3. En el panel de navegación, elija Web ACLs (ACL web).
  4. En la parte superior de la página principal, elija el asistente de migración.
  5. En Web ACL (ACL web), elija la región de AWS en la que desea crear sus recursos de AWS WAF. Después, elija la ACL web de AWS WAF Classic que desee migrar.
  6. En Migration configuración (Configuración de migración), elija Create new (Crear nuevo) para crear un nuevo bucket de S3 que CloudFormation utilizará durante la migración. Nota: El bucketde S3 tiene que estar en la misma región que la ACL web, y su nombre tiene que comenzar con el prefijo aws-waf-migration-.
    Se recomienda utilizar la opción Auto apply the bucket policy required for migration (Aplicación automática de la política de bucket necesaria para la migración) para evitar problemas de permisos.
    Elija la opción que prefiera en Choose how to handle rules that can't be migrated (Elegir cómo gestionar las reglas que no se pueden migrar).
    Nota: Se recomienda utilizar la opción Exclude rules that can't be migrated (Excluir las reglas que no se puedan migrar) para continuar con la migración. Sin embargo, tiene que crear de forma manual reglas que no se puedan migrar automáticamente cuando se complete la migración.
  7. Seleccione Next (Siguiente).
  8. Elija Start creating CloudFormation template (Comenzar a crear plantilla de CloudFormation).
  9. Elija Create CloudFormation Stack (Crear una pila de CloudFormation) para iniciar el despliegue de la pila de CloudFormation de AWS WAF.
  10. En Create stack (Crear pila), utilice la configuración predeterminada y, a continuación, seleccione Next (Siguiente).
  11. Ingrese un Stack name (Nombre de pila) y seleccione los Parameters (Parámetros) para su caso de uso. Para obtener más información sobre Parameters (Parámetros), consulte Launch a stack (Lanzar una pila).
    Importante: Asegúrese de elegir el Endpoint Type (Tipo de punto de conexión) correcto. El tipo tiene que coincidir con el recurso que utiliza actualmente en AWS WAF Classic. Si utiliza la API de REST de Amazon API Gateway o el equilibrador de carga de aplicación, seleccione ALB.
  12. Seleccione Next (Siguiente).
  13. Configure las opciones de pila o utilice la configuración predeterminada (opcional). A continuación, seleccione Next (Siguiente).
  14. Revise la configuración y, después, elija Create Stack (Crear pila).

CloudFormation crea una nueva pila con todos los recursos que se migran desde AWS WAF Classic, incluida una nueva ACL web de AWS WAF.
Importante: La nueva ACL web de AWS WAF no se asocia automáticamente a ningún recurso de AWS.

Para completar la migración a AWS WAF, tiene que asociar manualmente la ACL web de AWS WAF al recurso de AWS. Este proceso desasocia automáticamente el recurso de AWS de la ACL web de AWS WAF Classic. Después de asociar un recurso a esta ACL web de AWS WAF, las solicitudes se inspeccionan según las reglas de la nueva ACL web de AWS WAF.

Después de migrar correctamente a AWS WAF, se recomienda revisar Migrating a web ACL: additional considerations (Migración de una ACL web: consideraciones adicionales) para optimizar el nuevo despliegue de AWS WAF.

Nota: Es posible que tenga que volver a crear de forma manual las reglas existentes que no se hayan podido migrar automáticamente. Para obtener más información, consulte Migrating a web ACL: manual follow-up (Migración de una ACL web: seguimiento manual).


Información relacionada

Migrating your rules from AWS WAF Classic to the new AWS WAF (Migrar las reglas de AWS WAF Classic al nuevo AWS WAF).

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años