Como faço para migrar do AWS WAF Classic para o AWS WAF e qual é o tempo de inatividade durante a migração?

7 minuto de leitura
0

Quero migrar minha implantação atual do AWS WAF Classic para o AWS WAF. Também quero saber o tempo de inatividade envolvido na migração.

Solução

Observação: Antes de iniciar a migração, consulte Advertências e limitações da migração.

Use uma das opções a seguir para migrar do AWS WAF Classic para o AWS WAF.

Migração manual

Use a migração manual para implantações simples do AWS WAF. Uma migração manual recria os recursos do AWS WAF Classic no AWS WAF. A migração pode causar inconsistências no tratamento de solicitações até que seja concluída.

Para realizar uma migração manual, faça o seguinte:

  1. Configure o AWS WAF.
  2. Conclua as etapas em Migrando uma ACL da web: transição.
  3. Revise sua nova lista de controle de acesso à web (ACL da web) e atualize sua configuração conforme necessário.

Automações de segurança para AWS WAF (automatizadas)

Use automações de segurança para o AWS WAF para migrar automaticamente para o AWS WAF. Essa solução usa o AWS CloudFormation. Em seguida, associe a nova ACL da web a um recurso compatível, como:

  • Distribuição do Amazon CloudFront
  • API REST do Amazon API Gateway
  • Application Load Balancer
  • API GraphQL do AWS AppSync
  • Grupo de usuários do Amazon Cognito
  • Serviço AWS App Runner
  • Instância de acesso verificado pela AWS

Não há tempo de inatividade envolvido nesse processo de migração. É uma prática recomendada testar e ajustar suas proteções do AWS WAF antes de implementar as regras na produção.

Observação: Ao usar automações de segurança para o AWS WAF para migrar do AWS WAF Classic, você não deve usar o assistente de migração do AWS WAF Classic. Para obter informações adicionais, consulte Advertências e limitações da migração.

Para usar as automações de segurança do AWS WAF para implantar uma nova ACL da web, conclua as seguintes etapas:

  1. Abra Automações de segurança para o AWS WAF.
  2. Em Opções de implantação, escolha Iniciar no console da AWS.
  3. Em Região, escolha a região da AWS em que você deseja criar seus recursos do AWS WAF.
  4. Em Criar pilha, use as configurações padrão e escolha Avançar.
  5. Insira um nome de pilha e escolha os parâmetros para seu caso de uso. Para obter informações sobre parâmetros, consulte a Etapa 1. Inicie a pilha.
    Observação: Você deve escolher um tipo de endpoint que corresponda ao recurso que está atualmente no AWS WAF Classic. Se você usa API REST do API Gateway ou Application Load Balancer, escolha ALB.
  6. Escolha Avançar.
  7. (Opcional) Configure as opções de pilha ou use as configurações padrão. Em seguida, escolha Avançar.
  8. Revise sua configuração. Em seguida, confirme que o CloudFormation criará recursos do AWS Identity and Access Management (AWS IAM) em sua conta.
  9. Escolha Criar pilha.

O CloudFormation cria uma nova pilha com todos os recursos necessários para a automação de segurança, incluindo uma nova ACL da web do AWS WAF.

Observação: A nova ACL da web não é associada automaticamente a nenhum recurso da AWS.

Para concluir a migração para o AWS WAF, você deve associar manualmente a ACL da web do AWS WAF aos seus recursos da AWS. Esse processo desassocia automaticamente o recurso da AWS da ACL da web do AWS WAF Classic. Depois de associar o recurso à nova ACL da web do AWS WAF, as regras da ACL da web inspecionam as solicitações recebidas.

Depois de migrar para o AWS WAF, é uma prática recomendada revisar sua nova ACL da web e atualizar sua configuração conforme necessário.

Observação: Talvez seja necessário recriar manualmente as regras existentes que não podem ser migradas automaticamente. Para obter mais informações, consulte Migrando uma ACL da web: acompanhamento manual.

Assistente de migração do AWS WAF Classic (automatizado)

Use o assistente de migração do AWS WAF Classic para migrar automaticamente os recursos existentes do AWS WAF Classic para o AWS WAF. Há casos em que você não deve usar o assistente de migração do AWS WAF Classic. Para obter mais informações, consulte Advertências e limitações da migração.

Não há tempo de inatividade envolvido nesse processo de migração. É uma prática recomendada testar e ajustar suas proteções do AWS WAF antes de implementar as regras na produção.

Para usar o assistente de migração do AWS WAF Classic para implantar uma nova ACL da web, conclua as seguintes etapas:

  1. Abra o console do AWS WAF.
  2. No painel de navegação, escolha Mudar para o AWS WAF Classic.
  3. No painel de navegação, escolha Web ACLs e escolha Assistente de migração.
  4. Para ACL da web, escolha a região em que você deseja criar seus recursos do AWS WAF. Em seguida, escolha a ACL da web do AWS WAF Classic que você deseja migrar.
  5. Para configuração de migração, escolha Criar novo. Isso cria um novo bucket do S3 que o CloudFormation usa durante a migração.
    Observação: O bucket do S3 deve estar na mesma região da ACL da web e seu nome deve começar com o prefixo aws-waf-migration-.
    É uma prática recomendada usar a aplicação automática da política de bucket necessária para a migração, para evitar problemas de permissão.
  6. Em Escolha como lidar com regras que não podem ser migradas, escolha a opção que melhor atenda às suas necessidades.
    Observação: É uma prática recomendada usar regras de exclusão que não podem ser migradas para continuar a migração. No entanto, você deve criar manualmente regras que não possam ser migradas automaticamente.
  7. Escolha Avançar.
  8. Escolha Começar a criar o modelo do CloudFormation.
  9. Escolha Criar pilha do CloudFormation.
  10. Em Criar pilha, use as configurações padrão e escolha Avançar.
  11. Insira um nome de pilha e, em seguida, escolha os parâmetros para seu caso de uso. Para obter informações sobre parâmetros, consulte a Etapa 1. Inicie a pilha.
    Observação: Você deve escolher um tipo de endpoint que corresponda ao recurso que está atualmente no AWS WAF Classic. Se você usa API REST do API Gateway ou Application Load Balancer, escolha ALB.
  12. Escolha Avançar.
  13. (Opcional) Configure as opções de pilha ou use as configurações padrão. Em seguida, escolha Avançar.
  14. Revise sua configuração e escolha Criar pilha.

O CloudFormation cria uma nova pilha com todos os recursos que são migrados do AWS WAF Classic, incluindo uma nova ACL da web do AWS WAF.

Observação: A nova ACL da web não é associada automaticamente a nenhum recurso da AWS.

Para concluir a migração para o AWS WAF, você deve associar manualmente a ACL da web do AWS WAF aos seus recursos da AWS. Esse processo desassocia automaticamente o recurso da AWS da ACL da web do AWS WAF Classic. Depois de associar o recurso à nova ACL da web do AWS WAF, as regras da ACL da web inspecionam as solicitações recebidas.

Depois de migrar para o AWS WAF, é uma prática recomendada revisar sua nova ACL da web e atualizar sua configuração conforme necessário.

Observação: Talvez seja necessário recriar manualmente as regras existentes que não podem ser migradas automaticamente. Para obter mais informações, consulte Migrando uma ACL da web: acompanhamento manual.

Informações relacionadas

Migrando suas regras do AWS WAF Classic para o novo AWS WAF

AWS OFICIAL
AWS OFICIALAtualizada há um ano