Comment puis-je effectuer la migration d'AWS WAF Classic vers AWS WAF et quel est le temps d'arrêt pendant la migration ?

Dernière mise à jour : 25-07-2022

Je souhaite effectuer la migration de mon déploiement actuel d'AWS WAF Classic vers AWS WAF. Quelle est la marche à suivre ? La migration implique-t-elle un temps d'arrêt ?

Brève description

Il existe trois options pour effectuer la migration d'AWS WAF Classic vers AWS WAF :

  • Migration manuelle
  • Automatisée grâce à l'automatisation de la sécurité AWS WAF
  • Automatisée grâce à l'assistant de migration AWS WAF Classic

Important : avant de commencer la migration, reportez-vous à section Mises en garde et limitations de la migration.

Résolution

Migration manuelle

Les migrations manuelles conviennent aux déploiements AWS WAF simples. Une migration manuelle consiste à recréer des ressources AWS WAF classiques à l'aide d'AWS WAF. Le passage de l'association de la liste ACL web AWS WAF Classic à la nouvelle liste ACL web AWS WAF peut entraîner une brève interruption.

Pour effectuer une migration manuelle, procédez comme suit :

  1. Pour créer un déploiement AWS WAF, reportez-vous à Démarrer avec AWS WAF.
  2. Suivez les étapes dans Migration d'une liste ACL web : basculement.
  3. Reportez-vous à Migration d'une liste ACL web : considérations supplémentaires pour optimiser le nouveau déploiement AWS WAF.

Migration avec l'automatisation de la sécurité AWS WAF

Utilisez l'automatisation de la sécurité AWS WAF pour effectuer la migration automatiquement vers AWS WAF à l'aide d'AWS CloudFormation. Ensuite, associez la nouvelle liste ACL web à une ressource prise en charge, telle que :

  • Distribution Amazon CloudFront
  • API REST Amazon API Gateway
  • Application Load Balancer (ALB)
  • API AWS AppSync GraphQL

Ce processus de migration n'entraîne aucun temps d'arrêt. Il est recommandé de tester et de régler vos protections AWS WAF avant de mettre en œuvre des règles en production.

Important : lors de la migration d'un déploiement AWS WAF Classic créé par l'automatisation de la sécurité AWS WAF, vous ne devez pas utiliser l'assistant de migration AWS WAF Classic. Pour plus d'informations, reportez-vous à Mises en garde et limitation de la migration.

Pour déployer une nouvelle liste ACL web à l'aide de l'automatisation de la sécurité AWS WAF, procédez comme suit :

  1. Ouvrez la page AWS WAF Automation on AWS.
  2. Accédez à AWS Solution overview (Présentation de la solution AWS).
  3. Choisissez Launch in the AWS Console (Lancer dans la console AWS) sur le côté droit du diagramme.
  4. Pour Region (Région), choisissez la région AWS dans laquelle vous souhaitez créer vos ressources AWS WAF.
  5. Pour Create stack (Créer une pile), utilisez les paramètres par défaut, puis choisissez Next (Suivant).
  6. Saisissez un nom de pile et choisissez les paramètres de votre cas d'utilisation. Pour plus d'informations sur les paramètres, remportez-vous à Lancer une pile.
    Important : veillez à choisir le type de point de terminaison correct. Le type doit correspondre à la ressource que vous utilisez actuellement dans AWS WAF Classic. Si vous utilisez l'API REST Amazon API Gateway ou Application Load Balancer, choisissez ALB.
  7. Choisissez Next (Suivant).
  8. (Facultatif) Configurez les options de pile ou utilisez les paramètres par défaut. Ensuite, choisissez Next (Suivant).
  9. Vérifiez votre configuration. Ensuite, acceptez que CloudFormation créera des ressources AWS Identity and Access Management (IAM) dans votre compte.
  10. Choisissez Create Stack (Créer une pile).

CloudFormation crée une pile avec toutes les ressources nécessaires à l'automatisation de la sécurité AWS, notamment une liste ACL web AWS WAF.
Important : la nouvelle liste ACL web AWS WAF n'est pas associée systématiquement à des ressources AWS.

Pour terminer la migration vers AWS WAF, vous devez associer manuellement la liste ACL web AWS WAF à votre ressource AWS. Ce processus dissocie automatiquement la ressource AWS de la liste ACL web AWS WAF Classic. Une fois qu'une ressource est associée à cette liste ACL web AWS WAF, les demandes sont inspectées par les règles de la nouvelle liste ACL web AWS WAF.

Après avoir effectué la migration vers AWS WAF, il est recommandé de vous reportez à Migration d'une liste ACL web : considérations supplémentaires pour optimiser le nouveau déploiement AWS WAF.

Remarque : il peut être nécessaire de recréer manuellement des règles existantes dont la migration ne peut pas être effectuée automatiquement. Pour plus d'informations, reportez-vous à Migration d'une liste ACL web : suivi manuel.

Migration automatisée à l'aide de l'assistant de migration AWS WAF Classic

Utilisez l'assistant de migration AWS WAF Classic pour effectuer la migration des ressources AWS WAF Classic existantes vers AWS WAF. Dans certains cas, la migration classique d'AWS WAF Classic ne doit pas être utilisée. Pour plus d'informations,reportez-vous à Mises en garde et limitations de la migration.

Ce processus de migration n'entraîne aucun temps d'arrêt. Il est recommandé de tester et de régler vos protections AWS WAF avant de mettre en œuvre des règles en production.

Pour déployer une nouvelle liste ACL web à l'aide de l'assistant de migration automatique AWS WAF Classic, procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Dans le volet de navigation, choisissez Switch to AWS WAF Classic (Passer à AWS WAF Classic).
  3. Dans le volet de navigation, choisissez Web ACLs (Liste ACL web).
  4. En haut de la page principale, choisissez l'assistant de migration.
  5. Pour Web ACL (Liste ACL), choisissez la région AWS dans laquelle vous souhaitez créer vos ressources AWS WAF. Ensuite, choisissez la liste ACL web AWS WAF Classic dont vous voulez effectuer la migration.
  6. PourMigration configuration (Configuration de la migration), choisissez Create new (Créer) pour créer un compartiment S3 que CloudFormation doit utiliser lors de la migration.
    Remarque :
    le compartiment S3 doit se trouver dans la même région que la liste ACL web, et son nom doit commencer par le préfixe aws-waf-migration-.
    Il est recommandé d'utiliser Auto apply the bucket policy required for migration (Appliquer automatiquement la politique de compartiment requise pour la migration), afin d'éviter les problèmes d'autorisation.
    Choisissez l'option de votre choix pour Choisir la manière de traiter les règles dont la migration ne peut pas être effectuée.
    Remarque : il est recommandé d'utiliser Exclude rules that can't be migrated(Exclure les règles dont la migration ne peut pas être effectuée) pour continuer la migration. Cependant, vous devez créer manuellement des règles dont la migration ne peut pas être effectuée automatiquement une fois la migration terminée.
  7. Choisissez Next (Suivant).
  8. Choisissez Start creating CloudFormation template (Commencer à créer un modèle CloudFormation).
  9. Choisissez Create CloudFormation Stack (Créer une pile CloudFormation ) pour démarrer le déploiement de la pile AWS WAF CloudFormation.
  10. Pour Create stack (Créer une pile), utilisez les paramètres par défaut, puis choisissez Next (Suivant).
  11. Saisissez un nom de pile et choisissez les paramètres de votre cas d'utilisation. Pour plus d'informations sur les paramètres, remportez-vous à Lancer une pile.
    Important : veillez à choisir le type de point de terminaison correct. Le type doit correspondre à la ressource que vous utilisez actuellement dans AWS WAF Classic. Si vous utilisez l'API REST Amazon API Gateway ou Application Load Balancer, choisissez ALB.
  12. Choisissez Next (Suivant).
  13. (Facultatif) Configurez les options de pile ou utilisez les paramètres par défaut. Ensuite, choisissez Next (Suivant).
  14. Vérifiez votre configuration, puis choisissez Create Stack (Créer une pile).

CloudFormation crée une pile avec toutes les ressources dont la migration est effectuée à partir d'AWS WAF Classic, notamment une nouvelle liste ACL web AWS WAF.
Important : la nouvelle liste ACL web AWS WAF n'est pas associée systématiquement à des ressources AWS.

Pour terminer la migration vers AWS WAF, vous devez associer manuellement la liste ACL web AWS WAF à votre ressource AWS. Ce processus dissocie automatiquement la ressource AWS de la liste ACL web AWS WAF Classic. Une fois qu'une ressource est associée à cette liste ACL web AWS WAF, les demandes sont inspectées par les règles de la nouvelle liste ACL web AWS WAF.

Après avoir effectué la migration vers AWS WAF, il est recommandé de vous reportez à Migration d'une liste ACL web : considérations supplémentaires pour optimiser le nouveau déploiement AWS WAF.

Remarque : il peut être nécessaire de recréer manuellement les règles existantes dont la migration n'a pas pu être effectuée automatiquement. Pour plus d'informations, reportez-vous à Migration d'une liste ACL web : suivi manuel.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?