Como faço para migrar do AWS WAF Classic para o AWS WAF e qual é o tempo de inatividade durante a migração?

Última atualização: 25/07/2022

Quero migrar minha atual implantação do AWS WAFClassic para o AWS WAF. Como posso fazer isso? Há tempo de inatividade envolvido na migração?

Breve descrição

Há três opções para migrar do AWS WAF Classic para o AWS WAF:

  • Migração manual
  • Automatizada usando a automação de segurança do AWS WAF
  • Automatizada usando o assistente de migração do AWS WAF Classic

Importante: antes de iniciar a migração, consulte Migration caveats and limitations (Advertências e limitações da migração).

Resolução

Migração manual

As migrações manuais são adequadas para implantações simples do AWS WAF. Uma migração manual está recriando recursos do AWS WAF Classic usando o AWS WAF. A mudança da associação da ACL da Web do AWS WAF Classic para a nova ACL da Web do AWS WAF pode causar uma breve interrupção.

Para realizar uma migração manual, faça o seguinte:

  1. Para criar uma nova implantação do AWS WAF, consulte Getting started with AWS WAF (Conceitos básicos do AWS WAF).
  2. Conclua as etapas em Migrating a web ACL: switchover (Migrando uma ACL da Web: alternância).
  3. Consulte Migrating a web ACL: additional considerations (Migraro de uma ACL da Web: considerações adicionais) para otimizar a nova implantação do AWS WAF.

Migração da automatização de segurança do AWS

Use a automação de segurança do AWS WAF para migrar automaticamente para o AWS WAF usando o AWS CloudFormation. Depois, associe a nova ACL da Web a um recurso compartível, como:

  • Distribuição do Amazon CloudFront
  • API REST do Amazon API Gateway
  • Application Load Balancer (ALB)
  • API GraphQL do AWS AppSync

Não há tempo de inatividade envolvido nesse processo de migração. É uma prática recomendada testar e ajustar as proteções do AWS WAF antes de implementar regras na produção.

Importante: ao migrar uma implantação do AWS WAF Classic criada pela automação de segurança do AWS WAF, você não deve usar o assistente de migração do AWS WAF Classic. Para obter informações adicionais, consulte Migration caveats and limitations. (Advertências e limitações de migração).

Para implantar uma nova ACL da Web usando a automação de segurança do AWS WAF, faça o seguinte:

  1. Abra a página AWS WAF Automation on AWS (Automação do AWS WAF na AWS).
  2. Navegue até AWS Solution overview (Visão geral da solução da AWS).
  3. Escolha Launch in the AWS Console (Iniciar no Console da AWS) no lado direito do diagrama.
  4. Em Region (Região), escolha a região da AWS onde você deseja criar seus recursos do AWS WAF.
  5. Em Create stack (Criar pilha), use as configurações padrão e escolha Next (Avançar).
  6. Insira um nome de pilha e escolha os parâmetros para o caso de uso. Para obter informações sobre parâmetros, consulte Launch a stack (Iniciar uma pilha).
    Importante: certifique-se de escolher o tipo de endpoint correto. O tipo deve corresponder ao recurso que você está usando atualmente no AWS WAF Classic. Se você estiver usando a API REST do Amazon API Gateway ou o Application Load Balancer, escolha ALB.
  7. Escolha Next (Avançar).
  8. (Opcional) Configure as opções de pilha ou use as configurações padrão. Depois, selecione Next (Avançar).
  9. Revise sua configuração. Depois, reconheça que o CloudFormation criará recursos do AWS Identity and Access Management (IAM) em sua conta.
  10. Escolha Create Stack (Criar pilha).

O CloudFormation cria uma nova pilha com todos os recursos necessários para a automação de segurança da AWS, incluindo uma nova ACL da Web do AWS WAF.
Importante: a nova ACL da Web do AWS WAF não é associada automaticamente a nenhum recurso da AWS.

Para concluir a migração para o AWS WAF, você deve associar manualmente a ACL da Web do AWS WAF ao recurso da AWS. Esse processo desassocia automaticamente o recurso da AWS da ACL da Web do AWS WAF Classic. Depois que um recurso é associado a essa ACL da Web do AWS WAF, as solicitações são inspecionadas pelas regras na nova ACL da Web do AWS WAF.

Depois de migrar com êxito para o AWS WAF, é uma prática recomendada revisar Migrating a web ACL: additional considerations (Migrar uma ACL da Web: considerações adicionais) para otimizar a nova implantação do AWS WAF.

Observação: talvez seja necessário recriar manualmente as regras existentes que não possam ser migradas automaticamente. Para obter mais informações, consulte Migrating a web ACL: manual follow-up (Migrando uma ACL da Web: acompanhamento manual).

Migração automatizada usando o assistente de migração do AWS WAF Classic

Use o assistente de migração do AWS WAF Classic para migrar automaticamente os recursos existentes do AWS WAF Classic para o AWS WAF. Há casos em que a migração do AWS WAF Classic não deve ser usada. Para obter mais informações, consulte Migration caveats and limitations (Advertências e limitações de migração).

Não há tempo de inatividade envolvido nesse processo de migração. É uma prática recomendada testar e ajustar as proteções do AWS WAF antes de implementar regras na produção.

Para implantar uma nova ACL da Web usando o assistente de migração automatizado do AWS WAF Classic, faça o seguinte:

  1. Abra o console do AWS WAF.
  2. No painel de navegação, escolha Switch to AWS WAF Classic (Alternar para o AWS WAF Classic).
  3. No painel de navegação, selecione Web ACLs (ACLs da Web).
  4. Na parte superior da página principal, escolha o migration wizard (assistente de migração).
  5. Em Web ACL (ACL da Web), escolha a região da AWS onde você deseja criar os recursos do AWS WAF. Depois, escolha a ACL da Web do AWS WAF Classic que você deseja migrar.
  6. Em Migration configuration (Configuração de migração), escolha Create new (Criar novo) para criar um novo bucket do S3 a ser usado pelo CloudFormation durante a migração.
    Observação:
    o bucket do S3 deve estar na mesma região que a ACL da Web e seu nome deve começar com o prefixo aws-waf-migration-.
    É uma prática recomendada usar a Aplicação automática da política de bucket necessária para a migração para evitar problemas de permissão.
    Escolha a opção preferida para Choose how to handle rules that can't be migrated (Escolher como lidar com regras que não podem ser migradas).
    Observação: é uma prática recomendada usar Exclude rules that can't be migrated (Excluir regras que não podem ser migradas) para continuar a migração. Porém, você deve criar manualmente as regras que não puderem ser migradas automaticamente quando a migração for concluída.
  7. Escolha Next (Avançar).
  8. Escolha Start creating CloudFormation template (Começar a criar modelo do CloudFormation).
  9. Escolha Create CloudFormation Stack (Criar pilha do CloudFormation) para iniciar a implantação da pilha do AWS WAF CloudFormation.
  10. Em Create stack (Criar pilha), use as configurações padrão e escolha Next (Avançar).
  11. Insira um nome de pilha e escolha os parâmetros para o caso de uso. Para obter informações sobre parâmetros, consulte Launch a stack (Iniciar uma pilha).
    Importante: certifique-se de escolher o tipo de endpoint correto. O tipo deve corresponder ao recurso que você está usando atualmente no AWS WAF Classic. Se você estiver usando a API REST do Amazon API Gateway ou o Application Load Balancer, escolha ALB.
  12. Escolha Next (Avançar).
  13. (Opcional) Configure as opções de pilha ou use as configurações padrão. Depois, selecione Next (Avançar).
  14. Revise a configuração e escolha Create Stack (Criar pilha).

O CloudFormation cria uma nova pilha com todos os recursos migrados do AWS WAF Classic, incluindo uma nova ACL da Web do AWS WAF.
Importante: a nova ACL da Web do AWS WAF não é associada automaticamente a nenhum recurso da AWS.

Para concluir a migração para o AWS WAF, você deve associar manualmente a ACL da Web do AWS WAF ao recurso da AWS. Esse processo desassocia automaticamente o recurso da AWS da ACL da Web do AWS WAF Classic. Depois que um recurso é associado a essa ACL da Web do AWS WAF, as solicitações são inspecionadas pelas regras na nova ACL da Web do AWS WAF.

Depois de migrar com êxito para o AWS WAF, é uma prática recomendada revisar Migrating a web ACL: additional considerations (Migrar uma ACL da Web: considerações adicionais) para otimizar a nova implantação do AWS WAF.

Observação: talvez seja necessário recriar manualmente as regras existentes que não puderam ser migradas automaticamente. Para obter mais informações, consulte Migrating a web ACL: manual follow-up (Migrando uma ACL da Web: acompanhamento manual).


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?