¿Cómo puedo migrar de AWS WAF Classic a AWS WAF y cuál es el tiempo de inactividad durante la migración?
Quiero migrar mi implementación actual de AWS WAF Classic a AWS WAF. También quiero saber el tiempo de inactividad que implica la migración.
Solución
Nota: Antes de iniciar la migración, consulta Migration caveats and limitations (Advertencias y limitaciones de la migración).
Utiliza una de las siguientes opciones para migrar de AWS WAF Classic a AWS WAF.
Migración manual
Utiliza la migración manual para las implementaciones sencillas de AWS WAF. Una migración manual vuelve a crear los recursos de AWS WAF Classic en AWS WAF. La migración puede provocar incoherencias en la gestión de las solicitudes hasta que se complete.
Para realizar una migración manual, sigue estos pasos:
- Configura AWS WAF.
- Sigue los pasos de Migrating a web ACL: switchover )(Migración de una ACL web: conmutación).
- Revisa la nueva lista de control de acceso web (ACL web) y actualiza la configuración según sea necesario.
Automatizaciones de seguridad para AWS WAF (automatizado)
Utiliza Automatizaciones de seguridad para AWS WAF para migrar automáticamente a AWS WAF. Esta solución utiliza AWS CloudFormation. A continuación, asocia la nueva ACL web a un recurso compatible, como:
- Distribución de Amazon CloudFront
- API de REST de Amazon API Gateway
- Equilibrador de carga de aplicación
- API GraphQL de AWS AppSync
- Grupo de usuarios de Amazon Cognito
- Servicio AWS App Runner
- Instancia de Acceso verificado de AWS
Este proceso de migración no implica ningún tiempo de inactividad. Se recomienda probar y ajustar las protecciones de AWS WAF antes de implementar las reglas en producción.
Nota: Cuando utilices Automatizaciones de seguridad para AWS WAF para migrar desde AWS WAF Classic, no debes utilizar el asistente de migración de AWS WAF Classic. Para obtener información adicional, consulta Migration caveats and limitations (Advertencias y limitaciones de la migración).
Para usar Automatizaciones de seguridad para AWS WAF para implementar una nueva ACL web, sigue estos pasos:
- Abre Automatizaciones de seguridad para AWS WAF.
- En Opciones de implementación, selecciona Launch in the AWS Console (Lanzar en la Consola de AWS).
- En Región, selecciona la región de AWS en la que deseas crear los recursos de AWS WAF.
- En Crear pila, usa la configuración predeterminada y, a continuación, selecciona Siguiente.
- Introduce un nombre de pila y selecciona los parámetros de tu caso de uso. Para obtener información sobre los parámetros, consulta Paso 1. Lanza la pila.
Nota: Debes elegir un tipo de punto de enlace que coincida con el recurso que se encuentra actualmente en AWS WAF Classic. Si usas la API de REST de API Gateway o un equilibrador de carga de aplicación, selecciona ALB. - Selecciona Siguiente.
- (Opcional) Configura las opciones de pila o utiliza la configuración predeterminada. Después, selecciona Siguiente.
- Revisa la configuración. A continuación, confirma que CloudFormation creará los recursos de AWS Identity and Access Management (IAM) en tu cuenta.
- Selecciona Crear pila.
CloudFormation crea una nueva pila con todos los recursos necesarios para la automatización de la seguridad, incluida una nueva ACL web de AWS WAF.
Nota: La nueva ACL web no se asocia automáticamente a ningún recurso de AWS.
Para completar la migración a AWS WAF, debes asociar manualmente la ACL web de AWS WAF a tus recursos de AWS. Este proceso desvincula automáticamente el recurso de AWS de la ACL web de AWS WAF Classic. Después de asociar el recurso a la nueva ACL web de AWS WAF, las reglas de la ACL web inspeccionan las solicitudes entrantes.
Tras la migración a AWS WAF, se recomienda revisar la nueva ACL web y actualizar su configuración según sea necesario.
Nota: Es posible que tengas que volver a crear manualmente las reglas existentes que no se pueden migrar automáticamente. Para obtener más información, consulta Migrating a web ACL: manual follow-up (Migración de una ACL web: seguimiento manual).
Asistente de migración de AWS WAF Classic (automatizado)
Utiliza el asistente de migración de AWS WAF Classic para migrar automáticamente los recursos existentes de AWS WAF Classic a AWS WAF. Hay casos en los que no debes utilizar el asistente de migración de AWS WAF Classic. Para obtener más información, consulta Migration caveats and limitations (Advertencias y limitaciones de la migración).
Este proceso de migración no implica ningún tiempo de inactividad. Se recomienda probar y ajustar las protecciones de AWS WAF antes de implementar las reglas en producción.
Para usar el asistente de migración de AWS WAF Classic para implementar una nueva ACL web, sigue estos pasos:
- Abre la consola de AWS WAF.
- En el panel de navegación, selecciona Switch to AWS WAF Classic (Cambiar a AWS WAF Classic).
- En el panel de navegación, selecciona ACL web y, a continuación, selecciona Migration Wizard (Asistente de migración).
- En ACL web, selecciona la región en la que deseas crear los recursos de AWS WAF. A continuación, selecciona la ACL web de AWS WAF Classic que deseas migrar.
- En Configuración de migración, selecciona Crear nuevo. Esto crea un nuevo bucket de S3 que CloudFormation usa durante la migración.
Nota: El bucket de S3 debe estar en la misma región que la ACL web y su nombre debe empezar por el prefijo aws-waf-migration-.
Se recomienda utilizar Auto apply the bucket policy required for migration (Aplicar automáticamente la política de bucket requerida para la migración) para evitar problemas con los permisos. - En Choose how to handle rules that can't be migrated (Selecciona cómo gestionar las reglas que no se pueden migrar), selecciona la opción que mejor se adapte a tus necesidades.
Nota: Se recomienda utilizar Exclude rules that can't be migrated (Excluir las reglas que no se pueden migrar) para continuar con la migración. Sin embargo, debes crear reglas manualmente que no se puedan migrar automáticamente. - Selecciona Siguiente.
- Selecciona Start creating CloudFormation template (Comenzar a crear una plantilla de CloudFormation).
- Selecciona Crear pila de CloudFormation.
- En Crear pila, usa la configuración predeterminada y, a continuación, selecciona Siguiente.
- Introduce un nombre de pila y, a continuación, selecciona los parámetros de tu caso de uso. Para obtener información sobre los parámetros, consulta Paso 1. Lanza la pila.
Nota: Debes elegir un tipo de punto de enlace que coincida con el recurso que se encuentra actualmente en AWS WAF Classic. Si usas la API de REST de API Gateway o un equilibrador de carga de aplicación, selecciona ALB. - Selecciona Siguiente.
- (Opcional) Configura las opciones de pila o utiliza la configuración predeterminada. Después, selecciona Siguiente.
- Revisa la configuración y, a continuación, selecciona Crear pila.
CloudFormation crea una nueva pila con todos los recursos que se migran desde AWS WAF Classic, incluida una nueva ACL web de AWS WAF.
Nota: La nueva ACL web no se asocia automáticamente a ningún recurso de AWS.
Para completar la migración a AWS WAF, debes asociar manualmente la ACL web de AWS WAF a tus recursos de AWS. Este proceso desvincula automáticamente el recurso de AWS de la ACL web de AWS WAF Classic. Después de asociar el recurso a la nueva ACL web de AWS WAF, las reglas de la ACL web inspeccionan las solicitudes entrantes.
Tras la migración a AWS WAF, se recomienda revisar la nueva ACL web y actualizar su configuración según sea necesario.
Nota: Es posible que tengas que volver a crear manualmente las reglas existentes que no se pueden migrar automáticamente. Para obtener más información, consulta Migrating a web ACL: manual follow-up (Migración de una ACL web: seguimiento manual).
Información relacionada
Migrating your rules from AWS WAF Classic to the new AWS WAF (Migración de las reglas de AWS WAF Classic al nuevo AWS WAF)
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años