Domande frequenti

1. Cos'è AWS WAF?
AWS WAF è un firewall che aiuta a proteggere le applicazioni Web dagli attacchi consentendo di configurare regole per consentire, bloccare o monitorare (modalità di conteggio) le richieste Web in base a condizioni personalizzate. Tali condizioni includono indirizzi IP, intestazioni HTTP, strutture HTTP, stringhe URI, SQL injection e cross-site scripting.

2. In che modo AWS WAF blocca o consente il traffico?
Nel momento in cui il servizio sottostante riceve richieste per i tuoi siti Web, le inoltra ad AWS WAF, che ne verifica la conformità alle regole prestabilite. Quando una richiesta soddisfa le condizioni definite nelle regole, AWS WAF dà istruzioni al servizio sottostante di bloccare o consentire la richiesta in base all'azione che hai deciso di applicare.

3. In che modo AWS WAF protegge i siti o le applicazioni Web?
AWS WAF è strettamente integrato con Amazon CloudFront e con il sistema Application Load Balancer (ALB), servizi che i clienti di AWS utilizzano comunemente per distribuire contenuti per i loro siti Web e le loro applicazioni. Quando utilizzi AWS WAF su Amazon CloudFront, le regole impiegate valgono per tutte le edge location AWS in tutto il mondo vicine ai tuoi utenti finali. Di conseguenza, per ottenere maggiore sicurezza non dovrai scendere a compromessi con le prestazioni. Le richieste bloccate vengono interrotte prima che raggiungano i server Web. Quando utilizzi AWS WAF sul sistema Application Load Balancer, le regole applicate valgono per la regione e possono essere utilizzare per proteggere i sistemi di bilanciamento interni o interfacciati con Internet.

4. È possibile usare AWS WAF per proteggere siti Web non in hosting in AWS?
Sì, AWS WAF si integra con Amazon CloudFront, che supporta server di origine personalizzati.

5. Da quali tipi di attacco protegge AWS WAF?
AWS WAF aiuta a proteggere i tuoi siti Web da tecniche di attacco comuni quali SQL injection e cross-site scripting (attacchi XSS). Inoltre, è possibile creare regole che blocchino gli attacchi da User-Agent specifici, bot dannosi o content scraper. Consulta la AWS WAF Developer Guide per vedere qualche esempio.

6. È possibile consultare uno storico di tutte le chiamate API di AWS WAF su un account per eseguire audit operativi, di sicurezza e di conformità?
Sì. Per ricevere uno storico di tutte le chiamate delle API di AWS WAF effettuate sul tuo account, non devi fare altro che attivare AWS CloudTrail nella Console di gestione AWS di CloudTrail. Per ulteriori informazioni, visita la pagina di AWS CloudTrail o consulta la AWS WAF Developer Guide.

7. AWS WAF supporta IPv6?
Sì, il supporto per IPv6 consente ad AWS WAF di esaminare le richieste HTTP/S provenienti da indirizzi sia IPv4 sia IPv6.

8. Le condizioni di corrispondenza di IPSet per una regola AWS WAF supportano IPv6?
Sì, puoi configurare una o più condizioni di corrispondenza IPv6 per ACL Web, come illustrato nella documentazione.

9.  Se applicabile, è possibile visualizzare l'indirizzo IPv6 nelle richieste di prova di AWS WAF?
Sì. Le richieste di prova mostreranno l'indirizzo IPv6, se applicabile.

10. È possibile utilizzare il protocollo IPv6 con tutte le caratteristiche di AWS WAF?
Sì. Potrai usare tutte le caratteristiche esistenti su traffico IPv4 e IPv6 senza alcuna differenza dal punto di vista di prestazioni, scalabilità o disponibilità del servizio.

11.  Quali sono i servizi supportati da AWS WAF?
AWS WAF può essere distribuito su Amazon CloudFront, Application Load Balancer (ALB) e Amazon API Gateway. Nell’ambito di Amazon CloudFront può far parte della rete per la distribuzione di contenuti (CDN), proteggendo le risorse e i contenuti nelle edge location. All’interno di Application Load Balancer, può proteggere server Web di origine in esecuzione su ALB. Nell’ambito di Amazon API Gateway, è in grado di proteggere e difendere le REST API.

12.  In quali regioni è disponibile AWS WAF su ALB?
AWS WAF su ALB è disponibile nelle seguenti regioni AWS.

13. AWS WAF è soggetto alla normativa HIPAA? 

Sì, AWS ha esteso il proprio programma di conformità agli standard HIPAA in modo da includere AWS WAF. Se disponi di un contratto di società in affari o BAA (Business Associate Agreement) con AWS, puoi utilizzare AWS WAF per proteggere le applicazioni Web dalle minacce più comuni. Per ulteriori informazioni, consulta Conformità HIPAA.

14. Come vengono calcolati i prezzi di AWS WAF? Sono previsti pagamenti anticipati?

AWS WAF addebita i costi in base al numero di ACL Web (liste di controllo degli accessi Web) create, al numero di regole aggiunte per ACL Web e al numero di richieste Web ricevute. Non sono previsti impegni anticipati. I costi di AWS WAF si aggiungono ai prezzi di Amazon CloudFront, ai prezzi di Application Load Balancer (ALB) e/o a quelli diAmazon API Gateway.

15. Cos'è la regola basata sul tasso in AWS WAF?

Le regole basate sul tasso sono un nuovo tipo di regole che possono essere configurate in AWS WAF. Questa caratteristica permette di specificare il numero di richieste Web consentite da un IP client nell'ultimo periodo di 5 minuti, aggiornato continuamente. Se un indirizzo IP supera il limite configurato, le nuove richieste vengono bloccate finché il tasso di richieste scende di nuovo sotto la soglia configurata.

16. Qual è la differenza fra una regola basata sul tasso e una normale regola AWS WAF?

Le regole basate sul tasso sono simili alle regole normali a cui è stata aggiunta la capacità di configurare una soglia basata sul tasso. Se, ad esempio, la soglia per la regola basata sul tasso è impostata a 2.000, la regola blocca tutti gli indirizzi IP che hanno più di 2.000 richieste nell'ultimo intervallo di 5 minuti. La regola basata sul tasso può contenere anche altre condizioni AWS WAF disponibili per una regola normale.

17. Quanto costa una regola basata sul tasso?

Una regola basata sul tasso ha lo stesso costo di una normale regola AWS WAF, ovvero 1 USD per regola per WebACL al mese

18. Quali sono i casi d'uso per la regola basata sul tasso?

Ecco alcuni casi d'uso comuni in cui i clienti possono utilizzare le regole basate sul tasso:

• Per mettere in una denylist o contare un indirizzo IP quando questo supera la soglia configurata (configurabile in richieste Web per l'ultimo periodo di 5 minuti)
• Per sapere quali indirizzi IP sono attualmente nella denylist perché hanno superato la soglia configurata
• Perché gli indirizzi IP che sono stati aggiunti alla denylist vengano eliminati automaticamente quando non superano più la soglia configurata
• Per escludere l'aggiunta in denylist di certi intervalli di indirizzi IP di origine a traffico elevato da parte delle regole basate sul tasso

19. Le condizioni di corrispondenza esistenti sono compatibili con la regola basata sul tasso?

Sì. Le regole basate sul tasso sono compatibili con le condizioni di corrispondenza esistenti di AWS WAF. Questo ti consente di affinare ulteriormente i criteri di corrispondenza e di limitare le mitigazioni basate sul tasso a URL specifici del tuo sito Web o del traffico proveniente da referrer (o agenti utente) specifici o aggiungere ulteriori criteri di corrispondenza personalizzati.

20. Si può usare la regola basata sul tasso per mitigare gli attacchi DDoS al layer Web?

Sì. Questo nuovo tipo di regola è progettato per proteggere da casi d'uso come attacchi DDoS al layer Web, tentativi di accesso di forza bruta e bot dannosi.

21. Quali caratteristiche di visibilità offrono le regole basate sul tasso?

Le regole basate sul tasso supportano tutte le caratteristiche di visibilità attualmente disponibili nelle normali regole AWS WAF. Inoltre hanno visibilità negli indirizzi IP bloccati dalla regola basata sul tasso.

22. Si può usare una regola basata sul tasso in certe parti di una pagina Web?

Sì. Ecco un esempio. Supponiamo che tu voglia limitare le richieste alla pagina di accesso del tuo sito Web. Per fare questo, puoi aggiungere la condizione di corrispondenza di stringa seguente a una regola basata sul tasso:

• La parte della richiesta sulla quale filtrare è "URI".
• Il tipo di corrispondenza è "Starts with".
• Il valore di corrispondenza è "/login" (questo deve essere qualsiasi elemento che identifichi la pagina di accesso nella parte URI della richiesta Web)

Inoltre è possibile specificare un limite di tasso di, per esempio, 15.000 richieste ogni 5 minuti. L'aggiunta di questa regola a un ACL Web limiterà le richieste alla tua pagina di accesso per indirizzo IP senza influenzare il resto del tuo sito.

23. Posso escludere certi intervalli di indirizzi IP di origine a traffico elevato dall'inserimento in denylist da parte delle mie regole basate sul tasso?

Sì. Puoi farlo aggiungendo una condizione di allowlist di IP nella regola basata sul tasso.

24. Qual è il livello di precisione del database GeoIP?

La precisione del database di identificazione del paese attraverso l'indirizzo IP varia secondo le regioni. Sulla base di test recenti, la precisione globale di mappatura dell'indirizzo IP con il paese è del 99,8%.

1. Che cosa sono le AWS WAF Managed Rules?

Le AWS WAF Managed Rules sono un modo semplice per distribuire regole preconfigurate per proteggere le tue applicazioni da minacce comuni come vulnerabilità quali OWASP, bot o vulnerabilità ed esposizioni comuni (CVE). Tutte le Managed Rules vengono automaticamente aggiornate da venditori di sicurezza di AWS Marketplace.

2. Come posso abbonarmi alle Managed Rules?

Puoi abbonarti a una Managed Rule fornita da un venditore di sicurezza di Marketplace dalla console AWS WAF o da AWS Marketplace. Tutte le Managed Rules cui ti abboni saranno disponibili per l'aggiunta a un ACL Web AWS WAF.

3. Posso utilizzare le Managed Rules insieme alle mie regole AWS WAF esistenti?

Sì, puoi utilizzare le Managed Rules insieme alle tue personali regole AWS WAF. Puoi aggiungere le Managed Rules alla tua ACL Web AWS WAF esistente cui potresti aver già aggiunto le tue regole personali.

4. Una Managed Rule ha più regole AWS WAF?

Sì, ciascuna Managed Rule può avere più regole AWS WAF. Il numero di regole dipende dal venditore di sicurezza e dal suo prodotto Marketplace.

5. Le Managed Rules estenderanno il mio limite AWS WAF esistente sul numero di regole?

Il numero di regole all'interno di una Managed Rule non influisce sui tuoi limiti AWS WAF. Ma ciascuna Managed Rule aggiunta al tuo ACL Web conterà come una regola.

6. Come posso disattivare una Managed Rule?

Puoi aggiungere una Managed Rule a un ACL Web o rimuoverla dall'ACL Web in qualsiasi momento. Le Managed Rules vengono disattivate una volta che una Managed Rule viene disassociata da qualsiasi ACL Web.

7.  Come posso testare una Managed Rule?

AWS WAF consente di configurare un'azione "count" per una Managed Rule, che conta il numero di richieste Web che corrispondono alle regole all'interno della Managed Rule. In questo modo potrai vedere il numero di richieste Web conteggiate e fare una stima di quante di esse verrebbero bloccate in caso di attivazione della Managed Rule.