亚马逊AWS官方博客

宣布推出适用于 AWS WAF 的 AWS 托管规则

构建和部署安全的应用程序是一项至关重要的工作,而威胁形势总在不断变化。我们一直在努力减轻维持强大的云安全态势所带来的痛苦。今天,我们将推出一款名为适用于 AWS WAF 的 AWS 托管规则的新功能,来帮助保护您的应用程序,且无需直接创建或管理规则。我们还对 AWS WAF 进行了多项改进,并推出了经过改进的新控制台和 API,从而让您更加轻松地保护应用程序的安全。

AWS WAF 是一种 Web 应用程序防火墙。它让您可以定义规则,以便控制允许或拒绝应用程序的流量。您可以使用 AWS WAF 阻止常见威胁,比如 SQL 注入或跨站点脚本攻击。可将 AWS WAF 用于 Amazon API GatewayAmazon CloudFrontApplication Load Balancer。如今,它经过了一些令人兴奋的改进。通过引入 OR 运算符,创建规则更为简单,不再像先前那样需要多个规则才能求值。API 体验得到了极大的改善,现在可通过单个 API 调用来创建和更新复杂的规则。通过引入 WAF 容量单位 (WCU),我们去除了每个 Web 访问控制列表 (ACL) 十条规则的限制。切换到 WCU 允许创建数百条规则。添加到 Web 访问控制列表 (ACL) 的每条规则都会根据部署的规则类型消耗容量,并且每个 Web ACL 都具有定义的 WCU 限制。

使用新的 AWS WAF

我们来看看其中一些更改,然后打开适用于 AWS WAF 的 AWS 托管规则。首先,我转到 AWS WAF 并切换到新版本。

然后,我新建一个 Web ACL,并将其添加到我的帐户现有的 API 网关资源中。

现在,我可以开始向 Web ACL 添加一些规则。借助新的 AWS WAF,规则引擎得到了改进。可将语句与 AND、OR 和 NOT 运算符结合使用,从而实现更复杂的规则逻辑。

WAF v2 布尔运算符的屏幕截图

下面我将创建一条简单的规则来阻止使用 HTTP 方法 POST 的任何请求。另一个很酷的功能是支持多文本转换,例如,您可以将所有请求转换为解码 HTML 实体,然后将其变为小写。

JSON 对象现在定义了 Web ACL 规则(以及 Web ACL 本身),使其成为可版本化的资产,可与您的应用程序代码匹配。您还可以使用这些 JSON 文档通过单个 API 调用来创建或更新规则。

使用适用于 AWS WAF 的 AWS 托管规则

现在,我们来试用全新的功能:AWS 托管规则AWS 托管规则 为您提供即时保护。AWS 威胁研究团队负责维护这些规则,并在发现其他威胁时添加新的规则。AWS Marketplace 上提供了其他规则集。选择一个托管规则组,将其添加到您的 Web ACL 中,AWS WAF 会立即帮助防御常见威胁。

我选择了一个防御 SQL 攻击的规则组,并启用了核心规则集。核心规则集涵盖了 OWASP Top 10 出版物中描述的一些常见威胁和安全风险。一旦我创建了 Web ACL 并传播了更改,我的应用程序将不再受到 SQL 注入等一系列攻击的侵害。现在,让我们看看我添加到 ACL 的两条规则,看看情况如何发展。

由于我的演示规则非常简单,因此不需要太多容量。托管规则占用的容量更多,但我们有足够的空间对此 Web ACL 添加更多规则。

注意事项

上文简单介绍了新改进的 AWS WAF 的优点。在前往控制台将其打开之前,需要记住几点。

  • 新的 AWS WAF 支持 AWS CloudFormation,允许您使用 CloudFormation 模板创建和更新 Web ACL 和规则。
  • 使用AWS 托管规则不收取任何额外费用。如果您从 AWS Marketplace 卖家订阅托管规则,则要向卖家支付由卖家设定的托管规则价格。
  • AWS WAF 的定价不变。

一如既往地快乐且安全地构建,我们很快会在 re:Inventre:Invent livestreams 再见面的!

— Brandon