解决 OWASP Top 10 风险

OWASP Top 10 是面向开发人员和 Web 应用程序安全的标准认知文档。它代表了对 Web 应用程序最关键的安全风险的广泛共识。OWASP Top 10 风险可以通过 AWS 提供的工具和指导来解决。例如，Well Architected Framework 的安全支柱可帮助公司构建安全设计。AWS WAF 是一款重要的工具，可用作防御 OWASP Top 10 中列出的某些风险的第一层防御。

解决 OWASP Top 10 风险的第一步是对应用程序面临的威胁进行建模。例如，您需要识别与您的应用程序相关的威胁。SQLi 威胁主要与采用 SQL 数据库的应用程序相关。然后，对于每种威胁，考虑如何减轻威胁（例如，使用哪种工具，减轻到什么程度等...）。OWASP Top 10 包括可在应用程序中解决的威胁，例如 CORS 配置和其他安全标头、身份验证和权限管理、CI/CD 管道中的数据完整性等。它还包括可使用 AWS WAF 解决的威胁。

定期对应用程序进行渗透测试可以帮助您评测安全状况，发现新的改进机会。您可以使用自动渗透测试，也可以与可以对您的应用程序进行渗透测试活动的 AWS 合作伙伴合作。您可以在 AWS Marketplace 上找到此类工具和服务。

AWS WAF 可以帮助您解决威胁建模练习中发现的一些风险。例如，在失效的访问控制中，建议默认拒绝除公共资源以外的所有请求。这可以在 AWS WAF 中实现，方法是将默认操作设置为“阻止”，并显式允许与您的公共资源对应的 URL。

除了您在 AWS WAF 中配置的自定义规则外，还建议使用 Amazon 托管规则（AMR）。AMR 是一组受 OWASP Top 10 启发并由 AWS 威胁研究团队维护的规则。它旨在保护应用程序免受最常见和最严重的威胁，同时将所有客户的误报率保持在非常低的水平。AWS 威胁研究团队对 AMR 规则进行例行测试，以确保这些规则有效且保持最新状态，并直接与客户合作以增强 AMR。AMR 有基准规则组和特定用例规则组（例如，用于 SQL、Linux 等）。AMR 可以帮助您增加对 OWASP Top 10 风险的覆盖范围，但不能替代威胁建模练习。

您也可以考虑同样受到 AWS Marketplace 中 OWASP Top 10 启发的托管规则。它包括 CSC 的 HighSecurity OWASP Set、F5 的 Web 漏洞 OWASP 规则和 Fortinet 的 完整 OWASP Top 10 规则组。

• 2021 年澳大利亚和新西兰 AWS 峰会 - 如何进行威胁建模
• 寻找 AWS WAF 交付合作伙伴