Información general
Puede utilizar AWS WAF para crear reglas personalizadas y específicas de la aplicación que bloqueen los patrones de ataque con el fin de garantizar la disponibilidad de la aplicación, proteger los recursos y evitar el consumo excesivo de recursos.
La solución de automatizaciones de seguridad para AWS WAF es compatible con la versión más reciente de la API del servicio AWS WAF (AWS WAFV2).
Beneficios
La plantilla de AWS CloudFormation se lanza automáticamente y determina la configuración y las características de protección de AWS WAF que usted elija incluir durante la implementación inicial.
Al activarse, AWS CloudFormation aprovisiona una consulta de Amazon Athena y una función de AWS Lambda que se encarga de organizar las ejecuciones de Athena, procesar los resultados y actualizar AWS WAF.
Esta solución emite métricas de CloudWatch, como las solicitudes permitidas y las solicitudes bloqueadas. Puede crear un panel personalizado para visualizar estas métricas y obtener información sobre el patrón de ataques y la protección que proporciona AWS WAF.
Detalles técnicos
La solución de automatizaciones de seguridad para AWS WAF proporciona un control detallado de las solicitudes que intentan acceder a su aplicación web. En el siguiente diagrama se presenta la arquitectura que se puede implementar con la guía de implementación de la solución y la plantilla de AWS CloudFormation adjunta.
El núcleo de su diseño es un ACL web de AWS WAF que actúa como punto central de inspección y decisión para todas las solicitudes entrantes. Las características de protección que active determinan las reglas personalizadas que se agregarán a su ACL web.
A. Reglas administradas de AWS
Este conjunto de reglas administradas de AWS ofrece protección contra la explotación de una amplia gama de vulnerabilidades de aplicaciones frecuentes o tráfico no deseado.
B y C. Listas de IP manuales
Este componente crea dos reglas específicas de AWS WAF que permiten insertar manualmente las direcciones IP que desee permitir o rechazar. También puede configurar la retención de IP y eliminar direcciones IP caducadas de estas listas de IP.
D y E. Inyección de código SQL y XSS
La solución configura dos reglas de AWS WAF que están diseñadas para proteger contra los patrones comunes de inyección de código SQL o XSS en el URI, la cadena de consultas o el cuerpo de una solicitud.
F. Inundación HTTP
Este componente ayuda a proteger contra ataques que consisten en un gran número de peticiones desde una dirección IP concreta, como los ataques de denegación de servicio distribuidos (DDoS) en la capa web o un intento de inicio de sesión por fuerza bruta. Puede establecer una cuota que defina el número máximo de solicitudes entrantes permitidas desde una sola dirección IP dentro de un periodo predeterminado de cinco minutos.
G. Escáneres y sondas
Este componente analiza los registros de acceso a la aplicación mediante la búsqueda de comportamientos sospechosos, como una cantidad anormal de errores generados por un origen. Seguidamente, bloquea esas direcciones IP de orígenes sospechosos durante un periodo de tiempo definido por el cliente.
H. Listas de reputación de direcciones IP
Este componente es la función IP Lists Parser de AWS Lambda que comprueba las listas de reputación de IP de terceros por hora en busca de nuevos rangos para bloquear.
I. Bots maliciosos
Este componente establece automáticamente un honeypot, que es un mecanismo de seguridad destinado a atraer y desviar un intento de ataque.
A. Reglas administradas de AWS
Este conjunto de reglas administradas de AWS ofrece protección contra la explotación de una amplia gama de vulnerabilidades de aplicaciones frecuentes o tráfico no deseado.
B y C. Listas de IP manuales
Este componente crea dos reglas específicas de AWS WAF que permiten insertar manualmente las direcciones IP que desee permitir o rechazar. También puede configurar la retención de IP y eliminar direcciones IP caducadas de estas listas de IP.
D y E. Inyección de código SQL y XSS
La solución configura dos reglas de AWS WAF que están diseñadas para proteger contra los patrones comunes de inyección de código SQL o XSS en el URI, la cadena de consultas o el cuerpo de una solicitud.
F. Inundación HTTP
Este componente ayuda a proteger contra ataques que consisten en un gran número de peticiones desde una dirección IP concreta, como los ataques de denegación de servicio distribuidos (DDoS) en la capa web o un intento de inicio de sesión por fuerza bruta. Puede establecer una cuota que defina el número máximo de solicitudes entrantes permitidas desde una sola dirección IP dentro de un periodo predeterminado de cinco minutos.
G. Escáneres y sondas
Este componente analiza los registros de acceso a la aplicación mediante la búsqueda de comportamientos sospechosos, como una cantidad anormal de errores generados por un origen. Seguidamente, bloquea esas direcciones IP de orígenes sospechosos durante un periodo de tiempo definido por el cliente.
H. Listas de reputación de direcciones IP
Este componente es la función IP Lists Parser de AWS Lambda que comprueba las listas de reputación de IP de terceros por hora en busca de nuevos rangos para bloquear.
I. Bots maliciosos
Este componente establece automáticamente un honeypot, que es un mecanismo de seguridad destinado a atraer y desviar un intento de ataque.
Contenido relacionado
Este curso brinda información general sobre los servicios, los beneficios, los casos de uso y la tecnología de seguridad de AWS. La sección de protección de infraestructuras cubre AWS WAF en cuanto al filtrado del tráfico.
Amazon Macie es un servicio de seguridad que utiliza el machine learning para detectar, clasificar y proteger información confidencial automáticamente en AWS. En este curso, se mostrará Amazon Macie, cómo funciona el servicio y los conceptos subyacentes que lo impulsan.
Este examen evalúa sus conocimientos técnicos vinculados con la protección de la plataforma de AWS. Está destinado a cualquier individuo con experiencia en un rol de seguridad.
Entonces, Peach recurrió a AWS en busca de una solución, y ahora Peach no solo bloquea los ciberataques, sino que también los disuade, lo que reduce las ralentizaciones innecesarias del servicio y aumenta la confianza del cliente.