Aspectos generales

1. ¿Qué es AWS WAF?

AWS WAF es un firewall para aplicaciones web que ayuda a proteger aplicaciones web contra ataques al permitirle configurar reglas que habilitan, bloquean o monitorizan (cuentan) las solicitudes web a partir de las condiciones que usted defina. Las condiciones incluyen direcciones IP, encabezados HTTP, cadenas URI, inyección de código SQL y scripting entre sitios.

2. ¿De qué manera AWS WAF bloquea o habilita el tráfico?

Cuando el servicio subyacente recibe solicitudes para sus sitios web, las envía a AWS WAF para que las inspeccione de acuerdo con sus normas. Si la solicitud cumple una de las condiciones definidas en las reglas, AWS WAF ordenará al servicio subyacente que bloquee o habilite la solicitud en función de la acción que haya definido.

3. ¿De qué manera AWS WAF protege mi sitio web o aplicación?

AWS WAF está muy integrado con Amazon CloudFront y el balanceador de carga de aplicaciones (ALB), servicios que los clientes de AWS utilizan con frecuencia para entregar contenido de sus sitios web y aplicaciones. Cuando utiliza AWS WAF en Amazon CloudFront, sus reglas se ejecutan en todas las ubicaciones de borde de AWS, distribuidas en todo el mundo, cerca de sus usuarios finales. Por lo tanto, no se sacrifica el rendimiento en favor de la seguridad. Las solicitudes bloqueadas se detienen antes de llegar a los servidores web. Cuando utiliza AWS WAF en el balanceador de carga de aplicaciones, sus reglas se ejecutan en la región y pueden usarse para proteger los recursos a los cuales se puede acceder mediante Internet, así como balanceadores de carga internos.

4. ¿Puedo usar AWS WAF para proteger sitios web no alojados en AWS?

Sí, AWS WAF se integra con Amazon CloudFront, que admite orígenes personalizados externos a AWS.

5. ¿Qué tipos de ataque puede ayudar a detener AWS WAF?

AWS WAF lo ayuda a proteger su sitio web de técnicas comunes de ataque, como la inyección de código SQL y el scripting entre sitios (XSS). Además, puede crear reglas que bloqueen ataques de agentes de usuarios específicos, bots malintencionados o extractores de contenido. Consulte la Guía para desarrolladores de AWS WAF si desea ver ejemplos.

6. ¿Puedo obtener el historial de todas las llamadas a la API de AWS WAF realizadas en mi cuenta a los fines de realizar auditorías operativas, de conformidad o seguridad?

Sí. Para recibir un historial de todas las llamadas a la API de AWS WAF realizadas en su cuenta, solo tiene que activar AWS CloudTrail en la consola de administración de AWS de CloudTrail. Para obtener más información, visite la página de inicio de AWS CloudTrail o la guía para desarrolladores de AWS WAF.

7. ¿AWS WAF es compatible con IPv6?

Sí, la compatibilidad con IPv6 permite a AWS WAF inspeccionar las solicitudes HTTP/S provenientes de direcciones IPv4 e IPv6.

8. ¿La condición de emparejamiento IPSet para una regla de AWS WAF es compatible con IPv6?

Sí, puede configurar nuevas condiciones de emparejamento IPv6 para WebACL nuevas y existentes, tal y como se describe en la documentación.

9. ¿Aparecerán direcciones IPv6 en las solicitudes de muestra de AWS WAF cuando corresponda?

Sí. Las solicitudes de muestra mostrarán las direcciones IPv6 cuando corresponda.

10. ¿Puedo utilizar IPv6 con todas las características de AWS WAF?

Sí. Podrá utilizar todas las características existentes para el tráfico a través de IPv4 e IPv6 sin que se produzcan cambios perceptibles en el rendimiento, la escalabilidad o la disponibilidad del servicio.

11. ¿Qué servicios admite AWS WAF?

AWS WAF puede implementarse en Amazon CloudFront y el balanceador de carga de aplicaciones (ALB). En Amazon CloudFront, puede formar parte de la red de distribución de contenido (CDN) para proteger los recursos y el contenido en las ubicaciones de borde, mientras que en el balanceador de carga de aplicaciones puede proteger los servidores web de origen al situarse tras los ALB.

12. ¿En qué regiones está disponible AWS WAF en el ALB?

AWS WAF en el ALB se encuentra disponible en las siguientes regiones de AWS.

13. ¿AWS WAF cumple los requisitos de HIPAA?

Sí, AWS amplió su programa de conformidad con HIPAA para incluir AWS WAF como un servicio elegible para HIPAA. Si tiene un Acuerdo de Asociado de Negocios (BAA) con AWS, puede usar AWS WAF para proteger aplicaciones web de vulnerabilidades web comunes. Para obtener más información, consulte Conformidad con HIPAA.

14. ¿Cómo se aplican los precios de AWS WAF? ¿Existe algún costo anticipado?

El servicio AWS WAF se cobra en función del número de listas de control de acceso web (ACL web) que se creen, del número de reglas que se añadan por ACL web y el número de solicitudes web que se reciban. No se requiere ningún compromiso inicial. Los cargos de AWS WAF son adicionales a los precios de Amazon CloudFront o a los precios del balanceador de carga de aplicaciones (ALB).

15. ¿Qué es la regla basada en la tasa de AWS WAF?

Las reglas basadas en la tasa son un nuevo tipo de reglas que se pueden configurar en AWS WAF. Esta característica le permite especificar la cantidad de solicitudes web admitidas por una IP cliente en un punto final de 5 minutos, actualizado constantemente. Si una dirección IP supera el límite configurado, se bloquearán las nuevas solicitudes hasta que la tasa de solicitudes sea inferior al umbral configurado.

16. ¿En qué se diferencia una regla basada en la tasa de una regla de AWS WAF convencional?

Las reglas basadas en la tasa son parecidas a las reglas convencionales, con una diferencia: la capacidad de configurar un umbral basado en la tasa. Si, por ejemplo, el umbral de la regla basada en la tasa se configura en, por ejemplo, 2000, la regla bloqueará todas las direcciones IP que hayan tenido más de 2000 solicitudes en el último intervalo de 5 minutos. Una regla basada en la tasa también puede incluir cualquier otra condición de AWS WAF disponible para una regla normal.

17. ¿Cuánto cuesta una regla basada en la tasa?

Una regla basada en la tasa cuesta lo mismo que una regla de AWS WAF convencional, es decir, 1 USD por regla por WebACL al mes.

18. ¿Cuáles son los casos de uso de la regla basada en la tasa?

Estos son algunos de los casos de uso populares en los que los clientes pueden utilizar las reglas basadas en la tasa:

  • Quiero crear una lista negra o contar una dirección IP cuando esta exceda la tasa de umbral configurada (configurable en solicitudes web por punto final de 5 minutos).
  • Quiero saber qué direcciones IP se están agregando a la lista negra actualmente porque exceden la tasa de umbral configurada.
  • Quiero que las direcciones IP agregadas a la lista negra se eliminen automáticamente cuando ya no infrinjan la tasa de umbral configurada.
  • Quiero impedir que mis reglas basadas en la tasa agreguen ciertos rangos IP de origen de tráfico elevado a la lista negra.

19. ¿Las condiciones de emparejamiento existentes son compatibles con la regla basada en la tasa?

Sí. Las reglas basadas en la tasa son compatibles con las condiciones de emparejamiento de AWS WAF existentes. Eso le permite refinar todavía más sus criterios de emparejamiento y limitar las migraciones basadas en la tasa a URL específicas de su sitio web o el tráfico procedente de orígenes de referencia específicos (o agentes de usuario) o añadir otros criterios de emparejamiento personalizados.

20. ¿Puedo usar la regla basada en la tasa para mitigar ataques DDoS en la capa web?

Sí. Este nuevo tipo de regla está diseñado para protegerlo de casos de uso como los ataques DDoS en la capa web, los intentos de inicio de sesión por fuerza bruta y los bots malintencionados.

21. ¿Qué características de visibilidad ofrecen las reglas basadas en la tasa?

Las reglas basadas en la tasa admiten todas las características de visibilidad disponibles actualmente en las reglas de AWS WAF convencionales. Además, dispondrá de visibilidad de las direcciones IP bloqueadas como consecuencia de la regla basada en la tasa.

22. ¿Puedo usar la regla basada en la tasa para limitar el acceso a ciertas partes de mi página web?

Sí. Aquí tiene un ejemplo. Suponga que quiere limitar las solicitudes en la página de inicio de sesión de su sitio web. Para ello, podría añadir la siguiente condición de emparejamiento de cadenas en una regla basada en la tasa:

  • La parte de la solicitud que se filtrará es "URI".
  • El tipo de emparejamiento es "Starts with" (Comienza con).
  • El valor a coincidir es "/login" (tiene que ser aquello que identifique a la página de inicio de sesión en la porción URI de la solicitud web).

Además, debe especificar un límite de la tasa de, por ejemplo, 15 000 solicitudes cada 5 minutos. Agregar esta regla basada en la tasa a la ACL de una web limita las solicitudes en la página de inicio de sesión por dirección IP sin afectar al resto del sitio web.

23. ¿Puedo impedir que mi regla basada en la tasa añada ciertos rangos IP de origen de tráfico elevado a la lista negra?

Sí. Para ello, puede agregar una condición de lista blanca de IP a la regla basada en la tasa.

24. ¿Qué grado de precisión ofrece su base de datos GeoIP?

La precisión de la dirección IP de la base de datos de búsqueda de países varía según la región. De acuerdo con pruebas recientes, nuestra precisión global de direccionamiento de la dirección IP a un país es del 99,8 %. 

Reglas administradas de AWS WAF

1. ¿Qué son las reglas administradas de AWS WAF?

Las reglas administradas de AWS WAF son un método sencillo para implementar reglas preconfiguradas a fin de lograr protección contra amenazas habituales derivadas de las vulnerabilidades de las aplicaciones, como OWASP, bots o vulnerabilidades y exposiciones habituales (CVE). Los distribuidores de seguridad de AWS Marketplace actualizan automáticamente todas las reglas administradas.

2. ¿Cómo puedo suscribirme a las reglas administradas?

Puede suscribirse a una regla administrada suministrada por un distribuidor de seguridad de Marketplace a través de la consola de AWS WAF o de AWS Marketplace. Todas las reglas administradas suscritas estarán a su disposición para poder agregarlas a una ACL web de AWS WAF.

3. ¿Puedo utilizar las reglas administradas junto con mis reglas actuales de AWS WAF?

Sí, puede utilizar las reglas administradas junto con sus reglas personalizadas de AWS WAF. Puede agregar reglas administradas a su ACL web de AWS WAF existente donde ya esté utilizando sus propias reglas.

4. ¿Una regla administrada tiene varias reglas de AWS WAF?

Si, cada regla administrada puede tener varias reglas de AWS WAF. El número de reglas depende de cada distribuidor de seguridad y de su producto de Marketplace.

5. ¿Las reglas administradas se agregarán a mi límite existente de reglas de AWS WAF?

El número de reglas incluidas en una regla administrada no afectará los límites de AWS WAF. No obstante, cada regla administrada que se agregue a su ACL web se contará como una regla.

6. ¿Cómo puedo deshabilitar una regla administrada?

Puede agregar una regla administrada a una ACL web o eliminarla de la ACL web en cualquier momento. Las reglas administradas se deshabilitan al disociar una regla administrada de cualquier ACL web.

7. ¿Cómo puedo probar una regla administrada?

AWS WAF permite configurar una acción de "recuento" para una regla administrada, que determina el número de solicitudes web que cumplen las condiciones de las reglas incluidas en la regla administrada. Puede consultar la cantidad de solicitudes web contadas para estimar cuántas solicitudes web se bloquearían o habilitarían si activara la regla administrada.

Configuración de AWS WAF

1. ¿Puedo configurar páginas de error personalizadas?

Sí, puede configurar CloudFront de manera que presente una página de error personalizada cuando se bloqueen solicitudes. Para obtener más información, consulte la Guía para desarrolladores de CloudFront

2. ¿Cuánto tarda AWS WAF en propagar las reglas?

Tras la configuración inicial, la agregación o modificación de las reglas suele tardar un minuto en propagarse a todo el mundo.

3. ¿Cómo puedo comprobar que las reglas funcionan?

AWS WAF incorpora dos maneras distintas de comprobar que su sitio web esté protegido: existen métricas que se registran una vez por minuto y se encuentran disponibles en CloudWatch, y solicitudes web de muestra en la API de AWS WAF o en la consola de administración. De ese modo, puede ver las solicitudes bloqueadas, habilitadas o contadas y qué regla se aplicó para una solicitud determinada (es decir, si la solicitud web se bloqueó debido a una condición de la dirección IP, etc.). Para obtener más información, consulte la guía para desarrolladores de AWS WAF.

4. ¿Cómo puedo poner a prueba las reglas?

AWS WAF permite configurar una acción de "recuento" que determina la cantidad de solicitudes web que cumplen las condiciones de sus reglas. Puede consultar la cantidad de solicitudes web contadas para estimar cuántas solicitudes web se bloquearían o habilitarían si activara la regla.

5. ¿Durante cuánto tiempo se almacenan las métricas en tiempo real y las solicitudes web de muestra?

Las métricas en tiempo real se almacenan en Amazon CloudWatch. Con Amazon CloudWatch puede configurar el tiempo tras el cual desea que los eventos expiren. Las solicitudes web de muestra se almacenan durante un máximo de 2 horas.

6. ¿AWS WAF puede inspeccionar el tráfico HTTPS?

Sí. AWS WAF ayuda a proteger aplicaciones y puede inspeccionar solicitudes web transmitidas mediante HTTP o HTTPS.

Más información sobre los precios de AWS WAF

Visite la página de precios
¿Listo para crear?
Introducción a AWS WAF
¿Tiene más preguntas?
Contacte con nosotros