Aspectos generales

¿Qué es AWS WAF?

AWS WAF es un firewall para aplicaciones web que ayuda a proteger aplicaciones web contra ataques al permitirle configurar reglas que habilitan, bloquean o monitorean (cuentan) las solicitudes web a partir de las condiciones que usted defina. Las condiciones incluyen direcciones IP, encabezados HTTP, cadenas URI, inyección de código SQL y scripting entre sitios.

¿De qué manera AWS WAF bloquea o habilita el tráfico?

Cuando el servicio subyacente recibe solicitudes para sus sitios web, las envía a AWS WAF para que las inspeccione de acuerdo con sus normas. Si la solicitud cumple una de las condiciones definidas en las reglas, AWS WAF ordenará al servicio subyacente que bloquee o habilite la solicitud en función de la acción que haya definido.

¿De qué manera AWS WAF protege mi sitio web o aplicación?

AWS WAF está muy integrado con Amazon CloudFront y el balanceador de carga de aplicaciones (ALB), Amazon API Gateway y AWS AppSync, servicios que los clientes de AWS utilizan con frecuencia a fin de ofrecer contenido para sus sitios web y aplicaciones. Cuando utiliza AWS WAF en Amazon CloudFront, sus reglas se ejecutan en todas las ubicaciones de borde de AWS, distribuidas en todo el mundo, cerca de sus usuarios finales. Por lo tanto, no se sacrifica el rendimiento en favor de la seguridad. Las solicitudes bloqueadas se detienen antes de llegar a los servidores web. Al utilizar AWS WAF en servicios regionales, como el balanceador de carga de aplicaciones, Amazon API Gateway y AWS AppSync, las reglas se ejecutan en la región y se pueden utilizar para proteger tanto a los recursos con conexión a Internet como a los recursos internos.

¿Puedo usar AWS WAF para proteger sitios web que no estén alojados en AWS?

Sí, AWS WAF se integra con Amazon CloudFront, que admite orígenes personalizados externos a AWS.

¿Qué tipos de ataque puede ayudar a detener AWS WAF?

AWS WAF lo ayuda a proteger su sitio web de técnicas comunes de ataque, como la inyección de código SQL y el scripting entre sitios (XSS). Además, puede crear reglas que puedan bloquear o limitar el tráfico de agentes de usuario específicos, de direcciones IP específicas o que contengan encabezados de solicitud particulares. Consulte la Guía para desarrolladores de AWS WAF si desea ver ejemplos.

¿Qué capacidades de mitigación de bots están disponibles con AWS WAF?

AWS WAF Bot Control brinda visibilidad y control sobre el tráfico de bots común y generalizado hacia sus aplicaciones. Con Bot Control, puede controlar, bloquear o limitar fácilmente los bots generales, como raspadores, arañas y rastreadores y puede permitir bots comunes, como monitores de estado y motores de búsqueda. Puede usar el grupo de reglas administradas de Bot Control junto con otras reglas administradas para WAF o con sus propias reglas personalizadas de WAF para proteger sus aplicaciones. Consulte la sección AWS WAF Bot Control en la guía para desarrolladores

¿Puedo obtener el historial de todas las llamadas a la API de AWS WAF realizadas en mi cuenta a fin de realizar auditorías operativas, de conformidad o seguridad?

Sí. Para recibir un historial de todas las llamadas a la API de AWS WAF realizadas en su cuenta, solo tiene que activar AWS CloudTrail en la consola de administración de AWS de CloudTrail. Para obtener más información, visite la página de inicio de AWS CloudTrail o la Guía para desarrolladores de AWS WAF.

¿AWS WAF es compatible con IPv6?

Sí, la compatibilidad con IPv6 permite a AWS WAF inspeccionar las solicitudes HTTP/S provenientes de direcciones IPv4 e IPv6.

¿La condición de emparejamiento IPSet para una regla de AWS WAF es compatible con IPv6?

Sí, puede configurar nuevas condiciones de emparejamiento IPv6 para WebACL nuevas y existentes, tal y como se describe en la documentación.

¿Aparecerán direcciones IPv6 en las solicitudes de muestra de AWS WAF cuando corresponda?

Sí. Las solicitudes de muestra mostrarán las direcciones IPv6 cuando corresponda.

¿Puedo utilizar IPv6 con todas las características de AWS WAF?

Sí. Podrá utilizar todas las características existentes para el tráfico a través de IPv4 e IPv6 sin que se produzcan cambios perceptibles en el rendimiento, la escalabilidad o la disponibilidad del servicio.

¿Qué servicios admite AWS WAF?

AWS WAF puede implementarse en Amazon CloudFront, el balanceador de carga de aplicaciones (ALB), Amazon API Gateway y AWS AppSync. Como parte de Amazon CloudFront, puede integrar su Content Distribution Network (CDN, red de distribución de contenido) y proteger los recursos y el contenido en las ubicaciones de borde. Como parte del Application Load Balancer, puede proteger los servidores web de origen detrás del ALB. Como parte de Amazon API Gateway, puede ayudar a proteger las API REST. Como parte de AWS AppSync, puede ayudar a asegurar y proteger las API de GraphQL.

¿En qué regiones de AWS está disponible AWS WAF?

Consulte la tabla de servicios de las regiones de AWS.

¿AWS WAF es compatible con HIPAA?

Sí, AWS amplió su programa de conformidad con HIPAA para incluir AWS WAF como un servicio elegible para HIPAA. Si tiene un Acuerdo de Asociado de Negocios (BAA) con AWS, puede usar AWS WAF para proteger aplicaciones web de vulnerabilidades web comunes. Para obtener más información, consulte Conformidad con HIPAA.

¿Cómo se aplican los precios de AWS WAF? ¿Existe algún costo anticipado?

El servicio AWS WAF se cobra en función del número de listas de control de acceso web (ACL web) que se creen, del número de reglas que se añadan por ACL web y el número de solicitudes web que se reciban. No se requiere ningún compromiso inicial. Los cargos de AWS WAF son adicionales a los precios de Amazon CloudFront, los precios del balanceador de carga de aplicaciones (ALB), los precios de Amazon API Gateway o los precios de AWS AppSync.

¿Qué es la regla basada en la tasa de AWS WAF?

Las reglas basadas en tasas son el tipo de reglas que se pueden configurar en AWS WAF, lo que permite que pueda especificar la cantidad de solicitudes web admitidas por una IP de cliente en un punto final de 5 minutos, actualizado constantemente. Si una dirección IP supera el límite configurado, se bloquearán las nuevas solicitudes hasta que la tasa de solicitudes sea inferior al umbral configurado.

¿En qué se diferencia una regla basada en tasas de una regla de AWS WAF convencional?

Las reglas basadas en tasas son parecidas a las reglas convencionales, con una diferencia: la capacidad de configurar un umbral basado en tasas. Si, por ejemplo, el umbral de la regla basada en la tasa se configura en, por ejemplo, 2000, la regla bloqueará todas las direcciones IP que hayan tenido más de 2000 solicitudes en el último intervalo de 5 minutos. Una regla basada en tasas también puede incluir cualquier otra condición de AWS WAF disponible para una regla normal.

¿Cuánto cuesta una regla basada en tasas?

Una regla basada en tasas cuesta lo mismo que una regla de AWS WAF convencional, es decir, 1 USD por regla por WebACL al mes.

¿Cuáles son los casos de uso de las reglas basada en tasas?

Estos son algunos de los casos de uso populares en los que los clientes pueden utilizar las reglas basadas en tasas:

  • Quiero bloquear o contar una dirección IP cuando esta exceda la tasa de umbral configurada (configurable en solicitudes web por punto final de 5 minutos).
  • Quiero saber qué direcciones IP se bloquean actualmente porque exceden la tasa de umbral configurada.
  • Quiero que las direcciones IP agregadas a la lista de bloqueo se eliminen automáticamente cuando ya no infrinjan la tasa de umbral configurada.
  • Quiero impedir que mis reglas basadas en tasas agreguen ciertos rangos de IP de origen de tráfico elevado para que sean bloqueados.

¿Las condiciones de emparejamiento existentes son compatibles con las reglas basadas en tasas?

Sí. Las reglas basadas en la tasa son compatibles con las condiciones de emparejamiento de AWS WAF existentes. Eso le permite refinar todavía más sus criterios de emparejamiento y limitar las migraciones basadas en tasas a URL específicas de su sitio web o el tráfico procedente de orígenes de referencia específicos (o agentes de usuario) o agregar otros criterios de emparejamiento personalizados.

¿Puedo usar la regla basada en tasas para mitigar ataques DDoS en la capa web?

Sí. Este nuevo tipo de regla está diseñado para protegerlo de casos de uso como los ataques DDoS en la capa web, los intentos de inicio de sesión por fuerza bruta y los bots malintencionados.

¿Qué características de visibilidad ofrecen las reglas basadas en tasas?

Las reglas basadas en tasas admiten todas las características de visibilidad disponibles actualmente en las reglas de AWS WAF convencionales. Además, dispondrá de visibilidad de las direcciones IP bloqueadas como consecuencia de la regla basada en tasas.

¿Puedo usar la regla basada en tasas para limitar el acceso a ciertas partes de mi página web?

Sí. Aquí tiene un ejemplo. Suponga que quiere limitar las solicitudes en la página de inicio de sesión de su sitio web. Para ello, podría añadir la siguiente condición de emparejamiento de cadenas en una regla basada en la tasa:

  • La parte de la solicitud que se filtrará es "URI".
  • El tipo de emparejamiento es "Starts with" (Comienza con).
  • El valor a coincidir es "/login" (tiene que ser aquello que identifique a la página de inicio de sesión en la porción URI de la solicitud web).

Además, debe especificar un límite de la tasa de, por ejemplo, 15 000 solicitudes cada 5 minutos. Agregar esta regla basada en tasas a la ACL de una web limita las solicitudes en la página de inicio de sesión por dirección IP sin afectar al resto del sitio web.

¿Puedo impedir que mi regla basada en tasas agregue ciertos rangos de IP de origen de tráfico elevado para que sean bloqueados?

Sí. Puede hacerlo al tener una condición de emparejamiento de IP separada que permita la solicitud dentro de la regla basada en tasas.

¿Qué grado de precisión ofrece la base de datos GeoIP?

La precisión de la dirección IP de la base de datos de búsqueda de países varía según la región. De acuerdo con pruebas recientes, nuestra precisión global de direccionamiento de la dirección IP a un país es del 99,8 %. 

Reglas administradas de AWS WAF

¿Qué son las reglas administradas de AWS WAF?

Las reglas administradas son un método sencillo de implementar reglas preconfiguradas a fin de lograr protección contra amenazas habituales derivadas de las vulnerabilidades de las aplicaciones, como OWASP, bots o Common Vulnerabilities and Exposures (CVE, vulnerabilidades y exposiciones habituales). AWS gestiona las reglas administradas de AWS para AWS WAF, mientras que los vendedores de seguridad de terceros gestionan las reglas administradas de AWS Marketplace.

¿Cómo puedo suscribirme a las reglas administradas mediante AWS Marketplace?

Puede suscribirse a una regla administrada suministrada por un distribuidor de seguridad de Marketplace a través de la consola de AWS WAF o de AWS Marketplace. Todas las reglas administradas suscritas estarán a su disposición para poder agregarlas a una ACL web de AWS WAF.

¿Puedo utilizar las reglas administradas junto con mis reglas de AWS WAF actuales?

Sí, puede utilizar las reglas administradas junto con sus reglas personalizadas de AWS WAF. Puede agregar reglas administradas a su ACL web de AWS WAF existente donde ya esté utilizando sus propias reglas.

¿Las reglas administradas se agregarán a mi límite existente de reglas de AWS WAF?

La cantidad de reglas incluidas en una regla administrada no cuenta para sus límites. No obstante, cada regla administrada que se agregue a su ACL web se cuenta como una regla.

¿Cómo puedo deshabilitar una regla administrada?

Puede agregar una regla administrada a una ACL web o eliminarla de la ACL web en cualquier momento. Las reglas administradas se deshabilitan al desasociar una regla administrada de cualquier ACL web.

¿Cómo puedo probar una regla administrada?

AWS WAF permite configurar una acción de “recuento” para una regla administrada, que determina el número de solicitudes web que cumplen las condiciones de las reglas incluidas en la regla administrada. Puede consultar la cantidad de solicitudes web contadas para estimar cuántas solicitudes web se bloquearían o habilitarían si activara la regla administrada.

Configuración de AWS WAF

¿Puedo configurar páginas de error personalizadas?

Sí, puede configurar CloudFront de manera que presente una página de error personalizada cuando se bloqueen solicitudes. Para obtener más información, consulte la Guía para desarrolladores de CloudFront

¿Cuánto tarda AWS WAF en propagar las reglas?

Tras la configuración inicial, la agregación o modificación de las reglas suele tardar un minuto en propagarse a todo el mundo.

¿Cómo puedo comprobar que las reglas funcionan?

AWS WAF incluye dos maneras distintas de comprobar que su sitio web esté protegido: existen métricas que se registran una vez por minuto y se encuentran disponibles en CloudWatch y solicitudes web de muestra en la API de AWS WAF o en la consola de administración. De ese modo, puede ver las solicitudes bloqueadas, habilitadas o contadas y qué regla se aplicó para una solicitud determinada (es decir, si la solicitud web se bloqueó debido a una condición de la dirección IP, etc.). Para obtener más información, consulte la Guía para desarrolladores de AWS WAF.

¿Cómo puedo probar las reglas?

AWS WAF permite configurar una acción de “recuento” que determina la cantidad de solicitudes web que cumplen las condiciones de sus reglas. Puede consultar la cantidad de solicitudes web contadas para estimar cuántas solicitudes web se bloquearían o habilitarían si activara la regla.

¿Durante cuánto tiempo se almacenan las métricas en tiempo real y las solicitudes web de muestra?

Las métricas en tiempo real se almacenan en Amazon CloudWatch. Con Amazon CloudWatch puede configurar el tiempo después del cual desea que los eventos expiren. Las solicitudes web de muestra se almacenan durante un máximo de 3 horas.

¿AWS WAF puede inspeccionar el tráfico HTTPS?

Sí. AWS WAF ayuda a proteger aplicaciones y puede inspeccionar solicitudes web transmitidas mediante HTTP o HTTPS.

Más información sobre los precios de AWS WAF

Visite la página de precios
¿Listo para crear?
Introducción a AWS WAF
¿Tiene más preguntas?
Contacte con nosotros