À quoi sert l'implémentation des solutions AWS ?

AWS WAF est un pare-feu d'applications Web permettant aux clients de créer rapidement des règles sur mesure propres à des applications qui bloquent les modèles d'attaques courants susceptibles d'affecter la disponibilité des applications, de compromettre la sécurité ou de surconsommer les ressources. AWS WAF peut être entièrement géré via des API qui facilitent l'automatisation de la sécurité en permettant une propagation rapide des règles et des réponses aux incidents.

La solution AWS WAF Security Automations utilise AWS CloudFormation pour déployer automatiquement un ensemble de règles AWS WAF conçues pour filtrer les attaques Web communes. Les utilisateurs peuvent choisir parmi des fonctionnalités de protection préconfigurées qui définissent les règles incluses dans une liste de contrôle d'accès Web (Web ACL) d'AWS WAF. Une fois la solution déployée, AWS WAF commence à inspecter les requêtes Web entrantes vers les distributions Amazon CloudFront ou les équilibreurs de charge d'application qui existent chez le client, puis les bloque le cas échéant.

Depuis la version 3.0, la solution AWS WAF Security Automations prend en charge la dernière version de l'API de service AWS WAF (AWS WAFV2). Pour maintenir AWS WAF Classic, déployez la version 2.3.3 de cette solution.

  • Automatisations de la sécurité AWS WAF
  • AWS WAF Security Automations pour WAF Classic
  • Automatisations de la sécurité AWS WAF
  • Présentation de l'implémentation des solutions AWS

    Les AWS WAF Security Automations offrent un contrôle très précis sur les requêtes qui essaient d'accéder à votre application Web. Le diagramme ci-dessous présente l'architecture que vous pouvez créer automatiquement à l'aide du guide d'implémentation de la solution et du modèle AWS CloudFormation fourni.

    Au cœur de la conception se trouve la liste de contrôle d'accès Web d'AWS WAF qui agit comme une vérification centrale et un point de décision pour toutes les requêtes entrantes. Les fonctionnalités de protection que vous choisissez d'activer déterminent les règles personnalisées ajoutées à votre liste de contrôle d'accès Web.

    Live Streaming on AWS avec MediaStore | Diagramme d'architecture
    Live Streaming on AWS avec MediaStore | Diagramme d'architecture
     Cliquer pour agrandir

    Architecture d'AWS WAF Security Automations

    Règles gérées d'AWS (A) : cet ensemble de règles fondamentales gérées d'AWS protège contre l'exploitation de diverses vulnérabilités d'application ou d'autres sources de trafic indésirable.

    Listes manuelles des adresses IP (B et C) : ce composant crée deux règles AWS WAF spécifiques qui vous permettent d'insérer manuellement les adresses IP que vous souhaitez bloquer ou autoriser.

    Injection de code SQL (D) et attaques XSS (E) : la solution configure deux règles AWS WAF natives conçues pour vous protéger des injections de code SQL ou des scripts inter-site (attaques XSS) souvent présents dans les URI, les chaînes d'interrogation ou le corps des requêtes.

    Inondation HTTP (F) : ce composant vous protège des attaques qui se composent d'un grand nombre de requêtes provenant d'une adresse IP spécifique, comme une attaque DDoS sur une couche Web ou une tentative de connexion en force.

    Balayages et sondages (G) : ce composant analyse les journaux d'accès de l'application en recherchant les comportements suspects, tels qu'une quantité anormale d'erreurs provenant d'une même origine. Le composant bloque alors ces adresses IP suspectes pendant un laps de temps défini par le client.

    Listes de réputation des adresses IP (H) : ce composant est l'analyseur des listes d'adresses IP de la fonction AWS Lambda qui vérifie toutes les heures les listes de réputation des adresses IP tierces et détermine lesquelles il est nécessaire de bloquer.

    Mauvais bots (I) : ce composant configure automatiquement un pot de miel. Il s'agit d'un mécanisme de sécurité destiné à leurrer et dévier toute tentative d'attaque.

    Automatisations de la sécurité AWS WAF

    Version 3.0
    Dernière mise à jour : 07/2020
    Auteur : AWS

    Temps de déploiement estimé : 15 min

    Code source  Modèle CloudFormation 
    Utilisez le bouton ci-dessous pour vous abonner aux mises à jour de la solution.

    Remarque : pour vous abonner aux mises à jour RSS, vous devez activer un plug-in RSS pour le navigateur que vous utilisez.

  • AWS WAF Security Automations pour WAF Classic
  • Présentation de l'implémentation des solutions AWS

    Les AWS WAF Security Automations offrent un contrôle très précis sur les requêtes qui essaient d'accéder à votre application Web. Le diagramme ci-dessous présente l'architecture que vous pouvez créer automatiquement à l'aide du guide d'implémentation de la solution et du modèle AWS CloudFormation fourni.

    Au cœur de la conception se trouve la liste de contrôle d'accès Web d'AWS WAF qui agit comme une vérification centrale et un point de décision pour toutes les requêtes entrantes. Les fonctionnalités de protection que vous choisissez d'activer déterminent les règles personnalisées ajoutées à votre liste de contrôle d'accès Web.

    waf-security-automations-for-waf-classic-architecture
    waf-security-automations-for-waf-classic-architecture
     Cliquer pour agrandir

    AWS WAF Security Automations pour architecture WAF Classic

    Listes manuelles des adresses IP (A et B) : ce composant crée deux règles AWS WAF spécifiques qui vous permettent d'insérer manuellement les adresses IP que vous souhaitez bloquer ou autoriser.

    Injection de code SQL (C) et attaques XSS (D) : la solution configure deux règles AWS WAF natives conçues pour vous protéger des injections de code SQL ou des scripts inter-site (attaques XSS) souvent présents dans les URI, les chaînes d'interrogation ou le corps des requêtes.

    Inondation HTTP (E) : ce composant vous protège des attaques qui se composent d'un grand nombre de requêtes provenant d'une adresse IP spécifique, comme une attaque DDoS sur une couche Web ou une tentative de connexion en force.

    Balayages et sondages (F) : ce composant analyse les journaux d'accès de l'application en recherchant les comportements suspects, tels qu'une quantité anormale d'erreurs provenant d'une même origine. Le composant bloque alors ces adresses IP suspectes pendant un laps de temps défini par le client.

    Listes de réputation des adresses IP (G) : ce composant est l'analyseur des listes d'adresses IP de la fonction AWS Lambda qui vérifie toutes les heures les listes de réputation des adresses IP tierces et détermine lesquelles il est nécessaire de bloquer.

    Mauvais bots (H) : ce composant configure automatiquement un pot de miel. Il s'agit d'un mécanisme de sécurité destiné à leurrer et dévier toute tentative d'attaque.

    AWS WAF Security Automations pour WAF Classic

    Version 2.3.3
    Dernière mise à jour : 06/2020
    Auteur : AWS

    Temps de déploiement estimé : 15 min

    Code source  Modèle CloudFormation 
    Utilisez le bouton ci-dessous pour vous abonner aux mises à jour de la solution.

    Remarque : pour vous abonner aux mises à jour RSS, vous devez activer un plug-in RSS pour le navigateur que vous utilisez.

Caractéristiques

Implémentation de référence des automatisations de la sécurité AWS WAF

Exploitez les automatisations de la sécurité AWS WAF dès le démarrage, ou en tant qu'implémentation de référence pour concevoir votre propre ensemble de règles WAF.

Configure rapidement les règles WAF

Le modèle AWS CloudFormation lance et configure automatiquement les paramètres AWS WAF et les fonctionnalités de protection que vous choisissez d'inclure lors du déploiement initial.

Identifie et bloque les attaques de script inter-site (XSS)

La solution configure deux règles AWS WAF natives conçues pour vous protéger des injections de code SQL ou des attaques XSS souvent présentes dans les URI, les chaînes d'interrogation ou le corps des requêtes.

Analyse des données consignées

Quand cette fonction est activée, AWS CloudFormation crée une requête Amazon Athena et une fonction AWS Lambda programmée pour orchestrer l'exécution d'Athena, le traitement des résultats générés et la mise à jour d'AWS WAF.
Icône Créer
Déployer vous-même votre solution

Parcourez notre bibliothèque des implémentations des solutions AWS pour obtenir des réponses aux problèmes d'architecture courants.

En savoir plus 
Rechercher un partenaire APN
Rechercher un partenaire APN

Trouvez des partenaires consultants et technologiques certifiés AWS pour vous aider à commencer.

En savoir plus 
Icône Explorer
Explorer les offres de conseil pour les solutions AWS

Parcourez notre portefeuille d'offres de conseil pour obtenir une aide approuvée AWS au déploiement de solutions.

En savoir plus