1. Qu'est-ce qu'AWS WAF ?
AWS WAF est un pare-feu d'applications Web, qui vous aide à vous protéger contre les attaques en vous permettant de configurer des règles autorisant, bloquant ou surveillant (décompte) les requêtes Web en fonction des conditions que vous définissez. Ces conditions comprennent les adresses IP, les en-têtes HTTP, les corps HTTP, les chaînes de l'URI, l'injection de code SQL et le script de site à site.
2. De quelle façon AWS WAF bloque-t-il ou autorise-t-il le trafic ?
Étant donné que le service sous-jacent reçoit les requêtes destinées à vos sites Web, le service transfère ces requêtes à AWS WAF à des fins d'inspection en regard de vos règles. Lorsqu'une requête répond à une condition définie dans vos règles, AWS WAF demande au service sous-jacent de bloquer ou d'autoriser la requête selon l'action que vous indiquez.
3. Comment AWS WAF protège-t-il mon site ou application Web ?
AWS WAF est étroitement associé à l'Amazon CloudFront et à l'Application Load Balancer (ALB), des services que les clients AWS utilisent fréquemment pour offrir du contenu sur leurs sites web et leurs applications. Lorsque vous utilisez AWS WAF sur Amazon CloudFront, vos règles s'appliquent à tous les emplacements périphériques AWS se trouvant près de vos utilisateurs finaux, où que ce soit dans le monde. La sécurité n'est donc pas assurée aux dépens des performances. Les requêtes bloquées sont arrêtées avant qu'elles n'atteignent vos serveurs Web. Lorsque vous utilisez AWS WAF sur l'Application Load Balancer, vos règles s'appliquent par régions et elles peuvent être utilisées pour protéger un programme d'équilibrage des charges orienté Internet ou interne.
4. Puis-je utiliser AWS WAF pour protéger des sites web non hébergés sur AWS ?
Oui, AWS WAF est intégré à Amazon CloudFront, qui prend en charge les origines personnalisées en dehors d'AWS.
5. Quels types d'attaque AWS WAF peut-il m'aider à prévenir ?
AWS WAF vous permet de protéger votre site Web contre les attaques les plus répandues, telles que l'injection de code SQL et le script de site à site (XSS). En outre, vous pouvez créer des règles qui bloquent les attaques d'agents utilisateurs spécifiques, de mauvais bots ou de sites d'extraction de contenu. Consultez le Guide du développeur AWS WAF pour obtenir des exemples.
6. Puis-je obtenir un historique de tous les appels API AWS WAF effectués sur mon compte pour un audit de sécurité, opérationnel ou de conformité ?
Oui. Pour obtenir un historique des appels d'API AWS WAF réalisés sur votre compte, il vous suffit d'activer AWS CloudTrail dans AWS Management Console. Pour plus d'informations, rendez-vous sur la page d'accueil d'AWS CloudTrail ou consultez le Guide du développeur AWS WAF.
7. Le protocole IPv6 est-il pris en charge par AWS WAF ?
Oui, la prise en charge d'IPv6 permet à AWS WAF d'inspecter les requêtes HTTP/S provenant d'adresses IPv6 et IPv4.
8. Les conditions de correspondance IPSet des règles AWS WAF prennent-elles en charge IPv6 ?
Oui, vous pouvez configurer de nouvelles conditions de correspondance IPv6 pour les WebACL nouvelles et existantes, conformément à la documentation.
9. Les adresses IPv6 apparaîtront-elles dans les échantillons de requêtes AWS WAF lorsque cela est possible ?
Oui. Les échantillons de requêtes afficheront l'adresse IPv6 si possible.
10. Puis-je utiliser IPv6 avec toutes les fonctionnalités d'AWS WAF ?
Oui. Vous pourrez utiliser toutes les fonctionnalités existantes pour le trafic sur IPv6 et IPv4, sans changement remarquable en matière de performances, d'évolutivité ou de disponibilité du service.
11. Quels services AWS WAF prend-t-il en charge ?
AWS WAF peut être déployé sur Amazon CloudFront, l’équilibreur de charge d’application et Amazon API Gateway. En tant que composant Amazon CloudFront, il peut faire partie de votre réseau de distribution de contenu (CDN) et protéger vos ressources et votre contenu sur les emplacements périphériques. En tant que composant de l’équilibreur de charge d’application, il peut protéger vos serveurs web d’origine fonctionnant derrière les équilibreurs. En tant que composant Amazon API Gateway, il peut aider à sécuriser et à protéger vos API inactives.
12. Dans quelles régions AWS WAF sur ALB est-il disponible ?
AWS WAF sur ALB est disponible dans les régions AWS suivantes.
13. Est-ce qu'AWS WAF est éligible HIPAA ?
Oui, AWS a étendu son programme de conformité HIPAA et comprend désormais AWS WAF comme service éligible HIPAA. Si vous disposez d'un accord de partenariat (BAA) exécuté avec AWS, vous pouvez utiliser AWS WAF pour protéger vos applications web contre les codes malveillants les plus répandus. Pour plus d'informations, consultez Conformité à la loi HIPAA.
14. Comment fonctionne la tarification AWS WAF ? Y a-t-il des coûts initiaux ?
Les frais AWS WAF sont calculés en fonction du nombre de listes de contrôles d'accès Web (ACL web) que vous créez, du nombre de règles que vous ajoutez par ACL web et du nombre de demandes web que vous recevez. Aucun engagement initial n'est requis. Les frais AWS WAF s'ajoutent à la tarification d'Amazon CloudFront, à la tarification d'Application Load Balancer (ALB) et/ou à la tarification Amazon API Gateway.
15. Qu'est-ce qu'une règle fondée sur les taux dans AWS WAF ?
Les règles fondées sur les taux sont un nouveau type de règles qui peut être configuré dans AWS WAF. Cette fonction vous permet d'indiquer le nombre de requêtes web autorisé pour une même adresse IP client lors d'une période glissante de 5 minutes continuellement mise à jour. Si une adresse IP dépasse la limite configurée, les nouvelles requêtes sont bloquées jusqu'à ce que le taux de requêtes descende sous le seuil configuré.
16. En quoi une règle fondée sur les taux diffère-t-elle d'une règle standard d'AWS WAF ?
Les règles fondées sur les taux sont semblables aux règles standard, mais elles ont la capacité de configurer un seuil basé sur les taux. Par exemple, si le seuil pour la règle fondée sur les taux est fixé à 2 000, la règle bloque toutes les adresses IP qui ont réalisé plus de 2 000 requêtes dans le dernier intervalle de 5 minutes. Une règle basée sur les tarifs peut également contenir d'autres conditions AWS WAF disponibles pour une règle standard.
17. Quel est le tarif d'une règle fondée sur les taux ?
Une règle fondée sur les taux coûte autant qu'une règle standard d'AWS WAF, c'est-à-dire 1 USD par règle, par ACL web et par mois.
18. Quels sont les cas d'utilisation d'une règle fondée sur les taux ?
Voici quelques cas d'utilisation fréquemment rencontrés avec les règles fondées sur les taux :
- Je souhaite mettre une adresse IP sur liste d'exclusion ou la compter lorsqu'elle dépasse le seuil défini (configurable en nombre de requêtes Web par période glissante de 5 minutes)
- Je veux savoir quelles adresses IP sont actuellement sur liste d'exclusion parce qu'elles ont dépassé le seuil
- Je veux que les adresses IP qui ont été mises sur liste d'exclusion soient automatiquement retirées lorsqu'elles ne dépassent plus le seuil configuré
- Je veux faire une exception pour certaines plages d'adresses IP qui sont une source de trafic intense, pour qu'elles ne soient pas mises sur liste d'exclusion par mes règles fondées sur les taux
19. Est-ce que les conditions de correspondance existantes sont compatibles avec les règles fondées sur les taux ?
Oui. Les règles fondées sur les taux sont compatibles avec les conditions de correspondance AWS WAF existantes. Cela vous permet de préciser vos critères de correspondance et les réductions basées sur le taux limite pour les URL spécifiques de votre site web ou le trafic venant de référents particuliers (ou agents utilisateur) ou d'ajouter d'autres critères de correspondance personnalisés.
20. Est-ce que je peux utiliser une règle fondée sur les taux pour minimiser les risques d'attaques par déni de service distribué sur une couche web ?
Oui. Ce nouveau type de règle est conçu pour vous protéger de situations comme les attaques par déni de service distribué sur une couche web, les tentatives de connexion en force et les robots malveillants.
21. Quelles fonctions de visibilité les règles fondées sur les taux offrent-elles ?
Les règles fondées sur les taux prennent en charge toutes les fonctions de visibilité actuellement disponibles pour les règles standard d'AWS WAF. De plus, elles permettent de voir les adresses IP bloquées par une règle fondée sur les taux.
22. Puis-je utiliser une règle fondée sur les taux pour limiter l'accès à certaines parties de ma page web ?
Oui. Voici un exemple : imaginons que vous vouliez limiter le nombre de requêtes adressées à la page de connexion de votre site web. Pour ce faire, vous pouvez ajouter la condition de correspondance de chaîne suivante pour une règle fondée sur les taux :
- La partie de la requête à filtrer est « URI ».
- Le type de correspondance est « Starts with ».
- Une valeur de correspondance est « /login » (la valeur doit être n'importe quel élément qui identifie la page de connexion dans la portion URI de la requête web)
De plus, vous pouvez spécifier une limite de taux, par exemple 15 000 requêtes par période de 5 minutes. L'ajout de cette règle fondée sur les taux à une ACL web limite les requêtes adressées à votre page de connexion par adresse IP sans affecter le reste de votre site.
23. Est-ce que je peux faire une exception pour certaines plages d'adresses IP qui sont une source de trafic intense, afin qu'elles ne soient pas mises sur liste d'exclusion par ma ou mes règles fondées sur les taux ?
Oui. C'est possible en créant une condition de mise sur liste d'autorisation d'adresse IP dans votre règle fondée sur les taux.
24. Quel est le degré d'exactitude de votre base de données GeoIP ?
La précision de la base de données de recherche du pays au moyen de l'adresse IP varie d'une région à l'autre. Selon des tests récents, le degré d'exactitude de notre conversion d'adresse IP en pays est de 99,8 %.
1. Que sont les règles gérées pour AWS WAF ?
Les règles gérées pour AWS WAF sont un moyen simple de déployer des règles préconfigurées pour protéger vos applications contre les menaces connues comme les vulnérabilités d'application telles que OWASP, les robots ou encore les vulnérabilités et expositions habituelles (CVE). Toutes les règles gérées sont automatiquement mises à jour par les vendeurs de sécurité d'AWS Marketplace.
2. Comment m'inscrire aux règles gérées ?
Vous pouvez vous inscrire aux règles gérées fournies par un vendeur de sécurité d'AWS Marketplace à partir de la console AWS WAF ou d'AWS Marketplace. Toutes les règles gérées que vous aurez souscrites seront disponibles pour que vous puissiez les ajouter à l'ACL web d'AWS WAF.
3. Puis-je utiliser les règles gérées avec mes règles AWS WAF existantes ?
Oui. Il est possible d'utiliser les règles gérées avec vos règles AWS WAF existantes. Vous pouvez ajouter les règles gérées à votre ACL web AWS WAF existant auquel vous pourriez déjà avoir ajouté vos propres règles.
4. Est-ce qu'une règle gérée dispose de plusieurs règles AWS WAF ?
Oui. Chaque règle gérée peut disposer de plusieurs règles AWS WAF. Le nombre de règles dépend de chaque vendeur de sécurité et de son produit Marketplace.
5. Les règles gérées s'ajouteront-elles à ma limite AWS WAF sur le nombre de règles ?
Le nombre de règles d'une règle gérée n'impactera pas vos limites AWS WAF. Cela dit, chaque règle gérée ajoutée à votre ACL web comptera comme une règle.
6. Comment désactiver une règle gérée ?
Vous pouvez ajouter une règle gérée à un ACL web ou la supprimer de l'ACL web à tout moment. Les règles gérées sont désactivées une fois dissociées d'une règle gérée d'un ACL web.
7. Comment tester une règle gérée ?
AWS WAF vous permet de configurer une action de « décompte » pour une règle gérée qui compte le nombre de demandes web mises en correspondance par les règles au sein d'une règle gérée. Vous pouvez consulter le nombre de requêtes web comptées pour estimer combien de vos requêtes web seraient bloquées si vous définissiez une règle gérée.
Démarrez gratuitement AWS
Créez un compte gratuitProfitez pendant 12 mois de l'offre gratuite AWS. Vous bénéficierez également du niveau de base d'AWS Support qui inclut un service client disponible 24h/24, 7j/7 et 365 jours par an, l'accès à des forums d'assistance et bien d'autres avantages.
1. Puis-je configurer des pages d'erreur personnalisées ?
Oui, vous pouvez configurer CloudFront de manière à ce qu'il affiche une page d'erreur personnalisée lorsque les requêtes sont bloquées. Consultez le Guide du développeur CloudFront pour en savoir plus.
2. Combien de temps faut-il à AWS WAF pour propager mes règles ?
Une fois la configuration initiale effectuée, l'ajout ou la modification de règles prend en général une minute pour se propager dans le monde entier.
3. Comment puis-je vérifier que mes règles fonctionnent ?
AWS WAF offre deux manières différentes de voir comment votre site Web est protégé : des mesures à une fréquence d'une minute sont disponibles dans CloudWatch et des échantillons de requêtes web sont mis à votre disposition dans l'API AWS WAF ou la console de gestion. Vous pouvez ainsi vérifier quelles requêtes ont été bloquées, autorisées ou décomptées et quelle règle a été assortie à une requête donnée (par exemple, cette requête Web a été bloquée à cause d'une condition concernant l'adresse IP). Pour plus d'informations, consultez le Guide du développeur AWS WAF.
4. De quelle façon puis-je tester mes règles ?
AWS WAF vous permet de configurer une action « décompte » pour les règles, qui compte le nombre de requêtes web remplissant les conditions de votre règle. Vous pouvez consulter le nombre de requêtes Web comptées pour estimer combien de vos requêtes web seraient bloquées ou autorisées si vous définissiez une règle.
5. Pendant combien de temps les mesures en temps réel et les échantillons de requêtes web sont-ils stockés ?
Les mesures en temps réel sont stockées dans Amazon CloudWatch. À l'aide d'Amazon CloudWatch, vous pouvez configurer le délai d'expiration des événements souhaité. Les échantillons de requêtes web sont, quant à eux, stockés pendant trois heures maximum.
6. AWS WAF peut-il inspecter le trafic HTTPS ?
Oui. AWS WAF aide à protéger les applications et peut inspecter les requêtes web transmises via HTTP ou HTTPS.