FAQ sur AWS WAF

Qu'est-ce qu'AWS WAF ?

AWS WAF est un pare-feu d'applications web, qui vous aide à vous protéger contre les attaques en vous permettant de configurer des règles autorisant, bloquant ou surveillant (décompte) les requêtes web en fonction des conditions que vous définissez. Ces conditions comprennent les adresses IP, les en-têtes HTTP, les corps HTTP, les chaînes de l'URI, l'injection de code SQL et le script de site à site.

De quelle façon AWS WAF bloque-t-il ou autorise-t-il le trafic ?

Étant donné que le service sous-jacent reçoit les requêtes destinées à vos sites Web, le service transfère ces requêtes à AWS WAF à des fins d'inspection en regard de vos règles. Lorsqu'une requête répond à une condition définie dans vos règles, AWS WAF demande au service sous-jacent de bloquer ou d'autoriser la requête selon l'action que vous indiquez.

Comment mon site Web ou mon application sont-ils protégés par AWS WAF ?

AWS WAF est étroitement associé à Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway et AWS AppSync, des services utilisés fréquemment par les clients AWS pour diffuser du contenu sur leurs sites Web et leurs applications. Lorsque vous utilisez AWS WAF sur Amazon CloudFront, vos règles s'appliquent à tous les emplacements périphériques AWS se trouvant près de vos utilisateurs finaux, où que ce soit dans le monde. La sécurité n'est donc pas assurée aux dépens des performances. Les requêtes bloquées sont arrêtées avant qu'elles n'atteignent vos serveurs Web. Lorsque vous utilisez AWS WAF sur des services régionaux comme Application Load Balancer, Amazon API Gateway et AWS AppSync, vos règles s'appliquent dans la région et peuvent être utilisées pour protéger à la fois les ressources internes et celles accessibles sur Internet.

Puis-je utiliser AWS WAF pour protéger des sites web non hébergés sur AWS ?

Oui, AWS WAF est intégré à Amazon CloudFront, qui prend en charge les origines personnalisées en dehors d'AWS.

Quels types d'attaque AWS WAF peut-il m'aider à prévenir ?

AWS WAF vous permet de protéger votre site Web contre les attaques les plus répandues, telles que l'injection de code SQL et le script de site à site (XSS). En outre, vous pouvez créer des règles pour bloquer ou définir une limite de taux du trafic en provenance d'agents spécifiques aux utilisateurs, d'adresses IP spécifiques ou qui contenant des en-têtes de requêtes particulières. Consultez le Guide du développeur AWS WAF pour obtenir des exemples.

Quelles fonctionnalités d'atténuation des robots sont disponibles avec AWS WAF ?

AWS WAF Bot Control vous permet de visualiser et de contrôler le trafic des robots courants et répandus sur vos applications. Grâce à Bot Control, vous pouvez facilement surveiller, bloquer ou définir une limite de taux pour les robots répandus, tels que les extracteurs de contenu, les scanners ou les robots d'analyse. Vous pouvez également autoriser les robots courants, tels que les robots de surveillance de statut et les moteurs de recherche. Vous pouvez ajouter le groupe de règles gérées Bot Control aux côtés d'autres règles gérées pour WAF ou vos propres règles WAF personnalisées afin de protéger vos applications. Consultez la rubrique AWS WAF Bot Control du guide du développeur. 

Puis-je obtenir un historique de tous les appels API AWS WAF effectués sur mon compte pour un audit de sécurité, opérationnel ou de conformité ?

Oui. Pour obtenir un historique des appels d'API AWS WAF réalisés sur votre compte, il vous suffit d'activer AWS CloudTrail dans AWS Management Console. Pour plus d'informations, rendez-vous sur la page d'accueil d'AWS CloudTrail ou consultez le Guide du développeur AWS WAF.

Le protocole IPv6 est-il pris en charge par AWS WAF ?

Oui, la prise en charge d'IPv6 permet à AWS WAF d'inspecter les requêtes HTTP/S provenant d'adresses IPv6 et IPv4.

Les conditions de correspondance IPSet des règles AWS WAF prennent-elles en charge IPv6 ?

Oui, vous pouvez configurer de nouvelles conditions de correspondance IPv6 pour les Web ACL nouvelles et existantes, conformément à la documentation.

Les adresses IPv6 apparaîtront-elles dans les échantillons de requêtes AWS WAF lorsque cela est possible ?

Oui. Les échantillons de requêtes afficheront l'adresse IPv6 si possible.

Puis-je utiliser IPv6 avec toutes les fonctionnalités d'AWS WAF ?

Oui. Vous pourrez utiliser toutes les fonctionnalités existantes pour le trafic sur IPv6 et IPv4, sans changement remarquable en matière de performances, d'évolutivité ou de disponibilité du service.

Quels sont les services pris en charge par AWS WAF ?

AWS WAF peut être déployé sur Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway et AWS AppSync. En tant que composant Amazon CloudFront, il peut faire partie de votre réseau de distribution de contenu (CDN, Content Distribution Network) et protéger vos ressources et votre contenu sur les emplacements périphériques. En tant que composant de l'Application Load Balancer, il peut protéger vos serveurs Web d'origine fonctionnant en arrière-plan des ALB. En tant que composant Amazon API Gateway, il peut aider à sécuriser et à protéger vos API REST. En tant que composant AWS AppSync, il peut aider à sécuriser et protéger vos API GraphQL.

Dans quelles régions AWS le service AWS WAF est-il disponible ?

Veuillez consulter le tableau des services par région AWS.

Est-ce qu'AWS WAF est éligible HIPAA ?

Oui, AWS a étendu son programme de conformité HIPAA et comprend désormais AWS WAF comme service éligible HIPAA. Si vous disposez d'un accord de partenariat (BAA) exécuté avec AWS, vous pouvez utiliser AWS WAF pour protéger vos applications web contre les codes malveillants les plus répandus. Pour plus d'informations, consultez la Conformité à la norme HIPAA.

Comment fonctionne la tarification AWS WAF ? Y a-t-il des coûts initiaux ?

Les frais AWS WAF sont calculés en fonction du nombre de listes de contrôles d'accès Web (ACL web) que vous créez, du nombre de règles que vous ajoutez par ACL web et du nombre de demandes web que vous recevez. Aucun engagement initial n'est requis. Les frais AWS WAF s'ajoutent à la tarification d'Amazon CloudFront, à la tarification de l'Application Load Balancer (ALB), à la tarification d'Amazon API Gateway et/ou à la tarification d'AWS AppSync.

Qu'est-ce qu'une règle fondée sur les taux dans AWS WAF ?

Les règles fondées sur le taux sont un type de règles configurables dans AWS WAF, ce qui vous permet d'indiquer le nombre de requêtes Web autorisées pour une même adresse IP client lors de la dernière période de 5 minutes continuellement mise à jour. Si une adresse IP dépasse la limite configurée, les nouvelles requêtes sont bloquées jusqu'à ce que le taux de requêtes descende sous le seuil configuré.

En quoi une règle fondée sur les taux diffère-t-elle d'une règle standard d'AWS WAF ?

Les règles fondées sur les taux sont semblables aux règles standard, mais elles ont la capacité de configurer un seuil basé sur les taux. Par exemple, si le seuil pour la règle fondée sur les taux est fixé à 2 000, la règle bloque toutes les adresses IP qui ont réalisé plus de 2 000 requêtes dans le dernier intervalle de 5 minutes. Une règle basée sur les tarifs peut également contenir d'autres conditions AWS WAF disponibles pour une règle standard.

Quel est le tarif d'une règle fondée sur les taux ?

Une règle fondée sur les taux coûte autant qu'une règle standard d'AWS WAF, c'est-à-dire 1 USD par règle, par ACL web et par mois.

Quels sont les cas d'utilisation d'une règle fondée sur les taux ?

Voici quelques cas d'utilisation fréquemment rencontrés avec les règles fondées sur les taux :

• Je souhaite bloquer ou comptabiliser une adresse IP lorsqu'elle dépasse le seuil configuré (configurable en nombre de requêtes Web par dernière période de 5 minutes)
• Je veux savoir quelles adresses IP sont actuellement bloquées parce qu'elles ont dépassé le seuil
• Je veux que les adresses IP ajoutées à la liste d'adresses bloquées en soient automatiquement retirées lorsqu'elles ne dépassent plus le seuil configuré
• Je veux faire une exception pour certaines plages d'adresses IP qui sont une source de trafic intense, pour qu'elles ne soient pas bloquées par mes règles fondées sur les taux
  

Est-ce que les conditions de correspondance existantes sont compatibles avec les règles fondées sur les taux ?

Oui. Les règles fondées sur les taux sont compatibles avec les conditions de correspondance AWS WAF existantes. Cela vous permet de préciser vos critères de correspondance et les réductions basées sur le taux limite pour les URL spécifiques de votre site web ou le trafic venant de référents particuliers (ou agents utilisateur) ou d'ajouter d'autres critères de correspondance personnalisés.

Est-ce que je peux utiliser une règle fondée sur les taux pour minimiser les risques d'attaques par déni de service distribué sur une couche web ?

Oui. Ce nouveau type de règle est conçu pour vous protéger de situations comme les attaques par déni de service distribué sur une couche web, les tentatives de connexion en force et les robots malveillants.

Quelles fonctions de visibilité les règles fondées sur les taux offrent-elles ?

Les règles fondées sur les taux prennent en charge toutes les fonctions de visibilité actuellement disponibles pour les règles standard d'AWS WAF. De plus, elles permettent de voir les adresses IP bloquées par une règle fondée sur les taux.

Puis-je utiliser une règle fondée sur les taux pour limiter l'accès à certaines parties de ma page web ?

Oui. Voici un exemple : imaginons que vous vouliez limiter le nombre de requêtes adressées à la page de connexion de votre site web. Pour ce faire, vous pouvez ajouter la condition de correspondance de chaîne suivante pour une règle fondée sur les taux :

• La partie de la requête à filtrer est « URI ».
  
• Le type de correspondance est « Starts with ».
  
• Une valeur de correspondance est « /login » (la valeur doit être n'importe quel élément qui identifie la page de connexion dans la portion URI de la requête web)
  

De plus, vous pouvez spécifier une limite de taux, par exemple 15 000 requêtes par période de 5 minutes. L'ajout de cette règle fondée sur les taux à une ACL web limite les requêtes adressées à votre page de connexion par adresse IP sans affecter le reste de votre site.

Est-ce que je peux faire une exception pour certaines plages d'adresses IP qui sont une source de trafic intense, afin qu'elles ne soient pas bloquées par ma ou mes règles fondées sur les taux ?

Oui. Cela est possible en ayant une condition de correspondance d'adresse IP séparée qui autorise la requête dans la règle fondée sur les taux.

Quel est le degré d'exactitude de votre base de données GeoIP ?

La précision de la base de données de recherche du pays au moyen de l'adresse IP varie d'une région à l'autre. Selon des tests récents, le degré d'exactitude de notre conversion d'adresse IP en pays est de 99,8 %. 

Que sont les règles gérées pour AWS WAF ?

Les règles gérées sont un moyen simple de déployer des règles préconfigurées pour protéger vos applications contre les menaces connues comme les vulnérabilités d'application telles que OWASP, les robots ou encore les vulnérabilités de sécurité CVE (Common Vulnerabilities and Exposures). Les règles gérées AWS pour AWS WAF sont gérées par AWS, alors que celles d'AWS Marketplace sont gérées par des vendeurs de sécurité tiers.

Comment m'inscrire aux règles gérées via AWS Marketplace ?

Vous pouvez vous inscrire aux règles gérées fournies par un vendeur de sécurité d'AWS Marketplace à partir de la console AWS WAF ou d'AWS Marketplace. Toutes les règles gérées que vous aurez souscrites seront disponibles pour que vous puissiez les ajouter à l'ACL web d'AWS WAF.

Puis-je utiliser les règles gérées avec mes règles AWS WAF existantes ?

Oui. Il est possible d'utiliser les règles gérées avec vos règles AWS WAF existantes. Vous pouvez ajouter les règles gérées à votre ACL web AWS WAF existant auquel vous pourriez déjà avoir ajouté vos propres règles.

Les règles gérées s'ajouteront-elles à ma limite AWS WAF sur le nombre de règles ?

Le nombre de règles d'une règle gérée n'est pas pris en compte dans votre limite. Cela dit, chaque règle gérée ajoutée à votre ACL web comptera comme une règle.

Comment désactiver une règle gérée ?

Vous pouvez ajouter une règle gérée à un ACL web ou la supprimer de l'ACL web à tout moment. Les règles gérées sont désactivées une fois dissociées d'une règle gérée d'un ACL web.

Comment tester une règle gérée ?

AWS WAF vous permet de configurer une action de « décompte » pour une règle gérée qui compte le nombre de demandes web mises en correspondance par les règles au sein d'une règle gérée. Vous pouvez consulter le nombre de requêtes web comptées pour estimer combien de vos requêtes web seraient bloquées si vous définissiez une règle gérée.

Puis-je configurer des pages d'erreur personnalisées ?

Oui, vous pouvez configurer CloudFront de manière à ce qu'il affiche une page d'erreur personnalisée lorsque les requêtes sont bloquées. Consultez le Guide du développeur CloudFront pour en savoir plus.

Combien de temps faut-il à AWS WAF pour propager mes règles ?

Une fois la configuration initiale effectuée, l'ajout ou la modification de règles prend en général une minute pour se propager dans le monde entier.

Comment puis-je vérifier que mes règles fonctionnent ?

AWS WAF offre deux manières différentes de voir comment votre site Web est protégé : des mesures à une fréquence d'une minute sont disponibles dans CloudWatch et des échantillons de requêtes web sont mis à votre disposition dans l'API AWS WAF ou la console de gestion. Vous pouvez ainsi vérifier quelles requêtes ont été bloquées, autorisées ou décomptées et quelle règle a été assortie à une requête donnée (par exemple, cette requête Web a été bloquée à cause d'une condition concernant l'adresse IP). Pour plus d'informations, consultez le Guide du développeur AWS WAF.

De quelle façon puis-je tester mes règles ?

AWS WAF vous permet de configurer une action « décompte » pour les règles, qui compte le nombre de requêtes web remplissant les conditions de votre règle. Vous pouvez consulter le nombre de requêtes Web comptées pour estimer combien de vos requêtes web seraient bloquées ou autorisées si vous définissiez une règle.

Pendant combien de temps les mesures en temps réel et les échantillons de requêtes web sont-ils stockés ?

Les mesures en temps réel sont stockées dans Amazon CloudWatch. À l'aide d'Amazon CloudWatch, vous pouvez configurer le délai d'expiration des événements souhaité. Les échantillons de requêtes Web sont, quant à eux, stockés pendant 3 heures maximum.

AWS WAF peut-il inspecter le trafic HTTPS ?

Oui. AWS WAF aide à protéger les applications et peut inspecter les requêtes web transmises via HTTP ou HTTPS.

Qu’est-ce qu’Account Takeover Prevention ?

Account Takeover Prevention (ATP) est un groupe de règles gérées qui surveille le trafic sur la page de connexion de votre application pour détecter tout accès non autorisé aux comptes d'utilisateurs au moyen d'informations d'identification compromises. Vous pouvez utiliser ATP pour renforcer la protection contre les attaques de bourrage d'informations d'identification, les tentatives de connexion par force brute et d'autres activités de connexion anormales. Au fur et à mesure des tentatives de connexion à votre application, l'ATP vérifie en temps réel si les noms d'utilisateur et les mots de passe soumis ont été compromis ailleurs sur le web. En vérifiant les tentatives de connexion anormales provenant de mauvais acteurs, l'ATP met en corrélation les demandes observées au fil du temps pour vous aider à détecter et à atténuer les tentatives de force brute et les attaques par bourrage d'informations d’identification. ATP propose également des kits SDK JavaScript et iOS/Android facultatifs qui peuvent être intégrés à votre application pour vous fournir des données télémétriques supplémentaires sur les périphériques utilisateurs qui tentent de se connecter à votre application afin de mieux protéger votre application contre les tentatives de connexion automatisées par des robots.

Comment la fonction Account Takeover Prevention protège-t-elle les informations d’identification en cours de contrôle ?

Le trafic entre les périphériques utilisateurs et votre application est sécurisé par le protocole SSL/TLS que vous configurez pour le service AWS que vous utilisez pour présenter votre application, comme Amazon CloudFront, Application Load Balancer, Amazon API Gateway ou AWS AppSync. Dès qu'une information d'identification de l'utilisateur parvient à l'AWS WAF, celui-ci l'inspecte, puis la hache et la rejette immédiatement, et l'information ne quitte jamais le réseau AWS. Toute communication entre les services AWS que vous utilisez dans votre application et AWS WAF est chiffrée en transit et au repos.

Quelle comparaison peut-on faire entre Account Takeover Prevention et Bot Control ?

Bot Control vous offre une visibilité et un contrôle sur le trafic des robots courants et répandus qui consomment des ressources, faussent les métriques, entraînent des interruptions et réalisent d'autres activités indésirables. Bot Control vérifie divers champs d'en-tête et les propriétés des requêtes par rapport aux signatures de robots connues afin de détecter et de classer les robots automatisés, tels que les racleurs, les scanners et les robots d'exploration.

Account Takeover Prevention (ATP) vous donne une visibilité et un contrôle sur les tentatives de connexion anormales de la part de mauvais acteurs utilisant des informations d'identification compromises, vous aidant ainsi à prévenir les accès non autorisés qui peuvent conduire à des activités frauduleuses. L'ATP est utilisé pour protéger la page de connexion de votre application.

Bot Control et ATP peuvent être utilisés indépendamment l'un de l'autre ou ensemble. Comme pour les groupes de règles gérés par Bot Control, vous pouvez utiliser l'action de règle par défaut de l'ATP pour bloquer les demandes correspondantes, ou vous pouvez personnaliser le comportement de l'ATP à l'aide de la fonctionnalité d'atténuation d'AWS WAF.

Comment démarrer avec Account Takeover Prevention et l’AWS WAF ?

Sur la console AWS WAF, créez une nouvelle web ACL, ou modifiez une web ACL existante si vous utilisez déjà AWS WAF. Vous pouvez utiliser l'assistant pour vous aider à configurer les paramètres de base, tels que la ressource que vous souhaitez protéger et les règles à ajouter. Lorsque vous êtes invité à ajouter des règles, sélectionnez Ajouter des règles gérées, puis sélectionnez Account Creation Fraud Prevention dans la liste des règles gérées. Pour configurer ATP, saisissez l'URL de la page de connexion de votre application et indiquez où se trouvent les champs de formulaires Nom d'utilisateur et Mot de passe dans le corps de la requête.

Quel avantage les kits JavaScript SDK ou Mobile SDK apportent-ils ?

Les kits JavaScript et Mobile SDK fournissent une télémétrie supplémentaire sur les périphériques utilisateurs qui tentent de se connecter à votre application afin de mieux protéger cette dernière contre les tentatives de connexion automatisées par des robots. Vous n'êtes pas obligé d'utiliser l'un des kits SDK, mais nous vous le recommandons pour une protection supplémentaire.

Comment puis-je personnaliser le comportement par défaut d’Account Takeover Prevention ?

Lorsque l'ATP détermine que les informations d'identification d'un utilisateur ont été compromises, il génère une étiquette pour indiquer une correspondance. Par défaut, AWS WAF bloque automatiquement les tentatives de connexion jugées malveillantes ou anormales (par exemple, des niveaux anormaux de tentatives de connexion échouées, des récidivistes et des tentatives de connexion provenant de bots). Vous pouvez modifier la façon dont AWS WAF répond aux correspondances en rédigeant des règles AWS WAF qui agissent sur l'étiquette.