Domande generali

1. Cos'è AWS WAF?

AWS WAF è un firewall che aiuta a proteggere le applicazioni Web dagli attacchi consentendo di configurare regole per consentire, bloccare o monitorare (modalità di conteggio) le richieste Web in base a condizioni personalizzate. Tali condizioni includono indirizzi IP, intestazioni HTTP, strutture HTTP, stringhe URI, SQL injection e cross-site scripting.

2. In che modo AWS WAF blocca o consente il traffico?

Nel momento in cui il servizio sottostante riceve richieste per i tuoi siti Web, le inoltra ad AWS WAF, che ne verifica la conformità alle regole prestabilite. Quando una richiesta soddisfa le condizioni definite nelle regole, AWS WAF dà istruzioni al servizio sottostante di bloccare o consentire la richiesta in base all'azione che hai deciso di applicare.

3. In che modo AWS WAF protegge i siti o le applicazioni Web?

AWS WAF è strettamente integrato con Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway e AWS AppSync, servizi che i clienti di AWS utilizzano comunemente per distribuire contenuti per i loro siti Web e le loro applicazioni. Quando utilizzi AWS WAF su Amazon CloudFront, le regole impiegate valgono per tutte le edge location AWS in tutto il mondo vicine ai tuoi utenti finali. Di conseguenza, per ottenere maggiore sicurezza non dovrai scendere a compromessi con le prestazioni. Le richieste bloccate vengono interrotte prima che raggiungano i server Web. Quando utilizzi AWS WAF su servizi regionali, come Application Load Balancer, Amazon API Gateway e AWS AppSync, le tue regole vengono eseguite nella regione e possono essere utilizzate per proteggere le risorse con connessione Internet, oltre alle risorse interne.

4. È possibile usare AWS WAF per proteggere siti Web non in hosting in AWS?

Sì, AWS WAF si integra con Amazon CloudFront, che supporta server di origine personalizzati.

5. Da quali tipi di attacco protegge AWS WAF?

AWS WAF aiuta a proteggere i tuoi siti Web da tecniche di attacco comuni quali SQL injection e cross-site scripting (attacchi XSS). Inoltre, è possibile creare regole che blocchino gli attacchi da User-Agent specifici, bot dannosi o content scraper. Consulta la AWS WAF Developer Guide per vedere qualche esempio.

6. È possibile consultare uno storico di tutte le chiamate API di AWS WAF su un account per eseguire audit operativi, di sicurezza e di conformità?

Sì. Per ricevere uno storico di tutte le chiamate delle API di AWS WAF effettuate sul tuo account, non devi fare altro che attivare AWS CloudTrail nella Console di gestione AWS di CloudTrail. Per ulteriori informazioni, visita la pagina di AWS CloudTrail o consulta la AWS WAF Developer Guide.

7. AWS WAF supporta IPv6?

Sì, il supporto per IPv6 consente ad AWS WAF di esaminare le richieste HTTP/S provenienti da indirizzi sia IPv4 sia IPv6.

8. Le condizioni di corrispondenza di IPSet per una regola AWS WAF supportano IPv6?

Sì, puoi configurare una o più condizioni di corrispondenza IPv6 per ACL Web, come illustrato nella documentazione.

9.  Se applicabile, è possibile visualizzare l'indirizzo IPv6 nelle richieste di prova di AWS WAF?

Sì. Le richieste di prova mostreranno l'indirizzo IPv6, se applicabile.

10. È possibile utilizzare il protocollo IPv6 con tutte le caratteristiche di AWS WAF?

Sì. Potrai usare tutte le caratteristiche esistenti su traffico IPv4 e IPv6 senza alcuna differenza dal punto di vista di prestazioni, scalabilità o disponibilità del servizio.

11. Quali sono i servizi supportati da AWS WAF?

AWS WAF può essere distribuito su Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway e AWS AppSync. Nell'ambito di Amazon CloudFront può far parte della rete per la distribuzione di contenuti (CDN), proteggendo le risorse e i contenuti nelle edge location. All’interno di Application Load Balancer, può proteggere server Web di origine in esecuzione su ALB. Nell'ambito di Amazon API Gateway, è in grado di proteggere e difendere le API REST. Come parte di AWS AppSync, può aiutarti a proteggere e a garantire la sicurezza delle tue API GraphQL.

12. In quali regioni AWS è disponibile AWS WAF?

Fai riferimento alla tabella dei servizi delle regioni AWS.

13. AWS WAF è soggetto alla normativa HIPAA? 

Sì, AWS ha esteso il proprio programma di conformità agli standard HIPAA in modo da includere AWS WAF. Se disponi di un contratto di società in affari o BAA (Business Associate Agreement) con AWS, puoi utilizzare AWS WAF per proteggere le applicazioni Web dalle minacce più comuni. Per ulteriori informazioni, consulta Conformità HIPAA.

14. Come vengono calcolati i prezzi di AWS WAF? Sono previsti pagamenti anticipati?

AWS WAF addebita i costi in base al numero di ACL Web (liste di controllo degli accessi Web) create, al numero di regole aggiunte per ACL Web e al numero di richieste Web ricevute. Non sono previsti impegni anticipati. I costi di AWS WAF si aggiungono ai prezzi di Amazon CloudFront, di Application Load Balancer (ALB), di Amazon API Gateway e/o di AWS AppSync.

15. Che cos'è la regola basata sul tasso in AWS WAF?

Le regole basate sul tasso sono un tipo di regola che può essere configurata in AWS WAF, e che consente di specificare il numero di richieste Web consentite da un IP client nell'ultimo periodo di 5 minuti, aggiornato continuamente. Se un indirizzo IP supera il limite configurato, le nuove richieste vengono bloccate finché il tasso di richieste scende di nuovo sotto la soglia configurata.

16. Qual è la differenza fra una regola basata sul tasso e una normale regola AWS WAF?

Le regole basate sul tasso sono simili alle regole normali a cui è stata aggiunta la capacità di configurare una soglia basata sul tasso. Se, ad esempio, la soglia per la regola basata sul tasso è impostata a 2.000, la regola blocca tutti gli indirizzi IP che hanno più di 2.000 richieste nell'ultimo intervallo di 5 minuti. La regola basata sul tasso può contenere anche altre condizioni AWS WAF disponibili per una regola normale.

17. Quanto costa una regola basata sul tasso?

Una regola basata sul tasso ha lo stesso costo di una normale regola AWS WAF, ovvero 1 USD per regola per WebACL al mese

18. Quali sono i casi d'uso per la regola basata sul tasso?

Ecco alcuni casi d'uso comuni in cui i clienti possono utilizzare le regole basate sul tasso:

  • Per bloccare o contare un indirizzo IP quando questo supera la soglia configurata (configurabile in richieste Web per l'ultimo periodo di 5 minuti)
  • Per sapere quali indirizzi IP sono attualmente bloccati perché hanno superato la soglia configurata
  • Perché gli indirizzi IP che sono stati bloccati vengano rimossi automaticamente quando non superano più la soglia configurata
  • Per escludere certi intervalli di indirizzi IP di origine a traffico elevato dall'essere bloccati dalle regole basate sul tasso

19. Le condizioni di corrispondenza esistenti sono compatibili con la regola basata sul tasso?

Sì. Le regole basate sul tasso sono compatibili con le condizioni di corrispondenza esistenti di AWS WAF. Questo ti consente di affinare ulteriormente i criteri di corrispondenza e di limitare le mitigazioni basate sul tasso a URL specifici del tuo sito Web o del traffico proveniente da referrer (o agenti utente) specifici o aggiungere ulteriori criteri di corrispondenza personalizzati.

20. Si può usare la regola basata sul tasso per mitigare gli attacchi DDoS al layer Web?

Sì. Questo nuovo tipo di regola è progettato per proteggere da casi d'uso come attacchi DDoS al layer Web, tentativi di accesso di forza bruta e bot dannosi.

21. Quali caratteristiche di visibilità offrono le regole basate sul tasso?

Le regole basate sul tasso supportano tutte le caratteristiche di visibilità attualmente disponibili nelle normali regole AWS WAF. Inoltre hanno visibilità negli indirizzi IP bloccati dalla regola basata sul tasso.

22. Si può usare una regola basata sul tasso in certe parti di una pagina Web?

Sì. Ecco un esempio. Supponiamo che tu voglia limitare le richieste alla pagina di accesso del tuo sito Web. Per fare questo, puoi aggiungere la condizione di corrispondenza di stringa seguente a una regola basata sul tasso:

  • La parte della richiesta sulla quale filtrare è "URI".
  • Il tipo di corrispondenza è "Starts with".
  • Il valore di corrispondenza è "/login" (questo deve essere qualsiasi elemento che identifichi la pagina di accesso nella parte URI della richiesta Web)

Inoltre è possibile specificare un limite di tasso di, per esempio, 15.000 richieste ogni 5 minuti. L'aggiunta di questa regola a un ACL Web limiterà le richieste alla tua pagina di accesso per indirizzo IP senza influenzare il resto del tuo sito.

23. Posso escludere determinati intervalli di indirizzi IP di origine a traffico elevato dall'essere bloccati delle mie regole basate sul tasso?

Sì. È possibile farlo disponendo di una condizione di corrispondenza IP separata che consenta la richiesta all'interno della regola basata sul tasso.

24. Qual è il livello di precisione del database GeoIP?

La precisione del database di identificazione del paese attraverso l'indirizzo IP varia secondo le regioni. Sulla base di test recenti, la precisione globale di mappatura dell'indirizzo IP con il paese è del 99,8%. 

Managed Rules for AWS WAF

1. Che cosa si intende per regole gestite per AWS WAF?

Le regole gestite (Managed Rules) sono un modo semplice per distribuire regole preconfigurate per proteggere le tue applicazioni da minacce comuni come vulnerabilità quali OWASP, bot o vulnerabilità ed esposizioni comuni (CVE). Le AWS Managed Rules per AWS WAF sono gestite da AWS, mentre le Managed Rules di AWS Marketplace vengono gestite dai fornitori di servizi di sicurezza di terze parti.

2. Come posso abbonarmi alle Managed Rules tramite AWS Marketplace?

Puoi abbonarti a una Managed Rule fornita da un venditore di sicurezza di Marketplace dalla console AWS WAF o da AWS Marketplace. Tutte le Managed Rules cui ti abboni saranno disponibili per l'aggiunta a un ACL Web AWS WAF.

3. Posso utilizzare le Managed Rules insieme alle mie regole AWS WAF esistenti?

Sì, puoi utilizzare le Managed Rules insieme alle tue personali regole AWS WAF. Puoi aggiungere le Managed Rules alla tua ACL Web AWS WAF esistente cui potresti aver già aggiunto le tue regole personali.

4. Le Managed Rules sono supplementari al mio attuale limite AWS WAF per il numero di regole?

Il numero di regole all'interno di una Managed Rule non influisce sui tuoi limiti. Tuttavia, ciascuna Managed Rule aggiunta al tuo ACL Web conterà come una regola.

5. Come posso disattivare una Managed Rule?

Puoi aggiungere una Managed Rule a un ACL Web o rimuoverla dall'ACL Web in qualsiasi momento. Le Managed Rules vengono disattivate una volta che l'associazione di una Managed Rule a qualsiasi ACL Web viene annullata.

6. Come posso testare una Managed Rule?

AWS WAF consente di configurare un'azione "count" per una Managed Rule, che conta il numero di richieste Web che corrispondono alle regole all'interno della Managed Rule. In questo modo potrai vedere il numero di richieste Web conteggiate e fare una stima di quante di esse verrebbero bloccate in caso di attivazione della Managed Rule.

Configurazione AWS WAF

1. È possibile configurare pagine di errore personalizzate?

Sì, puoi configurare CloudFront in modo che visualizzi pagine di errore personalizzate quando le richieste vengono bloccate. Per ulteriori informazioni, consulta la CloudFront Developer Guide.

2. Quanto tempo richiede la propagazione delle regole da parte di AWS WAF?

Dopo l'impostazione iniziale, propagare globalmente una nuova regola o una modifica a una regola esistente richiede circa un minuto.

3. Come è possibile controllare gli effetti delle regole?

AWS WAF consente due metodi per vedere gli effetti della protezione applicata a un sito Web: in CloudWatch sono disponibili parametri con scadenza a un minuto; oppure tramite le API e la console di gestione di AWS WAF sono disponibili richieste Web di esempio. Grazie a queste risorse, è possibile vedere quali richieste vengono bloccate, quali consentite e quali conteggiate, nonché quali regole si applicano alle diverse richieste (ad esempio, una determinata richiesta viene bloccata a causa di una condizione posta sull'indirizzo IP e così via). Per ulteriori informazioni, consulta la AWS WAF Developer Guide.

4. Come si testano le regole?

AWS WAF consente di configurare un'azione "count" per le regole, che conta il numero di richieste Web che soddisfano le condizioni delle regole. In questo modo potrai vedere il numero di richieste Web conteggiate e fare una stima di quante di esse verrebbero bloccate o consentite in caso di attivazione della regola.

5. Per quanto tempo vengono memorizzati i parametri in tempo reale e le richieste Web di esempio?

I parametri in tempo reale vengono memorizzati in Amazon CloudWatch. Potrai configurare il periodo di retention in Amazon CloudWatch. Le richieste Web di esempio vengono memorizzate per 2 ore massimo.

6. AWS WAF può ispezionare il traffico HTTPS?

Sì. AWS WAF aiuta a proteggere le applicazioni ed è in grado di ispezionare le richieste Web trasmesse tramite HTTP e HTTPS.

Ulteriori informazioni sui prezzi di AWS WAF

Visita la pagina dei prezzi
Tutto pronto per cominciare?
Nozioni di base su AWS WAF
Hai altre domande?
Contattaci