Perguntas frequentes

1. O que é o AWS WAF?
O AWS WAF é um firewall de aplicativos web que ajuda a proteger aplicativos de ataques por meio da configuração de regras que permitem, bloqueiam ou monitoram (contam) solicitações da web de acordo com condições que você mesmo define. Essas condições incluem endereços IP, cabeçalhos e corpo HTTP, strings de URI, injeção de SQL e cross-site scripting.

2. Como o AWS WAF bloqueia ou permite o tráfego?
Conforme o serviço subjacente recebe solicitações para os sites, envia essas solicitações para o AWS WAF para verificar o cumprimento das regras. Quando uma solicitação cumpre uma condição definida nas regras, o AWS WAF instrui o serviço subjacente para bloquear ou permitir a solicitação, de acordo com a ação definida para a condição.

3. Como o AWS WAF protege sites ou aplicativos web?
O AWS WAF é estreitamente integrado ao Amazon CloudFront e ao Application Load Balancer (ALB), serviços normalmente usados pelos clientes da AWS para entregar conteúdo para sites e aplicativos. Quando você usa o AWS WAF no Amazon CloudFront, suas regras são executadas em todos os pontos de presença da AWS, localizadas em todo o mundo e próximas dos seus usuários finais. Isso significa que a segurança não prejudica a performance. As solicitações bloqueadas são interrompidas antes de elas atingirem os seus servidores web. Quando você usa o AWS WAF no Application Load Balancer, suas regras são executadas na região e podem ser usadas para proteger load balancers voltados à Internet ou a uso interno.

4. Eu posso utilizar o AWS WAF para proteger sites que não estão hospedados na AWS?
Sim, o AWS WAF está integrado com o Amazon CloudFront, que comporta origens personalizadas fora da AWS.

5. Que tipos de ataques o AWS WAF pode ajudar a interromper?
O AWS WAF ajuda a proteger o seu site de técnicas de ataque comuns, como a injeção de SQL e o cross-site scripting (XSS). Além disso, você pode criar regras que possam bloquear ataques de agentes-usuários específicos, bots maliciosos ou content scrapers. Consulte o Guia do desenvolvedor do AWS WAF para ver exemplos.

6. Posso obter um histórico de todas as chamadas de API do AWS WAF realizadas na minha conta para fins de auditoria de segurança, operacional ou de conformidade?
Sim. Para receber um histórico das chamadas de API do AWS WAF efetuadas na sua conta, basta ativar o AWS CloudTrail na seção do CloudTrail no Console de Gerenciamento da AWS. Para obter mais informações, acesse a página inicial do AWS CloudTrail ou consulte o Guia do desenvolvedor do AWS WAF.

7. O AWS WAF é compatível com o IPv6?
Sim. A compatibilidade com o IPv6 permite que o AWS WAF inspecione solicitações HTTP/S recebidas de endereços IPv6 e IPv4.

8. A condição de correspondência IPSet de uma regra do AWS WAF é compatível com o IPv6?
Sim. É possível configurar novas condições de correspondência IPv6 para WebACLs novos e atuais, conforme consta na nossa documentação.

9. Posso esperar ver o endereço IPv6 exibido nas solicitações de exemplo do AWS WAF onde for aplicável?
Sim. As solicitações de exemplo mostrarão o endereço IPv6 onde for aplicável.

10. Posso usar o IPv6 com todos os recursos do AWS WAF?
Sim. Você poderá usar todos os recursos atuais para o tráfego via IPv6 e IPv4 sem nenhuma mudança aparente na performance, na escalabilidade ou na disponibilidade do serviço.

11. Quais os serviços compatíveis com o AWS WAF?
O AWS WAF pode ser implantado nos serviços Amazon CloudFront, Application Load Balancer (ALB) e Amazon API Gateway. Como parte do Amazon CloudFront, o AWS WAF pode integrar uma Content Distribution Network (CDN – Rede de distribuição de conteúdo), protegendo recursos e conteúdo em pontos de presença. Como parte do Application Load Balancer, ele pode proteger servidores web de origem executados por trás de ALBs. Como parte do Amazon API Gateway, ele pode ajudar a proteger APIs REST.

12. Em que regiões o AWS WAF no ALB está disponível?
O AWS WAF no ALB está disponível nas seguintes regiões da AWS.

13. O AWS WAF é qualificado pela HIPAA? 

Sim. A AWS expandiu seu programa de conformidade com a HIPAA para incluir o AWS WAF como um serviço qualificado pela HIPAA. Se você assinou um acordo de associado comercial (BAA) com a AWS, poderá usar o AWS WAF para proteger aplicativos web contra exploits de web comuns. Para obter mais informações, consulte Conformidade com a HIPAA.

14. Como funciona a definição de preço do AWS WAF? Há algum custo inicial?

A cobrança do AWS WAF é feita com base no número de listas de controle de acesso da web (ACLs da web) criadas, no número de regras adicionadas para cada ACL da web e no número de solicitações da web recebidas. Não há compromissos antecipados. As cobranças do AWS WAF são somadas às definições de preço do Amazon CloudFront, do Application Load Balancer (ALB) e do Amazon API Gateway.

15. O que é a regra baseada em taxa do AWS WAF?

As regras baseadas em taxa são um novo tipo de regra que pode ser configurado no AWS WAF. Esse recurso permite especificar o número de solicitações web permitidas por IP de cliente em um período rotativo e continuamente atualizado de cinco minutos. Se um endereço IP exceder o limite configurado, novas solicitações serão bloqueadas até que a taxa caia abaixo desse limite.

16. Qual a diferença entre uma regra baseada em taxa e uma regra normal do AWS WAF?

As regras baseadas em taxa são semelhantes às regras normais, mas podem configurar um limite baseado em taxa. Por exemplo, se um limite da regra baseada em taxa for definido como, digamos, 2.000, a regra bloqueará todos os IPs que fizeram mais de 2.000 solicitações nos últimos cinco minutos. Uma regra baseada em taxa também pode conter qualquer outra condição do AWS WAF disponível para uma regra normal.

17. Qual é o custo da regra baseada em taxa?

Uma regra baseada em taxa custa o mesmo que uma regra normal do AWS WAF, ou seja, 1 USD por regra por WebACL por mês

18. Quais são os casos de uso da regra baseada em taxa?

Veja a seguir alguns casos de uso comuns que podem ser abordados com regras baseadas em taxa:

• Quero incluir na lista de bloqueio ou contar um endereço IP quando ele exceder a taxa de limite configurada (definida como solicitações web nos últimos cinco minutos)
• Quero saber quais endereços IP estão sendo incluídos na lista de bloqueio por excederem a taxa limite configurada
• Quero que endereços IP adicionados à lista de bloqueio sejam removidos automaticamente quando deixarem de exceder a taxa limite configurada
• Quero isentar alguns intervalos IP de origem com alto tráfego da inclusão na lista de bloqueio por regras baseadas em taxa

19. Existem condições de correspondência atuais compatíveis com a regra baseada em taxa?

Sim. As regras baseadas em taxa são compatíveis com as condições de correspondência atuais do AWS WAF. Assim, você pode refinar ainda mais os critérios de correspondência e limitar as mitigações baseadas em taxa a URLs específicos do site ou ao tráfego oriundo de indicadores (ou agentes de usuário) específicos, bem como adicionar outros critérios de correspondência personalizados.

20. Posso usar uma regra baseada em taxa para mitigar ataques DDoS na camada web?

Sim. Esse novo tipo de regra foi criado para proteger contra casos de uso como ataques DDoS na camada web, tentativas de login por força bruta e bots mal-intencionados.

21. Quais os recursos de visibilidade oferecidos pelas regras baseadas em taxa?

As regras baseadas em taxa oferecem suporte a todos os recursos de visibilidade disponíveis atualmente nas regras normais do AWS WAF. Além disso, elas têm visibilidade dos endereços IP bloqueados como resultado da regra baseada em taxa.

22. Posso usar uma regra baseada em taxa para limitar o acesso a determinadas partes de uma página web?

Sim. Veja um exemplo a seguir. Suponha que você queira limitar as solicitações na página de login em um site. Para fazer isso, você precisa adicionar a seguinte condição de correspondência de string a uma regra baseada em taxa:

• A parte da solicitação que deve ser filtrada é “URI”.
• O tipo de correspondência é “Starts with”.
• O valor a ser correspondido é “/login” (algo que identifique a página de login na parte do URI da solicitação web)

Além disso, você pode especificar um limite de taxa de, por exemplo, 15.000 solicitações por cinco minutos. A adição dessa regra baseada em taxa a uma lista de controle de acesso web limitará as solicitações na página de login por endereço IP sem afetar o resto do site.

23. Posso isentar alguns intervalos IP de origem com alto tráfego da inclusão na lista de bloqueio por regras baseadas em taxa?

Sim. Você pode fazer isso com uma condição de lista de permissões de IPs dentro da regra baseada em taxa.

24. Qual é a precisão do banco de dados GeoIP?

A precisão do endereço IP para o banco de dados de pesquisa do país varia por região. Com base em testes recentes, nossa precisão geral do endereço IP para mapeamento de país é de 99,8%.

1. O que são as regras gerenciadas do AWS WAF?

As regras gerenciadas do AWS WAF são uma forma fácil de implantar regras pré-configuradas para proteger aplicativos contra ameaças comuns como OWASP, bots, vulnerabilidades e exposições comuns (CVE – Common Vulnerabilities and Exposures) e outras vulnerabilidades de aplicativos. Todas as regras gerenciadas são atualizadas automaticamente pelos fornecedores de segurança do AWS Marketplace.

2. Como posso fazer uma assinatura das regras gerenciadas?

Você pode assinar uma regra gerenciada disponibilizada por um fornecedor de segurança do Marketplace no console do AWS WAF ou no AWS Marketplace. Todas as regras gerenciadas serão disponibilizadas para adição a uma ACL da web do AWS WAF.

3. Posso usar regras gerenciadas juntamente com as minhas regras atuais do AWS WAF?

Sim. Você pode usar regras gerenciadas juntamente com suas regras personalizadas do AWS WAF. Você pode adicionar regras gerenciadas a uma ACL da web do AWS WAF existente, à qual você talvez já tenha adicionado suas próprias regras.

4. Uma regra gerenciada tem várias regras do AWS WAF?

Sim, cada regra gerenciada pode ter várias regras do AWS WAF. O número de regras depende de cada fornecedor de segurança e de seu produto no Marketplace.

5. As regras gerenciadas serão consideradas no meu limite atual de número de regras do AWS WAF?

O número de regras dentro de uma regra gerenciada não afeta os seus limites do AWS WAF. No entanto, cada regra gerenciada adicionada a uma ACL da web contará como uma regra.

6. Como posso desabilitar uma regra gerenciada?

Você pode adicionar uma regra gerenciada a uma ACL da web ou removê-la da ACL da web a qualquer momento. As regras gerenciadas serão desabilitadas quando você desassociar uma regra gerenciada de qualquer ACL da web.

7. Como posso testar uma regra gerenciada?

O AWS WAF permite que você configure uma ação de “contagem” para uma regra gerenciada. Essa ação conta o número de solicitações da web correspondidas pelas regras dentro da regra gerenciada. Você pode ver o número de solicitações da web contadas para estimar quantas solicitações da web serão bloqueadas se você habilitar a regra gerenciada.