Вопросы и ответы

1. Что такое AWS WAF?
AWS WAF – это брандмауэр интернет‑приложений, предназначенный для защиты интернет‑приложений от атак с помощью настройки правил, которые пропускают или блокируют сетевые запросы на основании определенных условий, а также могут осуществлять мониторинг (подсчет) таковых. Эти условия включают в себя IP‑адреса, заголовки и тела HTTP, строки URI, SQL‑инъекции и межсайтовый скриптинг.

2. Каким образом AWS WAF блокирует или пропускает трафик?
Когда базовый сервис получает запросы в адрес веб‑сайтов, он направляет их в AWS WAF для проверки на соответствие установленным правилам. Если запрос отвечает условию, установленному правилами, AWS WAF дает базовому сервису инструкции заблокировать или пропустить этот запрос, в соответствии с назначенным в правилах действием.

3. Каким образом AWS WAF защищает веб‑сайт или приложение?
AWS WAF тесно интегрирован с Amazon CloudFront и Application Load Balancer (ALB) – теми сервисами, которые клиенты AWS обычно используют для доставки контента для своих веб‑сайтов и приложений. При использовании AWS WAF в сочетании с Amazon CloudFront правила работают во всех периферийных местоположениях AWS, расположенных по всему миру вблизи конечных пользователей. Это означает, что безопасность обеспечивается без ущерба производительности. Заблокированные запросы перехватываются до того, как достигают веб‑серверов. При использовании AWS WAF в сочетании с Application Load Balancer правила работают в одном регионе и могут обеспечивать защиту как внутренних балансировщиков нагрузки, так и балансировщиков нагрузки с выходом в Интернет.

4. Можно ли использовать AWS WAF для защиты веб‑сайтов, размещенных не на AWS?
Да, AWS WAF интегрирован с Amazon CloudFront, который поддерживает пользовательские источники за пределами облака AWS.

5. Защиту от каких типов атак может обеспечить AWS WAF?
AWS WAF способен защищать веб‑сайты от широко распространенных способов атаки типа SQL‑инъекций и межсайтового скриптинга (XSS). Кроме того, можно создать правила, которые способны блокировать атаки от специфических пользовательских агентов, ненужных ботов или контент‑скрейперов. Примеры см. в Руководстве разработчика по AWS WAF.

6. Можно ли получить историю всех вызовов API AWS WAF, сделанных из моего аккаунта, в целях аудита использования, безопасности или соответствия требованиям?
Да. Для сохранения истории всех вызовов API AWS WAF своего аккаунта включите сервис AWS CloudTrail в соответствующем разделе Консоли управления AWS. Для получения подробных сведений посетите главную страницу сервиса AWS CloudTrail или ознакомьтесь с Руководством разработчика по AWS WAF.

7. Поддерживает ли AWS WAF протокол IPv6?
Да, поддержка IPv6 позволяет AWS WAF обрабатывать запросы HTTP / HTTPS с адресов IPv6 и IPv4.

8. Поддерживает ли условие совпадения IPSet для правила AWS WAF протокол IPv6?
Да, для новых и существующих сетевых списков ACL могут быть созданы новые условия совпадения с IPv6 в соответствии с документацией.

9. Можно ли ожидать появления адреса IPv6 в образцах запросов AWS WAF (если применимо)?
Да. В пробных запросах будут отображаться адреса IPv6 (если применимо).

10. Можно ли использовать IPv6 со всеми возможностями AWS WAF?
Да. Все существующие возможности работы с трафиком поддерживают IPv6 и IPv4 без каких‑либо различий в эффективности, масштабируемости и доступности сервисов.

11. Работу с какими сервисами поддерживает AWS WAF?
AWS WAF можно развертывать поверх сервисов Amazon CloudFront, Application Load Balancer (ALB) и Amazon API Gateway. При развертывании поверх Amazon CloudFront этот сервис может использоваться в рамках сети доставки контента (CDN) для защиты ресурсов и контента в периферийных местоположениях. При развертывании поверх Application Load Balancer этот сервис защищает серверы‑источники, расположенные за ALB. При развертывании поверх Amazon API Gateway AWS WAF помогает защитить API REST и обеспечить его безопасное использование.

12. В каких регионах доступен сервис AWS WAF для ALB?
AWS WAF для ALB доступен в следующих регионах AWS.

13. Соответствует ли AWS WAF требованиям HIPAA?

Да, AWS расширила свою программу соответствия требованиям HIPAA. Теперь сервис AWS WAF соответствует требованиям HIPAA. Если вы заключили с AWS договор делового партнерства (BAA), можно использовать AWS WAF для защиты интернет‑приложений от распространенных сетевых эксплойтов. Подробнее см. на странице Соответствие требованиям HIPAA.

14. Каковы принципы оплаты использования AWS WAF? Требуются ли авансовые платежи?

Стоимость сервиса AWS WAF зависит от количества созданных списков управления доступом (ACL) для сети, количества правил, добавленных для этих списков ACL, и количества получаемых сетевых запросов. Авансовые обязательства отсутствуют. Плата за использование сервиса AWS WAF начисляется в дополнение к стоимости сервисов Amazon CloudFront, Application Load Balancer (ALB) и /или Amazon API Gateway.

15. Что представляет собой правило AWS WAF, основанное на частоте запросов?

Правила, основанные на частоте запросов, – это новый тип правил, которые можно настроить в AWS WAF. Они дают возможность указать количество веб‑запросов, разрешенных для IP‑адреса клиента за непрерывный, постоянно обновляемый 5‑минутный интервал времени. Если запросы IP‑адреса превышают установленное предельное значение, новые запросы будут заблокированы до тех пор, пока частота запросов не окажется ниже установленного порогового значения.

16. Чем правило, основанное на частоте запросов, отличается от обычных правил AWS WAF?

Правила, основанные на частоте запросов, аналогичны обычным правилам, с одним дополнением: есть возможность настроить пороговое значение частоты запросов. Если, например, пороговое значение для правила, основанного на частоте запросов, равно 2000, правило блокирует все IP‑адреса, которые выполнили более 2000 запросов за последний 5‑минутный интервал. Правило, основанное на частоте запросов, может также содержать любое другое условие AWS WAF, доступное для обычных правил.

17. Сколько стоит правило, основанное на частоте запросов?

Правило, основанное на частоте запросов, стоит столько же, сколько и обычное правило AWS WAF, то есть 1 USD за каждое правило из каждого сетевого списка ACL в месяц.

18. Каковы примеры использования правила, основанного на частоте запросов?

Вот некоторые распространенные примеры использования клиентами правил, основанных на частоте запросов.

• Требуется заносить в список запрещенных или вести подсчет IP‑адресов, которые превышают установленную пороговую частоту запросов (количество веб‑запросов в течение непрерывного 5‑минутного периода).
• Требуется знать, какие IP‑адреса заносятся в список запрещенных из‑за превышения установленной пороговой частоты запросов.
• Требуется, чтобы IP‑адреса, которые были добавлены в список запрещенных, автоматически удалялись из него, если они перестают превышать установленную пороговую частоту запросов.
• Требуется, чтобы определенные диапазоны IP‑адресов источника с интенсивным трафиком не заносились в список запрещенных по правилам, основанным на частоте запросов.

19. Совместимы ли существующие условия соответствия с правилом, основанным на частоте запросов?

Да. Правила, основанные на частоте запросов, совместимы с существующими условиями соответствия AWS WAF. Это позволяет дополнительно уточнить критерии соответствия и применить основанные на частоте запросов ограничения только к конкретным URL‑адресам веб‑сайта клиента или к трафику, поступающему от конкретных источников ссылок (или пользовательских агентов), или добавить другие настраиваемые критерии соответствия.

20. Можно ли использовать правило, основанное на частоте запросов, для нейтрализации DDoS‑атак на сетевом уровне?

Да. Этот новый тип правил был разработан для того, чтобы защитить клиентов от DDoS‑атак на сетевом уровне, от попыток входа в систему методом перебора и от нежелательных ботов.

21. Какие возможности видимости поддерживают правила, основанные на частоте запросов?

Правила, основанные на частоте запросов, поддерживают все возможности видимости, доступные для обычных правил AWS WAF. Кроме того, они обеспечивают видимость IP‑адресов, заблокированных в результате работы правила, основанного на частоте запросов.

22. Можно ли использовать правило, основанное на частоте запросов, для ограничения доступа к определенным частям моей веб‑страницы?

Да. Вот один из примером. Предположим, требуется ограничить количество запросов к странице входа на сайт. Чтобы сделать это, можно добавить в правило, основанное на частоте запросов, следующее условие сравнения строк.

• Строка запроса, по которой будет выполняться фильтрация – «URI».
• Тип совпадения – «Starts with».
• Значение, с которым выполняется сравнение – «/login» (должно быть независимым от того, что именно идентифицирует страницу входа в строке URI веб‑запроса).

Кроме того, следует указать предельное значение частоты запросов, скажем, 15 000 запросов за 5 минут. Добавление этого правила, основанного на частоте запросов, в веб‑список ACL ограничит количество запросов страницы входа, приходящихся на каждый IP‑адрес, не затрагивая остальные страницы сайта.

23. Можно ли блокировать занесение определенных диапазонов IP‑адресов источника трафика в список запрещенных с помощью правил, основанных на частоте запросов?

Да. Это можно сделать, указав условие списка разрешенных для диапазона IP‑адресов в правиле, основанном на частоте запросов.

24. Насколько точна ваша база данных географического распределения IP‑адресов?

Точность отнесения IP‑адреса к какой‑либо стране зависит от региона. По последним данным, общая точность соответствия нашей базы IP‑адресов странам составляет 99,8 %.

1. Что такое управляемые правила AWS WAF?

Управляемые правила AWS WAF – удобный способ развертывания предварительно настроенных правил для защиты приложений от распространенных угроз, таких как уязвимости в приложениях (по данным проекта OWASP), боты или угрозы из общего перечня уязвимостей и рисков (CVE). Все управляемые правила автоматически обновляются продавцами средств безопасности AWS Marketplace.

2. Как оформить подписку на управляемые правила?

Оформить подписку на управляемые правила, предоставляемые продавцами средств безопасности AWS Marketplace, можно из консоли AWS WAF или из AWS Marketplace. Все управляемые правила, на которые оформлена подписка, можно добавлять в сетевой список контроля доступа AWS WAF.

3. Можно ли использовать управляемые правила наряду с существующими правилами AWS WAF?

Да, управляемые правила можно использовать наряду с существующими пользовательскими правилами AWS WAF. Можно добавлять управляемые правила в свой сетевой список контроля доступа AWS WAF, куда уже добавлены другие собственные правила.

4. Управляемое правило содержит несколько правил AWS WAF?

Да, каждое управляемое правило может содержать несколько правил AWS WAF. Количество правил зависит от продавца средств безопасности и соответствующего продукта в Marketplace.

5. Будут ли управляемые правила учитываться в существующем лимите AWS WAF на количество правил?

Количество правил внутри управляемого правила не влияет на лимиты AWS WAF. Однако каждое управляемое правило, добавленное к сетевому списку контроля доступа, будет считаться одним отдельным правилом.

6. Как отключить управляемое правило?

Добавить управляемое правило в сетевой список контроля доступа или удалить его оттуда можно в любой момент. Управляемые правила будут отключены после того, как вы устраните любые связи управляемого правила с сетевыми списками контроля доступа.

7. Как протестировать управляемое правило?

AWS WAF позволяет указать действие подсчета для управляемых правил, в результате которого будет подсчитано количество сетевых запросов, отвечающих условиям правил внутри управляемого правила. Таким образом можно посмотреть на количество сетевых запросов и оценить, сколько запросов будет заблокировано в случае активации управляемого правила.