Общие вопросы

1. Что такое AWS WAF?

AWS WAF – это брандмауэр интернет‑приложений, предназначенный для защиты интернет‑приложений от атак с помощью настройки правил, которые пропускают или блокируют сетевые запросы на основании определенных условий, а также могут осуществлять мониторинг (подсчет) таковых. Эти условия включают в себя IP‑адреса, заголовки и тела HTTP, строки URI, SQL‑инъекции и межсайтовый скриптинг.

2. Каким образом AWS WAF блокирует или пропускает трафик?

Когда базовый сервис получает запросы в адрес веб‑сайтов, он направляет их в AWS WAF для проверки на соответствие установленным правилам. Если запрос отвечает условию, установленному правилами, AWS WAF дает базовому сервису инструкции заблокировать или пропустить этот запрос, в соответствии с назначенным в правилах действием.

3. Каким образом AWS WAF защищает веб‑сайт или приложение?

AWS WAF тесно интегрирован с Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway и AWS AppSync – теми сервисами, которые клиенты AWS обычно используют для доставки контента для своих веб‑сайтов и приложений. При использовании AWS WAF в сочетании с Amazon CloudFront правила работают во всех периферийных местоположениях AWS, расположенных по всему миру вблизи конечных пользователей. Это означает, что безопасность обеспечивается без ущерба производительности. Заблокированные запросы перехватываются до того, как достигают веб‑серверов. При использовании AWS WAF в сочетании с региональными сервисами, например Application Load Balancer, Amazon API Gateway и AWS AppSync, правила работают в регионе и могут использоваться для защиты как интернет-ресурсов, так и внутренних ресурсов.

4. Можно ли использовать AWS WAF для защиты веб‑сайтов, размещенных не на AWS?

Да, AWS WAF интегрирован с Amazon CloudFront, который поддерживает пользовательские источники за пределами облака AWS.

5. Защиту от каких типов атак может обеспечить AWS WAF?

AWS WAF способен защищать веб‑сайты от широко распространенных способов атаки типа SQL‑инъекций и межсайтового скриптинга (XSS). Кроме того, можно создать правила, которые способны блокировать атаки от специфических пользовательских агентов, ненужных ботов или контент‑скрейперов. Примеры см. в Руководстве разработчика по AWS WAF.

6. Можно ли получить историю всех вызовов API AWS WAF, сделанных из моего аккаунта, в целях аудита использования, безопасности или соответствия требованиям?

Да. Для сохранения истории всех вызовов API AWS WAF своего аккаунта включите сервис AWS CloudTrail в соответствующем разделе Консоли управления AWS. Для получения подробных сведений посетите главную страницу сервиса AWS CloudTrail или ознакомьтесь с Руководством разработчика по AWS WAF.

7. Поддерживает ли AWS WAF протокол IPv6?

Да, поддержка IPv6 позволяет AWS WAF обрабатывать запросы HTTP / HTTPS с адресов IPv6 и IPv4.

8. Поддерживает ли условие совпадения IPSet для правила AWS WAF протокол IPv6?

Да, для новых и существующих сетевых ACL могут быть созданы новые условия совпадения с адресами IPv6 в соответствии с документацией.

9. Можно ли ожидать появления IPv6 в пробных запросах AWS WAF (если применимо)?

Да. В пробных запросах будут отображаться адреса IPv6 (если применимо).

10. Можно ли использовать IPv6 со всеми возможностями AWS WAF?

Да. Все существующие возможности работы с трафиком поддерживают IPv6 и IPv4 без каких‑либо различий в эффективности, масштабируемости и доступности сервисов.

11. Работу с какими сервисами поддерживает AWS WAF?

AWS WAF можно развертывать поверх сервисов Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway и AWS AppSync. При развертывании поверх Amazon CloudFront этот сервис может использоваться в рамках сети доставки контента (CDN) для защиты ресурсов и контента в периферийных местоположениях. При развертывании поверх Application Load Balancer этот сервис защищает серверы‑источники, расположенные за ALB. При развертывании поверх Amazon API Gateway AWS WAF помогает защитить API REST и обеспечить его безопасное использование. А при развертывании поверх AWS AppSync – защитить и обеспечить безопасное использование API GraphQL.

12. В каких регионах AWS доступен сервис AWS WAF?

См. таблицу Сервисы в регионах AWS.

13. Соответствует ли AWS WAF требованиям HIPAA?

Да, AWS расширила свою программу соответствия требованиям HIPAA. Теперь сервис AWS WAF соответствует требованиям HIPAA. Если вы заключили с AWS договор делового партнерства (BAA), можно использовать AWS WAF для защиты интернет‑приложений от распространенных сетевых эксплойтов. Подробнее см. на странице Соответствие требованиям HIPAA.

14. Каковы принципы оплаты использования AWS WAF? Требуются ли авансовые платежи?

Стоимость сервиса AWS WAF зависит от количества созданных списков управления доступом (ACL) для сети, количества правил, добавленных для этих списков ACL, и количества получаемых сетевых запросов. Авансовые обязательства отсутствуют. Плата за использование сервиса AWS WAF начисляется в дополнение к стоимости сервисов Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway и (или) AWS AppSync.

15. Что представляет собой правило AWS WAF, основанное на частоте запросов?

Правила, основанные на частоте запросов, можно настроить в AWS WAF. Они дают возможность указать количество веб‑запросов, разрешенных для IP‑адреса клиента за непрерывный, постоянно обновляемый 5‑минутный интервал времени. Если запросы IP‑адреса превышают установленное предельное значение, новые запросы будут заблокированы до тех пор, пока частота запросов не окажется ниже установленного порогового значения.

16. Чем правило, основанное на частоте запросов, отличается от обычных правил AWS WAF?

Правила, основанные на частоте запросов, аналогичны обычным правилам, с одним дополнением: есть возможность настроить пороговое значение частоты запросов. Если, например, пороговое значение для правила, основанного на частоте запросов, равно 2000, правило блокирует все IP‑адреса, которые выполнили более 2000 запросов за последний 5‑минутный интервал. Правило, основанное на частоте запросов, может также содержать любое другое условие AWS WAF, доступное для обычных правил.

17. Сколько стоит правило, основанное на частоте запросов?

Правило, основанное на частоте запросов, стоит столько же, сколько и обычное правило AWS WAF, то есть 1 USD за каждое правило из каждого сетевого списка ACL в месяц.

18. Каковы примеры использования правила, основанного на частоте запросов?

Вот некоторые распространенные примеры использования клиентами правил, основанных на частоте запросов.

  • Требуется блокировать или вести подсчет IP‑адресов, которые превышают установленную пороговую частоту запросов (количество веб‑запросов в течение непрерывного 5‑минутного периода).
  • Требуется знать, какие IP‑адреса блокируются из‑за превышения установленной пороговой частоты запросов.
  • Требуется, чтобы IP‑адреса, которые были внесены в список блокировки, автоматически удалялись из него, если они перестают превышать установленную пороговую частоту запросов.
  • Требуется, чтобы определенные диапазоны IP‑адресов источника с интенсивным трафиком не блокировались по правилам, основанным на частоте запросов.

19. Совместимы ли существующие условия соответствия с правилом, основанным на частоте запросов?

Да. Правила, основанные на частоте запросов, совместимы с существующими условиями соответствия AWS WAF. Это позволяет дополнительно уточнить критерии соответствия и применить основанные на частоте запросов ограничения только к конкретным URL‑адресам веб‑сайта клиента или к трафику, поступающему от конкретных источников ссылок (или пользовательских агентов), или добавить другие настраиваемые критерии соответствия.

20. Можно ли использовать правило, основанное на частоте запросов, для нейтрализации DDoS‑атак на сетевом уровне?

Да. Этот новый тип правил был разработан для того, чтобы защитить клиентов от DDoS‑атак на сетевом уровне, от попыток входа в систему методом перебора и от нежелательных ботов.

21. Какие возможности видимости поддерживают правила, основанные на частоте запросов?

Правила, основанные на частоте запросов, поддерживают все возможности видимости, доступные для обычных правил AWS WAF. Кроме того, они обеспечивают видимость IP‑адресов, заблокированных в результате работы правила, основанного на частоте запросов.

22. Можно ли использовать правило, основанное на частоте запросов, для ограничения доступа к определенным частям моей веб‑страницы?

Да. Вот один из примером. Предположим, требуется ограничить количество запросов к странице входа на сайт. Чтобы сделать это, можно добавить в правило, основанное на частоте запросов, следующее условие сравнения строк.

  • Строка запроса, по которой будет выполняться фильтрация – «URI».
  • Тип совпадения – «Starts with».
  • Значение, с которым выполняется сравнение – «/login» (должно быть независимым от того, что именно идентифицирует страницу входа в строке URI веб‑запроса).

Кроме того, следует указать предельное значение частоты запросов, скажем, 15 000 запросов за 5 минут. Добавление этого правила, основанного на частоте запросов, в веб‑список ACL ограничит количество запросов страницы входа, приходящихся на каждый IP‑адрес, не затрагивая остальные страницы сайта.

23. Можно ли освободить от блокировки определенные диапазоны IP‑адресов источника трафика с помощью правил, основанных на частоте запросов?

Да. Это можно сделать, задав отдельное условие соответствия IP-адреса, которое разрешает запрос для правила, основанного на частоте запросов.

24. Насколько точна ваша база данных географического распределения IP‑адресов?

Точность отнесения IP‑адреса к какой‑либо стране зависит от региона. По последним данным, общая точность соответствия нашей базы IP‑адресов странам составляет 99,8 %. 

Управляемые правила AWS WAF

1. Что такое управляемые правила AWS WAF?

Управляемые правила – это удобный способ развертывания предварительно настроенных правил для защиты приложений от распространенных угроз, таких как уязвимости в приложениях (по данным проекта OWASP), боты или угрозы из общего перечня уязвимостей и рисков (CVE). Управляемые правила AWS для AWS WAF управляются AWS, тогда как управляемые правила AWS Marketplace – сторонними продавцами средств безопасности.

2. Как оформить подписку на управляемые правила в AWS Marketplace?

Оформить подписку на управляемые правила, предоставляемые продавцами средств безопасности AWS Marketplace, можно из консоли AWS WAF или из AWS Marketplace. Все управляемые правила, на которые оформлена подписка, можно добавлять в сетевой список контроля доступа AWS WAF.

3. Можно ли использовать управляемые правила наряду с существующими правилами AWS WAF?

Да, управляемые правила можно использовать наряду с существующими пользовательскими правилами AWS WAF. Можно добавлять управляемые правила в свой сетевой список контроля доступа AWS WAF, куда уже добавлены другие собственные правила.

4. Будут ли управляемые правила учитываться в существующем лимите AWS WAF на количество правил?

Количество правил внутри управляемого правила не влияет на лимит. Но каждое управляемое правило, добавленное к сетевому списку контроля доступа, будет считаться одним отдельным правилом.

5. Как отключить управляемое правило?

Добавить управляемое правило в сетевой список контроля доступа или удалить его оттуда можно в любой момент. Управляемые правила будут отключены после того, как вы устраните любые связи управляемого правила с сетевыми списками контроля доступа.

6. Как протестировать управляемое правило?

AWS WAF позволяет указать действие подсчета для управляемых правил, в результате которого будет подсчитано количество сетевых запросов, отвечающих условиям правил внутри управляемого правила. Таким образом можно посмотреть на количество сетевых запросов и оценить, сколько запросов будет заблокировано в случае активации управляемого правила.

Конфигурация AWS WAF

1. Можно ли настроить собственные страницы ошибок?

Да, можно настроить CloudFront для выдачи пользовательских страниц ошибок при блокировке запроса. Подробнее см. в Руководстве разработчика по CloudFront.

2. Сколько времени занимает у AWS WAF применение пользовательских правил?

После первоначальной настройки добавление или изменение правил обычно применяется по всему миру примерно через минуту.

3. Как убедиться, что правила работают?

В AWS WAF предусмотрено два разных способа контролировать защиту веб‑сайта: поминутные метрики доступны в CloudWatch, а образцы сетевых запросов доступны в API AWS WAF или через консоль управления. Это позволяет увидеть, какие запросы были заблокированы, пропущены или подсчитаны и какое правило сработало на конкретный запрос (например, что данный запрос был заблокирован по IP‑адресу и т. п.). Подробные сведения см. в Руководстве по AWS WAF для разработчиков.

4. Как можно протестировать свои правила?

AWS WAF позволяет указать действие подсчета для правил, в результате которого будет подсчитано количество сетевых запросов, которые отвечают условиям правил. Таким образом можно предварительно посмотреть на количество сетевых запросов и оценить, сколько запросов будет заблокировано или пропущено в случае активации конкретного правила.

5. Как долго хранятся метрики реального времени и образцы сетевых запросов?

Метрики реального времени хранятся в Amazon CloudWatch. Сервис Amazon CloudWatch позволяет настроить период времени, в течение которого хранятся записи о событиях. Образцы сетевых запросов сохраняются до 2 часов.

6. Может ли AWS WAF контролировать трафик HTTPS?

Да. AWS WAF способен защищать приложения и может контролировать сетевые запросы по протоколам HTTP или HTTPS.

Подробнее о ценах на AWS WAF

Перейти на страницу цен
Готовы приступить к разработке?
Начать работу с AWS WAF
Возникли дополнительные вопросы?
Свяжитесь с нами