Вопросы и ответы по AWS WAF

Что такое AWS WAF?

AWS WAF – это брандмауэр интернет‑приложений, предназначенный для защиты интернет‑приложений от атак с помощью настройки правил, которые пропускают или блокируют сетевые запросы на основании определенных условий, а также могут осуществлять мониторинг (подсчет) таковых. Эти условия включают в себя IP‑адреса, заголовки и тела HTTP, строки URI, SQL‑инъекции и межсайтовый скриптинг.

Каким образом AWS WAF блокирует или пропускает трафик?

Когда базовый сервис получает запросы в адрес веб‑сайтов, он направляет их в AWS WAF для проверки на соответствие установленным правилам. Если запрос отвечает условию, установленному правилами, AWS WAF дает базовому сервису инструкции заблокировать или пропустить этот запрос, в соответствии с назначенным в правилах действием.

Каким образом AWS WAF защищает веб‑сайт или приложение?

AWS WAF тесно интегрирован с Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway и AWS AppSync – теми сервисами, которые клиенты AWS обычно используют для доставки контента для своих веб‑сайтов и приложений. При использовании AWS WAF в сочетании с Amazon CloudFront правила работают во всех периферийных местоположениях AWS, расположенных по всему миру вблизи конечных пользователей. Это означает, что безопасность обеспечивается без ущерба производительности. Заблокированные запросы перехватываются до того, как достигают веб‑серверов. При использовании AWS WAF в сочетании с региональными сервисами, например Application Load Balancer, Amazon API Gateway и AWS AppSync, правила работают в регионе и могут использоваться для защиты как интернет-ресурсов, так и внутренних ресурсов.

Можно ли использовать AWS WAF для защиты веб‑сайтов, размещенных не на AWS?

Да, AWS WAF интегрирован с Amazon CloudFront, который поддерживает пользовательские источники за пределами облака AWS.

Защиту от каких типов атак может обеспечить AWS WAF?

AWS WAF способен защищать веб‑сайты от широко распространенных способов атаки типа SQL‑инъекций и межсайтового скриптинга (XSS). Кроме того, вы можете создавать правила для блокировки или ограничения частоты запросов от определенных браузеров, IP-адресов или содержащего определенные заголовки запросов. Примеры см. в Руководстве разработчика по AWS WAF.

Какие возможности ограничения активности ботов доступны в AWS WAF?

Контроль ботов AWS WAF дает вам видимость и контроль над общим и первазивным трафиком ботов, направленным к вашим приложениям. С помощью функции контроля ботов вы можете легко отслеживать и блокировать первазивных ботов, таких как скреперы, анализаторы и сканеры, или ограничивать частоту их запросов, а также разрешать запросы от обычных ботов, таких как мониторы состояния и поисковые движки. Управляемую группу правил функции контроля ботов можно использовать наряду с другими управляемыми правилами для WAF или с собственным правилами WAF для защиты своих приложений. См. раздел Контроль ботов в AWS WAF в руководстве разработчика. 

Можно ли получить историю всех вызовов API AWS WAF, сделанных из моего аккаунта, в целях аудита использования, безопасности или соответствия требованиям?

Да. Для сохранения истории всех вызовов API AWS WAF своего аккаунта включите сервис AWS CloudTrail в соответствующем разделе Консоли управления AWS. Для получения подробных сведений посетите главную страницу сервиса AWS CloudTrail или ознакомьтесь с Руководством разработчика по AWS WAF.

Поддерживает ли AWS WAF протокол IPv6?

Да, поддержка IPv6 позволяет AWS WAF обрабатывать запросы HTTP/HTTPS с адресов IPv6 и IPv4.

Поддерживает ли условие совпадения IPSet для правила AWS WAF протокол IPv6?

Да, для новых и существующих сетевых ACL могут быть созданы новые условия совпадения с адресами IPv6 в соответствии с документацией.

Можно ли ожидать появления адреса IPv6 в образцах запросов AWS WAF (если применимо)?

Да. В пробных запросах будут отображаться адреса IPv6 (если применимо).

Можно ли использовать IPv6 со всеми возможностями AWS WAF?

Да. Все существующие возможности работы с трафиком поддерживают IPv6 и IPv4 без каких‑либо различий в эффективности, масштабируемости и доступности сервисов.

Работу с какими сервисами поддерживает AWS WAF?

AWS WAF можно развертывать поверх сервисов Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway и AWS AppSync. При развертывании поверх Amazon CloudFront этот сервис может использоваться в рамках сети доставки контента (CDN) для защиты ресурсов и контента в периферийных местоположениях. При развертывании поверх Application Load Balancer этот сервис защищает серверы‑источники, расположенные за ALB. При развертывании поверх Amazon API Gateway AWS WAF помогает защитить API REST и обеспечить его безопасное использование. А при развертывании поверх AWS AppSync – защитить и обеспечить безопасное использование API GraphQL.

В каких регионах AWS доступен сервис AWS WAF?

См. таблицу Сервисы в регионах AWS.

Соответствует ли AWS WAF требованиям HIPAA?

Да, AWS расширила свою программу соответствия требованиям HIPAA. Теперь сервис AWS WAF соответствует требованиям HIPAA. Если вы заключили с AWS договор делового партнерства (BAA), можно использовать AWS WAF для защиты интернет‑приложений от распространенных сетевых эксплойтов. Подробнее см. на странице Соответствие требованиям HIPAA.

Каковы принципы оплаты использования AWS WAF? Требуются ли авансовые платежи?

Стоимость сервиса AWS WAF зависит от количества созданных списков управления доступом (ACL) для сети, количества правил, добавленных для этих списков ACL, и количества получаемых сетевых запросов. Авансовые обязательства отсутствуют. Плата за использование сервиса AWS WAF начисляется в дополнение к стоимости сервисов Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway и (или) AWS AppSync.

Что представляет собой правило AWS WAF, основанное на частоте запросов?

Правила, основанные на частоте запросов, можно настроить в AWS WAF. Они дают возможность указать количество веб‑запросов, разрешенных для IP‑адреса клиента за непрерывный, постоянно обновляемый 5‑минутный интервал времени. Если запросы IP‑адреса превышают установленное предельное значение, новые запросы будут заблокированы до тех пор, пока частота запросов не окажется ниже установленного порогового значения.

Чем правило, основанное на частоте запросов, отличается от обычных правил AWS WAF?

Правила, основанные на частоте запросов, аналогичны обычным правилам, с одним дополнением: есть возможность настроить пороговое значение частоты запросов. Если, например, пороговое значение для правила, основанного на частоте запросов, равно 2000, правило блокирует все IP‑адреса, которые выполнили более 2000 запросов за последний 5‑минутный интервал. Правило, основанное на частоте запросов, может также содержать любое другое условие AWS WAF, доступное для обычных правил.

Сколько стоит правило, основанное на частоте запросов?

Правило, основанное на частоте запросов, стоит столько же, сколько и обычное правило AWS WAF, то есть 1 USD за каждое правило из каждого сетевого списка ACL в месяц.

Каковы примеры использования правила, основанного на частоте запросов?

Вот некоторые распространенные примеры использования клиентами правил, основанных на частоте запросов.

• Требуется блокировать или вести подсчет IP‑адресов, которые превышают установленную пороговую частоту запросов (количество веб‑запросов в течение непрерывного 5‑минутного периода).
• Требуется знать, какие IP‑адреса блокируются из‑за превышения установленной пороговой частоты запросов.
• Требуется, чтобы IP‑адреса, которые были внесены в список блокировки, автоматически удалялись из него, если они перестают превышать установленную пороговую частоту запросов.
• Требуется, чтобы определенные диапазоны IP‑адресов источника с интенсивным трафиком не блокировались по правилам, основанным на частоте запросов.
  

Совместимы ли существующие условия соответствия с правилом, основанным на частоте запросов?

Да. Правила, основанные на частоте запросов, совместимы с существующими условиями соответствия AWS WAF. Это позволяет дополнительно уточнить критерии соответствия и применить основанные на частоте запросов ограничения только к конкретным URL‑адресам веб‑сайта клиента или к трафику, поступающему от конкретных источников ссылок (или пользовательских агентов), или добавить другие настраиваемые критерии соответствия.

Можно ли использовать правило, основанное на частоте запросов, для нейтрализации DDoS‑атак на сетевом уровне?

Да. Этот новый тип правил был разработан для того, чтобы защитить клиентов от DDoS‑атак на сетевом уровне, от попыток входа в систему методом перебора и от нежелательных ботов.

Какие возможности видимости поддерживают правила, основанные на частоте запросов?

Правила, основанные на частоте запросов, поддерживают все возможности видимости, доступные для обычных правил AWS WAF. Кроме того, они обеспечивают видимость IP‑адресов, заблокированных в результате работы правила, основанного на частоте запросов.

Можно ли использовать правило, основанное на частоте запросов, для ограничения доступа к определенным частям моей веб‑страницы?

Да. Вот один из примером. Предположим, требуется ограничить количество запросов к странице входа на сайт. Чтобы сделать это, можно добавить в правило, основанное на частоте запросов, следующее условие сравнения строк.

• Строка запроса, по которой будет выполняться фильтрация – «URI».
  
• Тип совпадения – «Starts with».
  
• Значение, с которым выполняется сравнение – «/login» (должно быть независимым от того, что именно идентифицирует страницу входа в строке URI веб‑запроса).
  

Кроме того, следует указать предельное значение частоты запросов, скажем, 15 000 запросов за 5 минут. Добавление этого правила, основанного на частоте запросов, в веб‑список ACL ограничит количество запросов страницы входа, приходящихся на каждый IP‑адрес, не затрагивая остальные страницы сайта.

Можно ли освободить от блокировки определенные диапазоны IP‑адресов источника трафика с помощью правил, основанных на частоте запросов?

Да. Это можно сделать, задав отдельное условие соответствия IP-адреса, которое разрешает запрос для правила, основанного на частоте запросов.

Насколько точна ваша база данных географического распределения IP‑адресов?

Точность отнесения IP‑адреса к какой‑либо стране зависит от региона. По последним данным, общая точность соответствия нашей базы IP‑адресов странам составляет 99,8 %. 

Что такое управляемые правила AWS WAF?

Управляемые правила – это удобный способ развертывания предварительно настроенных правил для защиты приложений от распространенных угроз, таких как уязвимости в приложениях (по данным проекта OWASP), боты или угрозы из общего перечня уязвимостей и рисков (CVE). Управляемые правила AWS для AWS WAF управляются AWS, тогда как управляемые правила AWS Marketplace – сторонними продавцами средств безопасности.

Как оформить подписку на управляемые правила в AWS Marketplace?

Оформить подписку на управляемые правила, предоставляемые продавцами средств безопасности AWS Marketplace, можно из консоли AWS WAF или из AWS Marketplace. Все управляемые правила, на которые оформлена подписка, можно добавлять в сетевой список контроля доступа AWS WAF.

Можно ли использовать управляемые правила наряду с существующими правилами AWS WAF?

Да, управляемые правила можно использовать наряду с существующими пользовательскими правилами AWS WAF. Можно добавлять управляемые правила в свой сетевой список контроля доступа AWS WAF, куда уже добавлены другие собственные правила.

Будут ли управляемые правила учитываться в существующем лимите AWS WAF на количество правил?

Количество правил внутри управляемого правила не влияет на лимит. Но каждое управляемое правило, добавленное к сетевому списку контроля доступа, будет считаться одним отдельным правилом.

Как отключить управляемое правило?

Добавить управляемое правило в сетевой список контроля доступа или удалить его оттуда можно в любой момент. Управляемые правила будут отключены после того, как вы устраните любые связи управляемого правила с сетевыми списками контроля доступа.

Как протестировать управляемое правило?

AWS WAF позволяет указать действие подсчета для управляемых правил, в результате которого будет подсчитано количество сетевых запросов, отвечающих условиям правил внутри управляемого правила. Таким образом можно посмотреть на количество сетевых запросов и оценить, сколько запросов будет заблокировано в случае активации управляемого правила.

Можно ли настроить собственные страницы ошибок?

Да, можно настроить CloudFront для выдачи пользовательских страниц ошибок при блокировке запроса. Подробнее см. в Руководстве разработчика по CloudFront

Сколько времени занимает у AWS WAF применение пользовательских правил?

После первоначальной настройки добавление или изменение правил обычно применяется по всему миру примерно через минуту.

Как убедиться, что правила работают?

В AWS WAF предусмотрено два разных способа контролировать защиту веб‑сайта: поминутные метрики доступны в CloudWatch, а образцы сетевых запросов доступны в API AWS WAF или через консоль управления. Это позволяет увидеть, какие запросы были заблокированы, пропущены или подсчитаны и какое правило сработало на конкретный запрос (например, что данный запрос был заблокирован по IP‑адресу и т. п.). Подробные сведения см. в Руководстве по AWS WAF для разработчиков.

Как можно протестировать свои правила?

AWS WAF позволяет указать действие подсчета для правил, в результате которого будет подсчитано количество сетевых запросов, которые отвечают условиям правил. Таким образом можно предварительно посмотреть на количество сетевых запросов и оценить, сколько запросов будет заблокировано или пропущено в случае активации конкретного правила.

Как долго хранятся метрики реального времени и образцы сетевых запросов?

Метрики реального времени хранятся в Amazon CloudWatch. Сервис Amazon CloudWatch позволяет настроить период времени, в течение которого хранятся записи о событиях. Образцы сетевых запросов сохраняются до 3 часов.

Может ли AWS WAF контролировать трафик HTTPS?

Да. AWS WAF способен защищать приложения и может контролировать сетевые запросы по протоколам HTTP или HTTPS.

Что такое защита от завладения аккаунтом?

Защита от завладения аккаунтом (ATP) – это управляемая группа правил, которые отслеживают трафик страницы входа в приложении и выявляют несанкционированный доступ к аккаунтам пользователей с помощью скомпрометированных учетных данных. ATP можно использовать для предотвращения атак с использованием учетных данных, попыток входа методом перебора и других аномальных действий при входе в систему. При попытке входа в приложение ATP в режиме реального времени проверяет, не были ли предоставленные имена пользователей и пароли скомпрометированы где-либо в Интернете. Проверяя аномальные попытки входа в систему от злоумышленников, ATP сопоставляет историю запросов и помогает выявить попытки перебора и атак с вбросом учетных данных и устранить их последствия. ATP также предлагает дополнительные пакеты SDK JavaScript и iOS/Android, которые можно интегрировать в приложение, чтобы получить данные телеметрии пользовательских устройств, с которых выполняется попытка входа, и обеспечить лучшую защиту от автоматических попыток входа ботов.

Как защита от завладения аккаунтом обеспечивает безопасность проверяемых учетных данных?

Трафик между пользовательскими устройствами и приложением защищен протоколом SSL/TLS, который настраивается в сервисе AWS, используемого для взаимодействия с приложением, такого как Amazon CloudFront, Application Load Balancer, Amazon API Gateway или AWS AppSync. Как только учетные данные пользователя попадают в AWS WAF, сервис проверяет их, а затем немедленно хэширует и удаляет, и информация никогда не покидает сеть AWS. Любое взаимодействие между сервисами AWS, используемыми в приложении, и AWS WAF шифруется при передаче и во время хранения.

Как соотносятся защита от завладения аккаунтом и контроль ботов?

Контроль ботов обеспечивает видимость и контроль над трафиком обычных и первазивных ботов, которые могут потреблять ресурсы, отклонять метрики, вызывать простои и оказывать другое нежелательное влияние. Контроль ботов проверяет различные поля заголовка и свойства запроса на признаки поведения ботов, выявляя и классифицируя автоматизированных ботов, таких как скреперы, анализаторы и сканеры.

Защита от завладения аккаунтом (ATP) позволяет видеть и контролировать аномальные попытки входа со стороны злоумышленников, использующих скомпрометированные учетные данные, помогая предотвращать несанкционированный доступ, за которым могут последовать мошеннические действия. ATP применяется для защиты страницы входа в приложение.

Контроль ботов и защиту от завладения аккаунтом можно использовать отдельно друг от друга или вместе. Как и в случае с управляемыми группами правил контроля ботов, по умолчанию ATP может использовать правило для блокировки соответствующих запросов, либо можно настроить поведение ATP с помощью функциональных возможностей устранения последствий AWS WAF.

Как начать работу с защитой от завладения аккаунтом и AWS WAF?

Создайте веб-список ACL в консоли AWS WAF или измените существующий веб-список, если вы уже используете AWS WAF. При необходимости мастер настройки поможет задать основные параметры, например, какой ресурс вы хотите защитить и какие правила добавить. Для добавления правил выберите Add Managed Rules (Добавить управляемые правила), а затем в списке правил выберите Account Creation Fraud Prevention (Предотвращение мошенничества при создании аккаунта). Чтобы настроить ATP, введите URL-адрес страницы входа приложения и укажите место в теле запроса, где расположены поля с именем пользователя и паролем.

Какие преимущества дают пакеты SDK для JavaScript или Mobile?

Пакеты SDK для JavaScript и Mobile предоставляют дополнительную телеметрию устройств, с которых выполняется попытка входа в приложение, чтобы обеспечить лучшую защиту от автоматических попыток входа ботов. Использование пакетов SDK не обязательно, но мы рекомендуем применять их для дополнительной защиты.

Как настроить поведение защиты от завладения аккаунтом по умолчанию?

Когда ATP выявляет, что учетные данные пользователя были скомпрометированы, то создает метку для обозначения совпадения. По умолчанию AWS WAF автоматически блокирует попытки входа, которые считает вредоносными или аномальными (например, аномальное количество неудачных попыток входа в систему, повторяющиеся нарушения и попытки входа ботов). Поведение AWS WAF и действия при совпадении можно изменить, указав правила AWS WAF для реакции на метку.