การลดภัยคุกคามทางเว็บด้วยคลิกเดียวใน Amazon CloudFront

วันนี้คุณสามารถเพิ่มการป้องกันด้วย AWS WAF ให้กับ Amazon CloudFront distributions ได้ด้วยคลิกเดียว ในบทความนี้ เราจะแนะนำคุณ ทั้งส่วนของการตั้งค่า การตรวจสอบการป้องกัน พร้อมด้วยราคาและคำแนะนำด้านความปลอดภัยเพิ่มเติมอีกด้วย

บทความนี้แปลมาจาก Mitigate Common Web Threats with One Click in Amazon CloudFront โดยคุณ David MacDonald และ คุณ Cristian Graziano

บล็อกนี้เกี่ยวข้องกับ Amazon CloudFront ซึ่งเป็นบริการของ AWS ที่คุณสามารถใช้เพื่อส่งข้อมูล วิดีโอ แอปพลิเคชัน และ API ให้กับลูกค้าของคุณทั่วโลกอย่างปลอดภัย โดยมี Latency ต่ำและความเร็วในการถ่ายโอนสูง ซึ่ง Amazon CloudFront ได้มีการปรับปรุงประสิทธิภาพของแอปพลิเคชันทั้งที่เป็นแบบ static และ dynamic โดยการเก็บ cache ของเนื้อหาให้ใกล้กับผู้ใช้ เพิ่มการเชื่อมต่อ TLS ให้ใกล้กับผู้ใช้ และระบุ Routing Request ของผู้ใช้ผ่านเครือข่ายส่วนตัวของ AWS แทนที่จะเป็นเครือข่ายอินเทอร์เน็ตสาธารณะ

เว็บแอปพลิเคชันและ API ที่เข้าถึงได้แบบสาธารณะต้องเผชิญกับภัยคุกคาม เช่น ช่องโหว่ที่เกิดขึ้นโดยทั่วไป ตามที่มีการอธิบายไว้ใน OWASP Top 10 , SQL injection, คำขออัตโนมัติ และ HTTP Floods  (Denial of Service (DoS)) ที่อาจส่งผลต่อความพร้อมใช้งาน การถูกจำกัดการเข้าถึงเนื่องจากความปลอดภัย หรือการใช้ทรัพยากรมากเกินไป. AWS WAF ซึ่งเป็นไฟร์วอลล์เว็บแอปพลิเคชัน วิเคราะห์คำขอที่เข้ามาและช่วยคุณป้องกันภัยคุกคามประเภทเหล่านี้ก่อนที่จะเข้าถึงเซิร์ฟเวอร์ของคุณ คุณสามารถรักษาความปลอดภัยของ CloudFront Distribution ของคุณด้วย AWS WAF ได้โดยการกำหนดค่ารายการควบคุมการเข้าถึงเว็บ (web ACL) ที่มีกฎความปลอดภัยที่คุณควรต้องเปิดใช้งาน

ตอนนี้ CloudFront มีการจัดการการสร้างและกำหนดค่า Web ACL AWS WAF มาพร้อมการป้องกันที่พร้อมใช้งานทันทีซึ่งแนะนำโดย AWS สำหรับแอปพลิเคชันทั้งหมด สิ่งเหล่านี้จะทำให้แอปพลิเคชันของคุณมีการป้องกันชั้นแรกจากภัยคุกคามทางเว็บ การป้องกันความปลอดภัยที่รวมอยู่จะบล็อก IP Address และจากภัยคุกคามที่อาจเกิดขึ้น ตามข้อมูลภัยคุกคามภายในของ Amazon มีการป้องกันช่องโหว่ที่พบบ่อยที่สุดในเว็บแอปพลิเคชันตามที่อธิบายไว้ใน OWASP Top 10 และป้องกันผู้ไม่ประสงค์ดีที่ค้นพบช่องโหว่ของแอปพลิเคชัน คุณสามารถเลือกกำหนดค่าการป้องกันความปลอดภัยเพิ่มเติมในภายหลังจาก Bot และการฉ้อโกงหรือภัยคุกคามอื่นๆ เฉพาะแอปพลิเคชันของคุณในคอนโซล AWS WAF

เริ่มต้นเปิดการป้องกันด้านความปลอดภัยบน Amazon CloudFront ในคลิกเดียว

คุณสามารถเปิดการป้องกันด้านความปลอดภัยด้วย AWS WAF ทั้งกับ Amazon CloudFront Distributions เดิม และ ใหม่

1. 1. เปิด Console Amazon CloudFront
   2. สร้าง Distributions ใหม่ โดยการเลือก Create distribution หลังจากนั้นใส่ Origin ต้นทาง ที่ต้องการป้องกัน หรือสามารถเลือกแก้ไข distribution ที่เคยเปิดมาก่อนแล้ว
   3. ในส่วนของ Web Application Firewall (WAF) เลือก Enable security protections
   4. รีวิวส่วนที่เหลือของการ set distribution และ คลิก Create distribution หรือ Save Settings ในกรณีที่แก้ไข distribution เดิม

รูปที่ 1: แสดงการเปิด การป้องกันด้านความปลอดภัยด้วย AWS WAF สำหรับ distribution

CloudFront จะสร้าง AWS WAF web ACL ซึ่งเป็นการตั้งค่า Rules เพื่อป้องกันจากภัยคุกคามเวปแอปพลิเคชัน และติดตั้ง web ACL เข้ากับ CloudFront distribution สำหรับคุณ เราสามารถที่จะเห็นผล AWS WAF web ACL หลังจากสร้าง หรือ แก้ไข distribution หลังจากนั้นให้เลือกลิงค์ เพื่อเข้าถึง web ACL ภายใน AWS WAF console

รูปที่ 2: รีวิว distribution และ web ACL

ที่แท็บ Overview แสดง requests ที่โดนตรวจจับได้โดยweb ACL

รูปที่ 3 : รีวิว Requests ที่อนุญาต หรือ บล็อก โดย AWS WAF web ACL

เลือกแท็บ Rules เพื่อดูทั้ง 3 rules ที่ถูกสร้างโดยอัตโนมัติโดย CloudFront security protections

1. AWS-AWSManagedRulesAmazonIpReputationList – บล๊อก IP addresses จากภัยคุกคามที่อาจจะเกิดขึ้น โดยใช้ ข้อมูลจาก Amazon internal threat intelligence.
2. AWS-AWSManagedRulesCommonRuleSet – ป้องกันช่องโหว่ที่พบบ่อยที่สุดในเว็บแอปพลิเคชันตามที่อธิบายไว้ใน OWASP Top 10
3. AWS-AWSManagedRulesKnownBadInputsRuleSet – ป้องกันผู้ประสงค์ร้ายที่ค้นพบช่องโหว่ของแอปพลิเคชัน

รูปที่ 4: Web ACL Rules ที่ถูกสร้างโดย CloudFront distribution

การติดตั้งการป้องกันเพิ่มเติม

AWS WAF มี Rules เพิ่มเติมที่คุณสามารถเพิ่มลงใน Web ACL ของคุณเพื่อป้องกันภัยคุกคามทางเว็บประเภทอื่นๆ ซึ่งขึ้นอยู่กับความต้องการของแอปพลิเคชันของคุณ

HTTP floods เป็นการโจมตี DoS ประเภทหนึ่งที่ Flood เว็บแอปพลิเคชันของคุณด้วยคำขอ HTTP จำนวนสูงผิดปกติ ด้วย configuring rate-based rules คุณสามารถบล็อก IP Address ต้นทางที่ Request เกินจำนวนคำขอที่คุณอนุญาตในช่วงเวลาห้านาทีได้

Bot Traffic อาจส่งผลให้ลูกค้าได้รับประสบการณ์ที่ไม่ดี เช่น การสร้าง Transaction บัตรเครดิตปลอม หรือเพิ่มค่าใช้จ่ายการใช้งานโฮสต์ AWS WAF Bot Control สามารถ ตรวจสอบ และ บล๊อก advanced bot traffic ที่ใช้เทคนิคที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับได้

ความพร้อมใช้งานและราคา

การป้องกันด้านความปลอดภัยภายในคลิกเดียวด้วย AWS WAF พร้อมใช้งานแล้วที่ CloudFront console และสามารถติดตั้งทั้งใน CloudFront distributions ใหม่หรือ distributions เดิมได้. สนใจเรียนรู้เพิ่มเติม สามารถดูได้ที่ CloudFront Developer Guide

ราคามาตรฐานของ AWS WAF สามารถใช้งานได้ ซึ่ง AWS WAF web ACL ที่สร้างโดย CloudFront มีค่าใช้จ่ายประมาณ $14 ต่อเดือน สำหรับ 10 million requests ต่อเดือน การเพิ่ม Rules หรือใช้สำหรับ Request ตามปริมาณ สามารถทำให้การประมาณนี้เปลี่ยนแปลงได้ เพื่อดูปริมาณจำนวน Request ทั้งหมด สำหรับ CloudFront distribution ที่มีอยู่ สามารถดูได้ที่รายงาน Cache statistics ภายใต้ส่วนของ Reports & Analytics ของ CloudFront console และสำหรับข้อมูลด้านราคาสามารถดูรายละเอียดได้ที่ AWS WAF Pricing