解決 OWASP Top 10 風險

OWASP Top 10 是針對開發人員與 Web 應用程式安全性的標準意識文件。其代表針對 Web 應用程式最重要安全性風險的廣泛共識。OWASP Top 10 風險可透過 AWS 提供的工具與指引來解決。例如，Well Architected Framework 的安全性支柱可協助公司組建安全設計。AWS WAF 是重要工具，可針對 OWASP Top 10 所列部分風險作為第一層防禦。

解決 OWASP Top 10 風險的第一步是針對應用程式面臨的威脅建立模型。例如，您需要識別與應用程式相關的威脅。SQLi 威脅主要與具有 SQL 資料庫的應用程式相關。然後，應針對每項威脅考慮要如何加以減輕 (例如採用哪種工具、到哪個層級…)。OWASP Top 10 包括可針對應用程式解決的威脅，例如 CORS 組態與其他安全性 header、身分驗證與權限管理、CI/CD 管道的資料完整性等等。還包括可利用 AWS WAF 解決的威脅。

定期針對應用程式進行滲透測試可協助評估安全性狀態，並發現改進的新機會。您可採用自動滲透測試，或與 AWS 合作夥伴合作，由其針對您的應用程式進行滲透測試活動。您可在 AWS Marketplace 找到此類工具與服務。

AWS WAF 可協助您解決威脅模型建立練習所識別的部分風險。例如，在中斷存取控制，除公共資源外，建議預設為拒絕請求。您可在 AWS WAF 實作這項功能，方法是將預設動作設為封鎖，並明確允許對應您公共資源的 URL。

除您在 AWS WAF 設定的自訂規則外，建議採用 Amazon 受管規則 (AMR)。(AMR) 是一組規則，靈感來自 OWASP Top 10，並由 AWS 威脅研究團隊維護。旨在保護應用程式免受最常見高嚴重性威脅的侵害，同時針對所有客戶保持非常低的偽陽性率。AWS 威脅研究團隊針對 AMR 規則進行定期測試，以便確保其有效性並保持最新狀態，同時直接與客戶合作以利增強 AMR。AMR 具有基準規則群組與使用案例特定規則群組 (例如 SQL 專用、Linux 專用等)。AMR 可協助您增強 OWASP Top 10 風險的覆蓋範圍，但不能替代威脅模型建立練習。

您也可考慮受管規則，這些規則的靈感同樣源自 AWS Marketplace 的 OWASP Top 10。其包括 CSC 的 HighSecurity OWASP Set、F5 Web 入侵程式 OWASP 規則，以及 Fortinet 的 完整 OWASP Top 10 規則群組。

• AWS Summit ANZ 2021 - 如何處理威脅模型建立
• 尋找 AWS WAF 交付合作夥伴