Como protejo meu aplicativo web contra ameaças da web com o CloudFront e o AWS WAF?

Breve descrição

Os ataques comuns na camada da aplicação incluem injeção de SQL ou cross-site scripting (XSS). Para proteger seu aplicativo web contra esses ataques, configure o CloudFront com o AWS WAF para inspecionar solicitações HTTP/HTTPS em locais de borda. Ele consegue bloquear o tráfego malicioso antes que ele chegue aos seus servidores de origem. Para mais informações, consulte Casos de uso comuns para proteger distribuições do CloudFront com AWS WAF.

Resolução

Pré-requisitos:

• Um Application Load Balancer que direciona o tráfego para sua instância do Amazon Elastic Compute Cloud (Amazon EC2) ou para qualquer outro endpoint regional da AWS.
• O conteúdo da aplicação está implantado e em execução.
• Você tem as permissões necessárias para configurar o CloudFront e o AWS WAF.

Configurar o CloudFront

Para configurar o CloudFront para atuar como um escudo de segurança, conclua as seguintes etapas:

1. Abra o console do CloudFront.
2. Crie uma distribuição.
3. No campo Domínio de origem, insira o endereço do seu site.
4. Em Política de protocolo do visualizador, escolha Redirecionar HTTP para HTTPS.
5. Escolha Criar distribuição.

Observação: quando armazena conteúdo estático e dinâmico no local da borda, você reduz o número de solicitações que chegam à sua origem. Essa ação corta custos e melhora o desempenho.

Configurar o AWS WAF

Para configurar o AWS WAF para atuar como uma proteção de segurança, conclua as seguintes etapas:

1. Abra o console do AWS WAF.
2. Crie uma ACL (Lista de controle de acesso) da web.
3. Escolha sua região da AWS.
4. Dê um nome a ela. Por exemplo, "MyWebsiteProtection".
5. Escolha Adicionar regras e, em seguida, Adicionar regra baseada em taxas.
   Insira a seguinte regra de limite de taxa:
   Configure para bloquear endereços IP que enviam muitas solicitações. Por exemplo, 2.000 solicitações a cada 5 minutos.
6. Escolha Adicionar regras e, em seguida, Adicionar regras gerenciadas.
   Adicione um conjunto de regras principais (CRS) do AWS Managed Rules. O CRS inclui proteção contra ataques comuns, como injeção de SQL e XSS.
   Observação: os locais de borda aplicam as regras do AWS WAF e impedem o tráfego malicioso mais próximo da origem.
7. Selecione Avançar e, em seguida, Criar ACL da web.

Observação: agora é possível usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Para mais informações, consulte Introdução ao AWS WAF uso da experiência atualizada do console.

Conectar o AWS WAF ao CloudFront

Para garantir que o AWS WAF e o CloudFront funcionem juntos, conclua as seguintes etapas:

1. Abra o console do AWS WAF.
2. Selecione sua ACL da web.
3. Escolha os recursos associados da AWS.
4. Selecione Adicionar recursos da AWS.
5. Selecione sua distribuição do CloudFront.
6. Escolha Adicionar. Para mais informações, consulte Usando AWS WAF com Amazon CloudFront.

Configurar o monitoramento

Observação: se você ativar o registro em log, isso incorrerá em custos adicionais. O CloudWatch oferece um nível gratuito, mas as cobranças se aplicam quando você excede os limites do nível gratuito. Para ver os preços atuais, consulte Preços do Amazon CloudWatch.

Para configurar o monitoramento no CloudFront, conclua as seguintes etapas:

1. Abra o console do CloudFront.
2. Escolha sua distribuição.
3. Acesse Logs.
4. Ative o registro em log padrão.

Para configurar o monitoramento no AWS WAF, conclua as seguintes etapas:

1. Abra o console do AWS WAF.
2. Abra sua ACL da web.
3. Escolha Registro em log e métricas.
4. Ative o registro em log. Para mais informações, consulte Registro em log do CloudFront e de funções de borda.

Informações relacionadas

Automatizando a mitigação de DDoS na camada de aplicação com o Shield Avançado

Acelerar e proteger os sites usando o Amazon CloudFront e o AWS WAF