AWS WAF recenze a alternativy
Ve zkratce, AWS WAF je brána firewall webových aplikací, která je navržena tak, aby chránila vaše služby před zneužitím a poskytla vám podrobnou kontrolu nad tím, jak provoz interaguje s vašimi aplikacemi.
Co je AWS WAF? Jak to funguje?
Zatímco běžné firewallové produkty chrání celé sítě, WAF je vytvořen pouze pro monitorování vašich webových aplikací a služeb. AWS WAF vám umožňuje vytvářet vlastní pravidla, abyste se chránili před konkrétními útoky, a také používat předem nakonfigurované sady pravidel navržené bezpečnostním týmem AWS.
Můžete například nakonfigurovat sadu pravidel, která povoluje pouze konkrétní provoz pocházející ze sady adres IP na seznamu povolených přes přizpůsobený přístup k portu k části vaší aplikace. Jak si dokážete představit, čím podrobnější jsou vaše sady pravidel, tím lepší provozní zabezpečení můžete implementovat. Další společnou funkcí pro systémy WAF je omezení rychlosti, zde můžete vytvořit pravidlo, které automaticky zablokuje IP adresu, když je za určitou dobu vygenerováno určité množství požadavků. To je užitečné pro detekci a zastavení útoků na přihlášení hrubou silou i útoků zaplavených paketem.
Veškerá implementace AWS WAF přichází se standardem AWS Shield Standard jako další vrstvou ochrany. AWS Shield funguje na transportní vrstvě a zastavuje hrozby, když jsou detekovány v reálném čase. To se provádí pomocí detekce anomálií, signatur provozu a porovnávání databáze hrozeb, to vše bez dopadu na dobu provozu vaší aplikace. Tato funkce také poskytuje rozsáhlou vestavěnou ochranu DDoS pro vaše služby WAF. AWS Shield Standard je zcela zdarma a snadno se integruje s AWS WAF.
AWS WAF žije výhradně v cloudu AWS a lze jej ovládat a konfigurovat prostřednictvím AWS Firewall Manager. Ve správci nastavujete pravidla, sledujete své události a dokonce řídíte více nasazení WAF. Prostřednictvím rozsáhlého rozhraní API budete mít možnost definovat pravidla pro konkrétní aplikace, zatímco váš vývojářský tým vyvíjí aplikace.
Flexibilní ceny umožňují prakticky jakémukoli vývojovému týmu implementovat toto webové řešení firewallu. Náklady jsou vázány výhradně na množství zpracovávaných dat a počet pravidel, která implementujete. I když se to může zdát jako dokonalé řešení, existuje řada funkcí a detailů, které byste měli zvážit jako první.
Pojďme se podívat na základní funkce AWS WAF a zopakujte si některá úskalí, se kterými se můžete na platformě setkat.
Nastavení AWS WAF
Jedním z hlavních důvodů, proč AWS WAF rychle vzrostl na popularitě, je jeho snadná implementace. Jediným předpokladem, abyste mohli začít, je mít účet AWS, díky kterému je nastavení výrazně jednodušší než u jiných firewallů cloudových aplikací.
Po přihlášení vás provede průvodce, který vás provede vytvořením a konfigurací vašeho seznamu ACL (Access Control List). ACL je první linií obrany proti neoprávněnému přístupu a útokům proti vašim webovým službám. Zde budete moci povolit nebo blokovat webové požadavky, nastavovat pravidla na základě IP adres a konfigurovat specifické zásady, které určují, zda je provoz povolen nebo ne, aby dosáhl vašich webových aplikací.
Při konfiguraci svých pravidel budete mít možnost je aplikovat na skupinu nebo zůstat nezávislí. Vytváření skupin pravidel vám pomůže omezit nepořádek a efektivněji vytvářet zásady zabezpečení. Pravidla zjišťují požadavky porovnáním dat nalezených v řetězci se sadou pravidel, kterou konfigurujete.
I když nastavení pravidel pro řetězce může být trochu komplikované, AWS WAF poskytuje vizuální editor, který vás provede procesem vytváření pravidel. V závislosti na vašich sadách pravidel může nastat chvíle, kdy budete moci použít pouze Editor JSON pravidel. Editor JSON není tak intuitivní jako vizuální editor, ale poskytuje vám větší svobodu při vytváření přizpůsobenějších a podrobnějších sad pravidel. Editor JSON lze v případě potřeby také použít ke kopírování konfigurací napříč více webovými seznamy ACL.
Pokud ještě nemáte svá vlastní pravidla nakonfigurována, můžete využít skupinu spravovaných pravidel Amazonu, abyste nastartovali svůj WAF. AWS Managed Rules jsou předkonfigurovaná pravidla, která se řídí osvědčenými postupy v oboru a jsou napsána bezpečnostním týmem AWS. Spravovaná pravidla se automaticky aktualizují a přesně dodržují seznamy reputace IP a standardy OWASP .
Pokud hledáte více hotových možností, AWS Marketplace má řadu spravovaných pravidel pro nákup. Společnosti jako Cyber Security Cloud, F5 a Fortinet nabízejí své vlastní verze spravovaných pravidel, která pomáhají blokovat vše od útoků řízených botnety až po útoky skriptování napříč weby.
Díky této kombinaci flexibilní konfigurace a předem zabalených sad pravidel je nastavení AWS WAF jednodušší než u většiny alternativ.
Funkce a integrace
Kromě ACL existuje řada dalších funkcí a integrací, které poskytují AWS WAF rozšířenou schopnost a ochranu.
Prostřednictvím plnohodnotného rozhraní API lze firewall zcela ovládat a konfigurovat pomocí sady požadavků. Protože většina firewallů má přístup k API, jen málo z nich je tak rozsáhlé jako WFA od Amazonu. Spíše než ztrácet čas přihlašováním do GUI mohou vývojáři rychle provádět změny a konfigurace při sestavování své aplikace.
I když by tento přístup vyžadoval hlubší znalosti platformy, vývojářský tým by mohl vytvořit sadu pravidel zabezpečení jako součást procesu nasazení. Teoreticky by to mohlo snížit komplikované předávání mezi týmy a zkrátit vývojový cyklus. Vývojáři by také mohli použít automatizaci skriptování prostřednictvím tohoto rozhraní API a vytvořit vlastní bezpečnostní pravidla, skupiny a zásady na základě toho, co vyžaduje jejich šablona nebo interní zásada.
Automatizaci lze také použít k automatickému nasazení instancí AWS WAF pomocí AWS CloudFormation. Zde můžete vytvořit hlavní šablonu, která určuje, jaká nastavení zabezpečení, sady pravidel a konfigurace firewall potřebuje. Tato funkce urychluje vytváření nových prostředí a zajišťuje konzistenci všech vašich produktů.
AWS WFA se silně spoléhá na integraci Amazon CloudWatch, která poskytuje další statistiky a viditelnost v reálném čase. CloudWatch vám poskytuje rozšířenou viditelnost vašich bezpečnostních událostí WAF a funguje jako rozšíření SIEM pro váš firewall.
Jednou z nejužitečnějších integrací pro váš WAF je funkce upozornění, kterou si můžete plně přizpůsobit pomocí prahových hodnot a šablon upozornění. CloudWatch může pomoci udržet váš bezpečnostní tým upozorňován na změny konfigurace a události a také poskytovat služby založené na umělé inteligenci, jako je detekce anomálií.
Výzvy s AWS WAF
I když se AWS WAF ukazuje jako všestranné cloudové bezpečnostní řešení, nepřichází bez některých výzev.
Budete potřebovat specializované bezpečnostní pracovníky. AWS WAF může být komplikované při vytváření vlastních sad pravidel a zásad. Špatná konfigurace na vašem WAF by mohla znamenat katastrofu a umožnit přístup k zranitelnějším oblastem vašich aplikací. Existuje mnoho případů narušení dat, ke kterým dochází kvůli nesprávně nakonfigurovaným nastavením AWS, kdy došlo k jednomu pozoruhodnému incidentu Capital One nedokázal zajistit své WAF.
Útočník použil běžný útok nazvaný Side Server Request Forgery, aby přiměl AWS WAF k odeslání informací útočníkovi. To vedlo ke krádeži více než 100 milionů záznamů aplikací kreditních karet a byl přímým důsledkem nesprávně nakonfigurovaného WAF.
Bez vysoce vyškoleného odborníka na bezpečnost IT se může organizace stát obětí hackera využívajícího slabiny ve špatných konfiguracích. Alternativně mohou vaši IT pracovníci zmírnit rizika pomocí produktu, jako je Access Advisor, který pomáhá určit role AWS a identifikovat problémy s oprávněními.
AWS WAF postrádá některé vestavěné funkce. Zjistíte, že používání WAF od Amazonu vyžaduje řadu integrací nebo doplňků pro funkce, u kterých můžete očekávat, že budou zabudovány. Například AWS WAF může shromažďovat data o provozu, ale získat jakékoli smysluplné informace prostřednictvím WAF může být těžkopádné a časově náročné.
Pokud chcete spravovat protokolování pro váš webový ACL, budete muset povolit a nakonfigurovat Kinesis Data Firehose, který má svou vlastní křivku učení a omezení. Když má WAF příliš mnoho doplňků a funkcí, může být obtížné nejen je všechny spravovat, ale také získat hluboké porozumění všem existujícím systémům.
Je to stejný nedostatek porozumění a zmatek, který může způsobit nesprávnou konfiguraci a nakonec porušení dat. Opět platí, že přítomnost odborníka na zabezpečení může toto riziko zmírnit, ale WAF, který obsahuje vestavěné řešení, by jej eliminoval.
Sady pravidel bude nutné spravovat, aktualizovat a auditovat. Pravidla brány firewall WAF se mohou zdát statická, ale jak se mění prostředí hrozeb, vaše pravidla brány firewall se budou muset řídit. Spravovaná pravidla jsou zjednodušenou alternativou k vytváření vlastních pravidel, má to však dvě nevýhody. Spravovaná pravidla budou stát vaši společnost peníze a je třeba je zakoupit na AWS Marketplace. I když je to stále podstatně levnější než najmutí konzultanta, stále jde o dodatečné náklady.
Spravovaná pravidla také neumožňují úpravu pravidel. To znamená, že vaše schopnost měnit nebo přizpůsobovat sadu pravidel nasazenou na AWS Marketplace je omezená. To vás staví do škatulky, pokud jde o bezpečnost a flexibilitu. Pokud se rozhodnete vytvořit si vlastní sady pravidel, budou pravidelně potřebovat aktualizaci, aby odrážely nové a vyvíjející se hrozby. Oprávnění k vašemu prostředí AWS by také měla být pravidelně auditována v závislosti na velikosti vaší organizace.
Ceny
Ceny za AWS WAF jsou spojeny s počtem seznamů řízení přístupu, které používáte, množstvím požadavků, které zpracováváte, a počtem pravidel, která jste přidali do každého ACL. Tento cenový model může být trochu komplikovaný, ale při správném plánování můžete odhadnout své náklady na základě současného využití a budoucích potřeb.
Měsíční ceny aktuálně začínají na 0,60 USD za milion požadavků, 1,00 USD za pravidlo a 5,00 USD za seznam řízení přístupu. Za vytvoření dalších skupin pravidel se také platí malý poplatek. Naplánovat přesně, kolik pravidel a skupin budete potřebovat, může být obtížné, zvláště pokud jste na platformě AWS nováčkem. Aby pomohl novým uživatelům, Amazon vytvořil a cenová kalkulačka které vám pomohou získat lepší představu o tom, jaké by byly vaše měsíční náklady.
Proč zvolit AWS WAF?
AWS WAF je flexibilní řešení firewallu, které využívá sílu cloudu Amazonu a poskytuje podnikům dostupnou a škálovatelnou ochranu. I když jejich ceny mohou být trochu komplikované, pomáhá snížit laťku vstupu pro menší podniky a začínající podniky s omezenou hotovostí. AWS WAF je skvělá volba; jen se ujistěte, že máte někoho, kdo se vyzná v AWS, aby nakonfiguroval a spravoval váš WAF.
Alternativy AWS WAF
Pokud se chcete odklonit od platformy AWS, podívejte se na náš užší seznam konkurenčních alternativ AWS WAF. Nezapomeňte se podívat na náš aktualizovaný příspěvek na nejlepší WAFy .
- Firewall spravované webové aplikace AppTrana Toto řešení WAF přichází s vlastním plně spravovaným bezpečnostním týmem a nabízí přizpůsobené zásady zabezpečení, smluvní smlouvy SLA a nepřetržitou podporu.
- Cloudflare WAF Využívá svou velkou cloudovou infrastrukturu k relativně snadnému vytváření výkonných sad pravidel a zásad prostřednictvím intuitivních řídicích panelů a průvodců.
- Barracuda Web Application Firewall Barracuda má tři nabídky WAF, které poskytují adekvátní ochranu před hrozbami a řadu automatizovaných náprav. Řešení zahrnují místní, cloudové a spravované služby.
- F5 Advanced Web Application Firewall Využívá proaktivní obranu proti botnetům, analýzu chování a šifrování na aplikační vrstvě k ochraně vašich služeb před hrozbami a k zabezpečení komunikace mezi vašimi přidruženými systémy.
- Firewall webové aplikace StackPath Cloudový firewallový produkt, který zahrnuje konkurenční ceny založené na použití ve spojení se sadou ochranných a okrajových služeb.
AWS WAF FAQ
Je AWS WAF součástí AWS Shield?
AWS Shield Standard nezahrnuje službu AWS WAF. AWS WAF je součástí AWS Shield Advanced.
Na jakých podmínkách jsou založena pravidla brány firewall webových aplikací AWS WAF?
Pravidla brány firewall aplikace AWS WAF mohou být založena na:
- IP adresy
- HTTP hlavičky
- Tělo HTTP zprávy
- Vlastní URI
Jaké jsou tři zpoplatněné prvky AWS WAF?
Cena, kterou platíte za AWS WAF, se vypočítává podle tří zpoplatněných prvků:
- Počet příchozích požadavků, které musí WAF zpracovat
- Počet webových ACL, které máte
- Počet pravidel v každém z webových ACL
