Actualización de la solución - Automatizaciones de seguridad para AWS WAF
Consideraciones sobre la actualización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de la solución

Si ya implementó la solución anteriormente, siga este procedimiento para actualizar la CloudFormation pila de soluciones y obtener la versión más reciente del marco de la solución. Antes de actualizar la pila, lea detenidamente las consideraciones sobre la actualización.

  1. Inicie sesión en la CloudFormation consola de AWS.

  2. Seleccione Stacks en el menú de navegación de la izquierda.

  3. Selecciona tu aws-waf-security-automations CloudFormation pila actual.

  4. Elija Actualizar.

  5. Seleccione Reemplazar la plantilla actual.

  6. En Especificar plantilla:

    1. Seleccione URL de Amazon S3.

    2. Copia el enlace de aws-waf-security-automations.template AWS CloudFormation.

    3. Pegue el enlace en el cuadro URL de Amazon S3.

    4. Compruebe que la URL de la plantilla correcta aparezca en el cuadro de texto URL de Amazon S3.

    5. Elija Siguiente.

    6. Vuelva a seleccionar Siguiente.

  7. En Parámetros, revise los parámetros de la plantilla y modifíquelos según sea necesario. Consulte el Paso 1. Lanzar la pila para obtener detalles sobre los parámetros.

  8. Elija Siguiente.

  9. En la página Configurar opciones de pila, elija Siguiente.

  10. En la página Revisar, revise y confirme la configuración.

  11. Seleccione la casilla para confirmar que la plantilla podría crear recursos de IAM.

  12. Seleccione Ver conjunto de cambios y verifique los cambios.

  13. Seleccione Crear pila para implementar la pila.

Puede ver el estado de la pila en la CloudFormation consola de AWS en la columna Estado. Debe recibir el estado de UPDATE_COMPLETE en aproximadamente 15 minutos.

Consideraciones sobre la actualización

En las siguientes secciones, se proporcionan restricciones y consideraciones para actualizar esta solución.

Actualización del tipo de recurso

Debe implementar una pila nueva para actualizar el parámetro Endpoint después de crear la pila. No cambie el parámetro de punto final al actualizar la pila.

WAFV2 actualizar

A partir de la versión 3.0, esta solución es compatible con AWS WAFV2. Sustituimos todas las llamadas a la API de AWS WAF Classic por llamadas a la API de WAFV2 AWS. Esto elimina las dependencias de Node.js y utiliza la mayor parte del tiempo de ejecución de up-to-date Python. Para seguir utilizando esta solución con las funciones y mejoras más recientes, debe implementar la versión 3.0 o superior como una nueva pila.

Personalizaciones durante la actualización de la pila

La out-of-box solución implementa un conjunto de reglas de AWS WAF con configuraciones predeterminadas en su cuenta de AWS con CloudFormation la pila. No recomendamos aplicar personalizaciones a las reglas implementadas por la solución. Las actualizaciones de pila sobrescriben estos cambios. Si necesita reglas personalizadas, le recomendamos que cree reglas independientes fuera de la solución.

Una mala actualización de Bot Protection

En la versión 4.1.0, el controlador de acceso Lambda con API Gateway quedó obsoleto y se sustituyó por una funcionalidad de registro mejorada de la función. Log parser - Bad bot En lugar de utilizar solicitudes directas a través de API Gateway, la solución ahora reutiliza el flujo de registro para detectar bots defectuosos.

Implementación anterior:

  1. Se requieren el controlador de acceso Lambda y API Gateway.

  2. Se utilizó el punto final Honeypot para la gestión directa de las solicitudes.

  3. Es obligatorio incrustar el punto final de Honeypot en los sitios web.

Nueva implementación (versión 4.1.0+): el analizador de registros de Bad Bot Protection ahora:

  1. Inspecciona las solicitudes al punto final de honeypot mediante registros.

  2. Procesa las solicitudes cuando Bad Bot Protection está activada.

  3. Utiliza el filtro WAF BadBotRuleFilterpara identificar las solicitudes de bots incorrectas.

  4. Analiza los datos de registro para identificar las direcciones IP que superan las cuotas definidas.

  5. Actualiza las condiciones del conjunto de IP de AWS WAF para bloquear las direcciones identificadas.

Este cambio simplifica la arquitectura al eliminar la funcionalidad duplicada y aprovechar las capacidades de procesamiento de registros existentes.

Actualización de CDK

A partir de la versión 4.1.0, CDK admite esta solución. Si se está migrando desde una versión anterior a la v4.1.0. Utilice la nueva plantilla y la solución de actualización de Cloudformation. A continuación, puede empezar a actualizar la solución de forma local a través de su terminal mediante cdk deploy (consulte el archivo README para obtener más información). Si intenta utilizar cdk deploy directamente, es posible que aparezca este error: No hay suficiente sangría en la recopilación de flujos

La otra forma de actualizar la solución consiste en utilizar la plantilla proporcionada por la solución, ir a la sección Cloudformation de la consola de AWS, hacer clic en actualizar la solución y pegar allí la nueva plantilla.

nota

Si está actualizando de la versión 3.0 o 3.1 a la versión 3.2 o posterior de esta solución y ha insertado manualmente las direcciones IP en el conjunto de IP permitidas o denegadas, corre el riesgo de perder esas direcciones IP. Para evitar que eso suceda, haga una copia de las direcciones IP del conjunto de IP permitidas o denegadas antes de actualizar la solución. Luego, después de completar la actualización, vuelva a agregar las direcciones IP al conjunto de IP según sea necesario. Consulte los comandos get-ip-sety update-ip-setCLI. Si ya utiliza la versión 3.2 o posterior, ignore este paso.