Usar AWS WAF con Amazon CloudFront - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Cómo funciona AWS WAF con los distintos tipos de distribución

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Usar AWS WAF con Amazon CloudFront

Obtenga información sobre cómo usar AWS WAF con las características de Amazon CloudFront.

Cuando se crea un paquete de protección (ACL web), puede especificar una o más distribuciones de CloudFront que desea que AWS WAF inspeccione. CloudFront admite dos tipos de distribuciones: distribuciones estándar, que protegen a los inquilinos individuales, y distribuciones de varios inquilinos, que protegen a varios inquilinos mediante una única plantilla de configuración compartida. AWS WAF inspecciona las solicitudes web para ambos tipos de distribución en función de las reglas que defina en sus paquetes de protección (ACL web), con patrones de implementación diferentes para cada tipo.

Temas

Cómo funciona AWS WAF con los distintos tipos de distribución

Tipos de distribución

AWS WAF proporciona capacidades de firewall de aplicaciones web para distribuciones CloudFront de distribución estándar y de varios inquilinos.

Distribuciones estándar

En el caso de las distribuciones estándar, AWS WAF añade protección mediante un único paquete de protección (ACL web) para cada distribución. Puede habilitar esta protección mediante la asociación de un paquete de protección (ACL web) existente a una distribución de CloudFront o el uso de la protección con un solo clic en la consola de CloudFront. Esto le permite administrar los controles de seguridad de cada una de sus distribuciones de forma independiente, ya que cualquier cambio en un paquete de protección (ACL web) solo afectará a la distribución asociada a él.

Este sencillo método de protección de las distribuciones de CloudFront es óptimo para proporcionar a los dominios individuales protecciones específicas desde un único paquete de protección (ACL web).

Consideraciones de distribución estándar

  • Los cambios en un paquete de protección (ACL web) afectan únicamente a su distribución asociada

  • Cada distribución requiere una configuración de paquete de protección (ACL web) independiente

  • Las reglas y los grupos de reglas se administran por separado para cada distribución

Distribuciones de varios inquilinos

En el caso de las distribuciones de varios inquilinos, AWS WAF añade protección en varios dominios mediante un único paquete de protección (ACL web). Los dominios que se administran mediante distribuciones de varios inquilinos se conocen como inquilinos de distribución. Solo puede habilitar la protección de AWS WAF para distribuciones de varios inquilinos en la consola de CloudFront, ya sea durante o después del proceso de creación de la distribución de varios inquilinos. Sin embargo, los cambios en un paquete de protección (ACL web) se siguen gestionando a través de la consola o la API de AWS WAF.

Las distribuciones de varios inquilinos ofrecen la flexibilidad necesaria para habilitar las protecciones de AWS WAF en dos niveles:

  • Nivel de distribución de varios inquilinos: los paquetes de protección (ACL web) asociados proporcionan controles de seguridad básicos que se aplican a todas las aplicaciones que comparten esa distribución

  • Nivel de distribución de inquilino: los inquilinos individuales de una distribución de varios inquilinos pueden tener sus propios paquetes de protección (ACL web) para implementar controles de seguridad adicionales o anular la configuración de distribución de varios inquilinos

Estos dos niveles hacen que las distribuciones de varios inquilinos sean óptimas para compartir protecciones de AWS WAF en varios dominios sin perder la capacidad de personalizar la seguridad de una distribución individual.

Consideraciones de la distribución de varios inquilinos

  • Los inquilinos de distribución individuales heredan los cambios que se realizan en los paquetes de protección (ACL web) asociados a las distribuciones de varios inquilinos relacionadas

  • Los paquetes de protección (ACL web) asociados a inquilinos de distribución específicos pueden anular los ajustes configurados en el nivel del paquete de protección (ACL web) de varios inquilinos

  • Los grupos de reglas administradas se pueden implementar tanto a nivel de distribución como de inquilino de distribución

  • Los identificadores de las aplicaciones se pueden ubicar en los registros para rastrear los eventos de seguridad por distribución

Características de AWS WAF por tipo de distribución

Compare las implementaciones del paquete de protección (ACL web)
AWS WAFCaracterística de Distribuciones estándar Distribuciones de varios inquilinos
Asociación de paquetes de protección (ACL web) Un paquete de protección (ACL web) por distribución Puede compartir paquetes de protección (ACL web) entre los inquilinos, con paquetes de protección (ACL web) opcionales específicos para cada inquilino
Administración de reglas Las reglas afectan a una única distribución Las reglas de distribución para varios inquilinos afectan a todos los inquilinos asociados; las reglas de distribución específicas para cada inquilino afectan solo a ese inquilino
grupos de reglas administradas Se aplica a distribuciones individuales Se puede aplicar a nivel de distribución de varios inquilinos para todos los inquilinos o a nivel de inquilino para aplicaciones específicas
Registro Registros estándar de AWS WAF Los registros incluyen identificadores de inquilinos para la atribución de eventos de seguridad