Activer AWS WAF pour les distributions

Vous pouvez l'activer AWS WAF lorsque vous créez une distribution, ou vous pouvez activer les protections de sécurité pour une liste de contrôle d'accès (ACL) existante.

Si vous l'activez AWS WAF pour votre CloudFront distribution, vous pouvez également activer le contrôle des robots et configurer la protection de sécurité par catégorie de bot.

Activer AWS WAF une nouvelle distribution

La procédure suivante explique comment l'activer AWS WAF lorsque vous créez une nouvelle CloudFront distribution.

AWS WAF Pour activer une nouvelle distribution

1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

2. Dans le volet de navigation, choisissez Distributions, puis Create distribution.

3. Au besoin, suivez les étapes décrites dans Créer une distribution.

4. Dans la section Web Application Firewall, choisissez Modifier, puis sélectionnez Activer les protections de sécurité.

5. Renseignez les champs suivants :

   • Utiliser le mode surveillance : vous activez le mode surveillance lorsque vous souhaitez d'abord collecter des données afin de tester le fonctionnement de la protection. Lorsque vous activez le mode de surveillance, les demandes ne sont pas bloquées si les protections étaient actives. À la place, le mode de surveillance collecte des données sur les demandes qui seraient bloquées si les protections étaient actives. Lorsque vous êtes prêt à commencer le blocage, vous pouvez activer le blocage sur la page Sécurité.

   • Protections supplémentaires — Choisissez les options que vous souhaitez activer. Si vous activez la limitation de débit, consultez Configuration de la limitation du débit pour plus d'informations.

   • Estimation du prix — Vous pouvez ouvrir la section pour afficher un champ dans lequel vous entrez un nombre différent de demandes par mois et voyez une nouvelle estimation.

6. Vérifiez les autres paramètres de distribution, puis choisissez Créer une distribution.

Après avoir créé une distribution, CloudFront crée un tableau de bord de sécurité. Vous pouvez utiliser ce tableau de bord pour activer ou désactiver AWS WAF. Si vous ne l'avez pas AWS WAF encore activé, les tableaux et graphiques du tableau de bord restent vides.

Utilisation d'une ACL Web existante

Si vous possédez déjà une ACL Web, vous pouvez l'utiliser à la place de la protection offerte par AWS WAF.

Pour utiliser une AWS WAF configuration existante

1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

2. Effectuez l’une des actions suivantes :

   1. Choisissez Créer une distribution et suivez les étapes indiquées dans Créer une distribution, puis revenez à cette rubrique.

   2. Choisissez une configuration existante, puis cliquez sur l'onglet Sécurité.

3. Dans la section Web Application Firewall (WAF), choisissez Modifier, puis Activer les protections de sécurité.

4. Choisissez Utiliser la configuration WAF existante. Cette option apparaît uniquement si des ACL Web sont configurées.

5. Choisissez votre ACL Web existante dans le tableau Choisir une ACL Web.

6. Passez en revue les autres paramètres de distribution, puis choisissez Créer une distribution.

Activer le contrôle des robots

Si vous activez AWS WAF votre CloudFront distribution, vous pouvez consulter les demandes de bot pour une période donnée dans le tableau de bord de sécurité de la CloudFront console. Vous pouvez également activer ou désactiver le contrôle des robots ici.

Vous encourez des frais lorsque vous activez le contrôle des robots. Le tableau de bord de sécurité fournit une estimation des coûts.

Si vous activez le contrôle des bots, le tableau de bord de sécurité affiche le trafic des bots par type et catégorie de bot. Si vous désactivez le contrôle des robots, le trafic des robots est affiché en fonction de l'échantillonnage des demandes.

Pour activer le contrôle des bots

1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

2. Dans le panneau de navigation, choisissez Distributions, puis choisissez la distribution que vous souhaitez modifier.

3. Choisissez l’onglet Security (Sécurité).

4. Faites défiler la page jusqu'à la section Demandes de bots pour une plage de temps donnée et choisissez Activer le contrôle des bots.

5. Dans la boîte de dialogue Contrôle des robots, sous Configuration, cochez la case Activer le contrôle des robots pour les robots courants.

6. Sélectionnez Enregistrer les modifications.

Configuration de la protection par catégorie de bot

Lorsque vous activez le contrôle des robots, vous pouvez configurer la façon dont chaque bot non vérifié est traité par catégorie de bot. Par exemple, vous pouvez configurer un bot de bibliothèque HTTP en mode Surveillance et attribuer un défi à un vérificateur de liens.

Note

Les robots connus AWS pour être courants et vérifiables, tels que les robots d'exploration connus des moteurs de recherche, ne sont pas soumis aux actions que vous définissez ici. Le contrôle des bots confirme que les bots validés proviennent de la source indiquée avant de les marquer comme vérifiés.

Pour configurer la protection d'une catégorie de bot

1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

2. Dans le panneau de navigation, choisissez Distributions, puis choisissez la distribution que vous souhaitez modifier.

3. Choisissez l’onglet Security (Sécurité).

4. Dans le graphique Catégories de demandes par bot, pointez sur l'un des éléments de la colonne Action de bot non vérifiée et cliquez sur l'icône de modification.

   

5. Ouvrez la liste obtenue et choisissez l'un des éléments suivants :

   • Bloc

   • Autorisation

   • Mode de surveillance

   • CAPTCHA

   • Défi

   

6. Cochez la case à côté de la liste pour valider votre modification.