Que sont AWS WAF, AWS Shield Advanced ;, et AWS Firewall Manager ? - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
AWS WAFShield AdvancedAWS Firewall Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Que sont AWS WAF, AWS Shield Advanced ;, et AWS Firewall Manager ?

Vous pouvez utiliser AWS WAFAWS Shield, et AWS Firewall Manager ensemble pour créer une solution de sécurité complète. AWS WAF est un pare-feu d'applications Web que vous pouvez utiliser pour surveiller les requêtes Web que vos utilisateurs finaux envoient à vos applications et pour contrôler l'accès à votre contenu. Shield Advanced fournit une protection contre les attaques par déni de service distribué (DDoS) visant les AWS ressources, les couches réseau et transport (couches 3 et 4) et la couche application (couche 7). AWS Firewall Manager permet de gérer des protections telles que AWS WAF Shield Advanced sur les comptes et les ressources, même lorsque de nouvelles ressources sont ajoutées.

Qu'est-ce que c'est AWS WAF ?

AWS WAF est un pare-feu d'applications Web qui vous permet de surveiller les requêtes HTTP et HTTPS qui sont transmises aux ressources protégées de votre application Web. Vous pouvez protéger les types de ressources suivants :

  • CloudFront Distribution sur Amazon

  • API REST Amazon API Gateway

  • Application Load Balancer

  • AWS AppSync API GraphQL

  • Groupe d'utilisateurs Amazon Cognito

  • AWS App Runner service

  • AWS Instance d'accès vérifié

AWS WAF vous permet de contrôler l'accès à votre contenu. Selon les conditions que vous spécifiez, telles que les adresses IP d'où proviennent les demandes ou les valeurs des chaînes de requête, votre ressource protégée répond aux demandes soit avec le contenu demandé, soit avec un code d'état HTTP 403 (interdit), soit avec une réponse personnalisée.

Au niveau le plus simple, vous AWS WAF permet de choisir l'un des comportements suivants :

  • Autoriser toutes les demandes sauf celles que vous spécifiez : cela est utile lorsque vous souhaitez qu'Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS ou Verified Access diffusent du contenu pour un site Web public, mais que vous souhaitez également bloquer les demandes des attaquants.

  • Bloquer toutes les demandes sauf celles que vous spécifiez : cela est utile lorsque vous souhaitez diffuser du contenu pour un site Web restreint dont les utilisateurs sont facilement identifiables grâce aux propriétés des requêtes Web, telles que les adresses IP qu'ils utilisent pour accéder au site Web.

  • Comptez les demandes qui correspondent à vos critères : vous pouvez utiliser cette Count action pour suivre votre trafic Web sans modifier la façon dont vous le gérez. Vous pouvez l'utiliser pour une surveillance générale et également pour tester vos nouvelles règles de gestion des requêtes Web. Lorsque vous souhaitez autoriser ou bloquer des demandes en fonction des nouvelles propriétés des requêtes Web, vous pouvez d'abord configurer AWS WAF pour compter les demandes correspondant à ces propriétés. Cela vous permet de confirmer vos nouveaux paramètres de configuration avant de modifier vos règles pour autoriser ou bloquer les demandes correspondantes.

  • Exécutez des CAPTCHA ou des contrôles de contestation en fonction des demandes correspondant à vos critères : vous pouvez mettre en œuvre des CAPTCHA et des contrôles de contestation silencieux pour les demandes afin de réduire le trafic de robots vers vos ressources protégées.

L'utilisation AWS WAF présente plusieurs avantages :

  • Protection supplémentaire contre les attaques Web à l'aide de critères que vous spécifiez. Vous pouvez définir des critères à l'aide des caractéristiques des requêtes Web, telles que les suivantes :

    • Les adresses IP d'où proviennent les requêtes.

    • Pays d'où proviennent les demandes.

    • Les valeurs des en-têtes des requêtes.

    • Chaînes qui apparaissent dans les demandes, qu'il s'agisse de chaînes spécifiques ou de chaînes correspondant à des modèles d'expressions régulières (regex).

    • La longueur des requêtes.

    • La présence de code SQL susceptible d'être malveillant (appelée injection SQL).

    • La présence d'un script susceptible d'être malveillant (appelé script inter-site).

  • Règles permettant d'autoriser, de bloquer ou de compter les requêtes Web répondant aux critères spécifiés. Les règles peuvent également bloquer ou compter les requêtes Web qui non seulement répondent aux critères spécifiés, mais dépassent également un certain nombre de demandes en une minute ou en cinq minutes.

  • Règles que vous pouvez réutiliser pour plusieurs applications web.

  • Groupes de règles gérés par AWS et par AWS Marketplace les vendeurs.

  • Métriques en temps réel et exemples de requêtes web.

  • Administration automatisée à l'aide de l' AWS WAF API.

Si vous souhaitez contrôler de manière granulaire les protections que vous ajoutez à vos ressources, AWS WAF seule peut être le bon choix. Pour plus d'informations sur AWS WAF, voirAWS WAF.

Qu'est-ce que c'est AWS Shield Advanced ?

Vous pouvez utiliser des listes de contrôle d'accès AWS WAF Web (ACL Web) pour minimiser les effets d'une attaque par déni de service distribué (DDoS). Pour une protection supplémentaire contre les attaques DDoS, fournit AWS également AWS Shield Standard et AWS Shield Advanced. AWS Shield Standard est automatiquement inclus sans frais supplémentaires au-delà de ce que vous avez déjà payé AWS WAF et de vos autres AWS services.

Shield Advanced fournit une protection étendue contre les attaques DDoS pour vos instances Amazon EC2, vos équilibreurs de charge Elastic Load Balancing, vos distributions CloudFront , vos zones hébergées Route 53 et vos accélérateurs standard. AWS Global Accelerator Shield Advanced entraîne des frais supplémentaires. Les options et fonctionnalités avancées de Shield incluent l'atténuation automatique des attaques DDoS au niveau de l'application, une visibilité avancée des événements et le support dédié de la Shield Response Team (SRT). Si vous possédez des sites Web très visibles ou si vous êtes exposé à de fréquentes attaques DDoS, pensez à acheter les protections supplémentaires fournies par Shield Advanced. Pour en savoir plus, consultez AWS Shield Advanced capacités et options et Décider s'il convient de souscrire à des protections supplémentaires AWS Shield Advanced et d'appliquer des protections supplémentaires.

Qu'est-ce que c'est AWS Firewall Manager ?

AWS Firewall Manager simplifie vos tâches d'administration et de maintenance sur plusieurs comptes et ressources pour diverses protections AWS WAF AWS Shield Advanced, notamment les groupes de sécurité Amazon VPC et les ACL réseau, AWS Network Firewall ainsi que le pare-feu DNS Amazon Route 53 Resolver. Avec Firewall Manager, vous configurez vos protections une seule fois et le service les applique automatiquement à tous vos comptes et ressources, même lorsque vous ajoutez de nouveaux comptes et ressources.

Pour en savoir plus sur Firewall Manager, consultez AWS Firewall Manager.