Segurança - Automações de segurança para AWS WAF
Funções do IAMDadosCapacidades de proteção

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança

Quando você cria sistemas na AWS infraestrutura, as responsabilidades de segurança são compartilhadas entre você AWS e. Esse modelo de responsabilidade compartilhada reduz sua carga operacional porque AWS opera, gerencia e controla os componentes, incluindo o sistema operacional do host, a camada de virtualização e a segurança física das instalações nas quais os serviços operam. Para obter mais informações sobre AWS segurança, visite Nuvem AWS Segurança.

Funções do IAM

Com IAM funções, você pode atribuir acesso, políticas e permissões granulares a serviços e usuários no Nuvem AWS. Essa solução cria IAM funções com menos privilégios, e essas funções concedem aos recursos da solução as permissões necessárias.

Dados

Todos os dados armazenados nos buckets do Amazon S3 e nas tabelas do DynamoDB têm criptografia em repouso. Os dados em trânsito com o Firehose também são criptografados.

Capacidades de proteção

Os aplicativos da Web são vulneráveis a uma variedade de ataques. Esses ataques incluem solicitações especialmente criadas para explorar uma vulnerabilidade ou assumir o controle de um servidor; ataques volumétricos projetados para derrubar um site; ou bots e raspadores maliciosos programados para coletar e roubar conteúdo da web.

Essa solução é usada CloudFormation para configurar AWS WAF regras, incluindo grupos de AWS Managed Rules regras e regras personalizadas, para bloquear os seguintes ataques comuns:

  • AWSRegras gerenciadas — Esse serviço gerenciado fornece proteção contra vulnerabilidades comuns de aplicativos ou outros tráfegos indesejados. Essa solução inclui grupos AWSgerenciados de regras de reputação de IP, grupos de regras de linha de base AWS AWS gerenciados e grupos de regras específicos de casos de uso gerenciados. Você tem a opção de selecionar um ou mais grupos de regras para sua webACL, até a cota máxima de unidade ACL de capacidade da web (WCU).

  • SQLinjeção — Os atacantes inserem SQL código malicioso nas solicitações da web para extrair dados do seu banco de dados. Criamos essa solução para bloquear solicitações da web que contêm SQL códigos potencialmente maliciosos.

  • XSS— Os invasores usam vulnerabilidades em um site benigno como um veículo para injetar scripts maliciosos do site do cliente no navegador da web de um usuário legítimo. Projetamos isso para inspecionar elementos comumente explorados das solicitações recebidas para identificar e bloquear ataques. XSS

  • HTTPinundações — servidores Web e outros recursos de back-end correm o risco de DDoS ataques, como HTTP inundações. Essa solução invoca automaticamente uma regra baseada em taxas quando as solicitações da web de um cliente excedem uma cota configurável. Como alternativa, você pode impor essa cota processando AWS WAF registros usando uma função Lambda ou uma consulta do Athena.

  • Scanners e sondas — Fontes maliciosas escaneiam e investigam aplicativos da Web voltados para a Internet em busca de vulnerabilidades, enviando uma série de solicitações que geram códigos de erro 4xx. HTTP Você pode usar esse histórico para ajudar a identificar e bloquear endereços IP de origem maliciosos. Essa solução cria uma função Lambda ou consulta Athena que analisa CloudFront ou ALB acessa automaticamente os registros, conta o número de solicitações inválidas de endereços IP de origem exclusivos por minuto e atualiza AWS WAF para bloquear outras verificações de endereços que atingiram a cota de erro definida.

  • Origens conhecidas dos atacantes (listas de reputação de IP) — Muitas organizações mantêm listas de reputação de endereços IP operados por atacantes conhecidos, como spammers, distribuidores de malware e botnets. Essa solução aproveita as informações dessas listas de reputação para ajudá-lo a bloquear solicitações de endereços IP maliciosos. Além disso, essa solução bloqueia invasores identificados por grupos de regras de reputação de IP com base na inteligência interna de ameaças da Amazon.

  • Bots e scrapers — Os operadores de aplicativos web acessíveis ao público precisam confiar que os clientes que acessam seu conteúdo se identificam com precisão e que usam os serviços conforme pretendido. No entanto, alguns clientes automatizados, como raspadores de conteúdo ou bots mal-intencionados, se apresentam erroneamente para contornar as restrições. Essa solução ajuda você a identificar e bloquear bots e raspadores defeituosos.