Usando AWS WAF com a Amazon CloudFront - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede
Como AWS WAF funciona com diferentes tipos de distribuição

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando AWS WAF com a Amazon CloudFront

Saiba como usar AWS WAF com os CloudFront recursos da Amazon.

Ao criar um pacote de proteção (web ACL), você pode especificar uma ou mais CloudFront distribuições que deseja AWS WAF inspecionar. CloudFront suporta dois tipos de distribuições: distribuições padrão que protegem locatários individuais e distribuições multilocatárias que protegem vários locatários por meio de um único modelo de configuração compartilhado. AWS WAF inspeciona solicitações da web para os dois tipos de distribuição com base nas regras que você define em seus pacotes de proteção (web ACLs), com padrões de implementação diferentes para cada tipo.

Tópicos

Como AWS WAF funciona com diferentes tipos de distribuição

Tipos de distribuição

AWS WAF fornece recursos de firewall de aplicativos web para distribuições de distribuição CloudFront padrão e multilocatário.

Distribuições padrão

Para distribuições padrão, AWS WAF adiciona proteção usando um único pacote de proteção (Web ACL) para cada distribuição. Você pode ativar essa proteção associando um pacote de proteção existente (web ACL) a uma CloudFront distribuição ou usando a proteção de um clique no console. CloudFront Isso permite que você gerencie os controles de segurança de cada uma de suas distribuições de forma independente, já que qualquer alteração em um pacote de proteção (web ACL) afetará somente a distribuição associada a ele.

Esse método simples de proteger CloudFront distribuições é ideal para fornecer proteções específicas a domínios individuais a partir de um único pacote de proteção (Web ACL).

Considerações sobre distribuição padrão

  • Alterações em um pacote de proteção (Web ACL) afetam somente sua distribuição associada

  • Cada distribuição requer uma configuração de pacote de proteção independente (Web ACL)

  • As regras e os grupos de regras são gerenciados separadamente para cada distribuição.

Distribuições multilocatárias

Para distribuições multilocatárias, AWS WAF adiciona proteção em vários domínios usando um único pacote de proteção (Web ACL). Os domínios gerenciados por distribuições multilocatárias são conhecidos como locatários de distribuição. Você só pode ativar a AWS WAF proteção para distribuições multilocatárias no CloudFront console, durante ou após o processo de criação da distribuição multilocatária. No entanto, as alterações em um pacote de proteção (Web ACL) ainda são gerenciadas por meio do AWS WAF console ou da API.

As distribuições multilocatárias oferecem a flexibilidade de permitir AWS WAF proteções em dois níveis:

  • Nível de distribuição multilocatário — os pacotes de proteção associados (web ACLs) fornecem controles de segurança básicos que se aplicam a todos os aplicativos que compartilham essa distribuição

  • Nível de locatário de distribuição — inquilinos individuais em uma distribuição multilocatária podem ter seus próprios pacotes de proteção (web ACLs) para implementar controles de segurança adicionais ou substituir configurações de distribuição multilocatário

Esses dois níveis tornam as distribuições multilocatárias ideais para compartilhar AWS WAF proteções em vários domínios sem perder a capacidade de personalizar a segurança de uma distribuição individual.

Considerações sobre distribuição multilocatária

  • Locatários de distribuição individuais herdam as alterações feitas nos pacotes de proteção (web ACLs) que estão associados a distribuições multilocatárias relacionadas

  • Os pacotes de proteção (web ACLs) associados a locatários de distribuição específicos podem substituir as configurações definidas no nível do pacote de proteção multilocatário (Web ACL)

  • Os grupos de regras gerenciados podem ser implementados nos níveis de distribuição e de locatários de distribuição.

  • Os identificadores de aplicativos podem ser localizados em registros para rastrear eventos de segurança por distribuição

AWS WAF recursos por tipo de distribuição

Compare as implementações do pacote de proteção (Web ACL)
AWS WAF Característica Distribuições padrão Distribuições multilocatárias
Associando pacotes de proteção (web) ACLs Um pacote de proteção (Web ACL) por distribuição Você pode compartilhar pacotes de proteção (web ACLs) entre locatários, com pacotes de proteção opcionais específicos para inquilinos (web) ACLs
Gerenciamento de regras As regras afetam uma única distribuição As regras de distribuição de vários inquilinos afetam todos os inquilinos associados; as regras de distribuição específicas do inquilino afetam somente esse inquilino
Grupos de regras gerenciadas Aplicado a distribuições individuais Pode ser aplicado no nível de distribuição de vários inquilinos para todos os inquilinos ou no nível do inquilino para aplicações específicas
Registro em log AWS WAF Registros padrão Os registros incluem identificadores de inquilinos para atribuição de eventos de segurança