Configurar proteção no AWS WAF

Esta página explica o que são pacotes de proteção (ACLs da Web) e como eles funcionam.

Um pacote de proteção (ACL da Web) é um recurso que oferece controle detalhado sobre todas as solicitações HTTP(S) da Web às quais o recurso protegido responde. Você pode proteger os recursos do Amazon CloudFront, do Amazon API Gateway, do Application Load Balancer, do AWS AppSync, do Amazon Cognito, do AWS App Runner, do AWS Amplify, do Amazon CloudWatch e do AWS Verified Access.

Você pode usar critérios como os seguintes para permitir ou bloquear solicitações:

• Origem do endereço IP da solicitação

• País de origem da solicitação

• Correspondência de string ou correspondência de expressão regular (regex) em uma parte da solicitação

• Tamanho de uma parte específica da solicitação

• Detecção de código SQL malicioso ou script

Você também pode testar qualquer combinação dessas condições. Você pode bloquear ou contar solicitações da Web que não apenas atendem às condições especificadas, mas também excedem um determinado número de solicitações em qualquer minuto. Você pode combinar condições usando operadores lógicos. Você também pode executar quebra-cabeças CAPTCHA e desafios silenciosos de sessões de clientes contra solicitações.

Você fornece seus critérios de correspondência e a ação a ser tomada em relação às correspondências nas instruções de regras do AWS WAF. Você pode definir instruções de regras diretamente no pacote de proteção (ACL da Web) e em grupos de regras reutilizáveis usadas no pacote de proteção (ACL da Web). Para obter uma lista completa das opções, consulte Como usar instruções de regra no AWS WAF e Como usar ações de regras no AWS WAF.

Ao criar um pacote de proteção (ACL da Web), especifique os tipos de recursos com os quais pretende utilizá-lo. Para mais informações, consulte Criar um pacote de proteção (ACL da Web) no AWS WAF. Depois de definir um pacote de proteção (ACL da Web), é possível associá-lo aos seus recursos para começar a fornecer proteção para eles. Para obter mais informações, consulte Associar ou desassociar um pacote de proteção a um recurso da AWS.

nota

Em algumas ocasiões, o AWS WAF poderá encontrar um erro interno que atrasará a resposta aos recursos da AWS associados sobre se deve permitir ou bloquear uma solicitação. Nessas ocasiões, o CloudFront normalmente permite a solicitação ou veicula o conteúdo, enquanto os serviços regionais, em geral, negam a solicitação e não veiculam o conteúdo.

Risco de tráfego de produção

Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte Testar e ajustar suas proteções do AWS WAF.

nota

O uso de mais de 1.500 WCUs em um pacote de proteção (ACL da Web) gera custos além do preço básico do pacote de proteção (ACL da Web). Para obter mais informações, consulte Unidades de capacidade da ACL da Web (WCU) no AWS WAF e Definição de preço do AWS WAF.

Inconsistências temporárias durante as atualizações

Quando você cria ou altera um pacote de proteção (ACL da Web) ou outros recursos do AWS WAF, as alterações demoram um pouco para serem propagadas em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos.

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração:

• Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível.

• Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.

• Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros.

• Ou, se você adicionar um endereço IP a um conjunto de IP que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

Tópicos

• Criar um pacote de proteção (ACL da Web) no AWS WAF

• Editar um pacote de proteção (ACL da Web) no AWS WAF

• Gerenciar o comportamento do grupo de regras

• Associar ou desassociar um pacote de proteção a um recurso da AWS

• Usar pacotes de proteção (ACLs da Web) com regras e grupos de regras no AWS WAF

• Definir a ação padrão do pacote de proteção (ACL da Web) no AWS WAF

• Considerações para gerenciar inspeção de corpo no AWS WAF

• Como configurar CAPTCHA, desafio e tokens no AWS WAF

• Como visualizar métricas de tráfego da Web no AWS WAF

• Excluir um pacote de proteção (ACL da Web)