集中入库检查 - 构建可扩展且安全的多VPC AWS 网络基础架构
AWS WAF 并 AWS Firewall Manager 用于检查来自互联网的入站流量

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

集中入库检查

就其本质而言,面向互联网的应用程序具有更大的攻击面,并且容易受到大多数其他类型的应用程序不必面对的威胁类别。为这些类型的应用程序提供必要的保护,使其免受攻击,并最大限度地减少影响表面积,是任何安全策略的核心部分。

当您在着陆区部署应用程序时,用户将通过面向公众的负载均衡器、API 网关或直接通过互联网网关通过公共互联网(例如,通过内容分发网络 (CDN) 或面向公众的 Web 应用程序)访问许多应用程序。在这种情况下,您可以使用 AWS Web 应用程序防火墙 (AWS WAF) 进行入站应用程序检查,或者使用 Gateway Load Balancer 或 IDS/IPS 入站检查来保护您的工作负载和应用程序。 AWS Network Firewall

当你继续在着陆区部署应用程序时,你可能需要检查入站互联网流量。您可以通过多种方式实现这一目标, AWS Network Firewall 包括使用分布式、集中式或组合式检查架构,使用运行第三方防火墙设备的 Gateway Load Balancer,或者通过使用开源 Suricata 规则使用高级 DPI 和 IDS/IPS 功能。本节涵盖了 Gateway Load Balancer 和 AWS Network Firewall 集中式部署,使用它 AWS Transit Gateway 作为路由流量的中心枢纽。

AWS WAF 并 AWS Firewall Manager 用于检查来自互联网的入站流量

AWS WAF 是一种 Web 应用程序防火墙,可帮助保护您的 Web 应用程序或 API 免受可能影响可用性、危及安全性或消耗过多资源的常见 Web 漏洞和机器人的侵害。 AWS WAF 允许您创建控制机器人流量和阻止常见攻击模式(例如 SQL 注入或跨站脚本 (XSS))的安全规则,从而控制流量如何到达您的应用程序。您还可以自定义过滤掉特定流量模式的规则。

您可以将应用程序负载均衡器 CloudFront 作为您的 CDN 解决方案的一部分部署在亚马逊 AWS WAF 上,在您的网络服务器上部署应用程序负载均衡器,用于您的 REST API API 或 AWS AppSync GraphQL API。

部署完成后 AWS WAF,您可以使用可视化规则生成器、JSON 中的代码、由维护的托管规则来创建自己的流量过滤规则 AWS,也可以从中订阅第三方规则 AWS Marketplace。这些规则可以通过根据指定模式评估流量来过滤掉不需要的流量。您可以进一步使用 Amazon CloudWatch 来监控传入流量指标和记录。

要在中对所有账户和应用程序进行集中管理 AWS Organizations,可以使用 AWS Firewall Manager。 AWS Firewall Manager 是一项安全管理服务,允许您集中配置和管理防火墙规则。在创建新应用程序时,通过强制执行一组通用的安全规则,可以轻松地 AWS Firewall Manager 使新的应用程序和资源达到合规性。

使用 AWS Firewall Manager,您可以轻松地为应用程序负载均衡器、API Gateway 实例和 Amazon CloudFront 分配推出 AWS WAF 规则。 AWS Firewall Manager 与 f AWS 托管式规则 or 集成 AWS WAF,这使您可以轻松地在应用程序上部署预先配置的精选 AWS WAF 规则。有关使用集中管理的更多信息 AWS WAF AWS Firewall Manager,请参阅集中管理 AWS WAF (API v2) 和使用 AWS 托管式规则 进行 AWS Firewall Manager大规模管理。

描绘集中式入站流量检查的示意图 AWS WAF

使用集中式入站流量检查 AWS WAF

在上述架构中,应用程序在私有子网中多个可用区的 Amazon EC2 实例上运行。在 Amazon EC2 实例前面部署了一个面向公众的应用程序负载均衡器 (ALB),用于在不同目标之间对请求进行负载平衡。与 AWS WAF ALB 关联。

优点

  • 借助 AWS WAF Bot Control,您可以查看和控制应用程序中常见且普遍存在的机器人流量。

  • 借助的托管规则 AWS WAF,您可以快速入门并保护您的 Web 应用程序或 API 免受常见威胁的侵害。您可以从许多规则类型中进行选择,例如解决开放网络应用程序安全项目 (OWASP) 十大安全风险、内容管理系统 (CMS) 特有的威胁(如 WordPress 或 Joomla),甚至是新出现的常见漏洞和暴露 (CVE)。随着新问题的出现,托管规则会自动更新,因此您可以将更多时间花在构建应用程序上。

  • AWS WAF 是一项托管服务,在此架构中不需要任何设备进行检查。此外,它还通过亚马逊数据Fire hose提供近乎实时的日志。 AWS WAF 让您近乎实时地了解您的网络流量,您可以使用它在 Amazon 中创建新规则或提醒。 CloudWatch

重要注意事项:

  • 此架构最适合 HTTP 标头检查和分布式检查,因为它 AWS WAF 集成在每个 ALB、 CloudFront 分发和 API Gateway 上。 AWS WAF 不记录请求正文。

  • 进入第二组 ALB(如果存在)的流量可能不会被同一个 AWS WAF 实例检查;因为会向第二组 ALB 发出新的请求。