在 Amazon CloudFront 中一键缓解常见的网络威胁

现在,您可以一键将 亚马逊云科技 WAF 保护添加到 亚马逊 CloudFr on t 发行版中。在本演练中,我们将指导您设置和监控这项新功能提供的保护,以及定价和其他安全建议。

本博客与 Amazon CloudFront 有关,这是一项 亚马逊云科技 服务,您可以使用它以低延迟和高传输速度安全地向全球客户交付数据、视频、应用程序和 API。CloudFront 通过在用户附近缓存内容、终止靠近用户的 TLS 连接以及通过 亚马逊云科技 的私有主干网而不是公共互联网路由用户请求,来提高静态和动态应用程序的性能。

可公开访问的 Web 应用程序和 API 面临威胁,例如 OWASP Top 10 中描述的常见漏洞、SQL 注入、自动请求和 HTTP 洪水(拒绝服务 (DoS)),这些漏洞可能会影响可用性、危及安全性或消耗过多的资源。亚马逊云科技 WAF 是一款网络应用防火墙,可分析传入的请求,并帮助您在这些类型的威胁到达您的服务器之前将其阻止。通过配置包含您要启用的安全规则的网络访问控制列表 (Web ACL),您可以使用 亚马逊云科技 WAF 保护您的 CloudFront 发行版。

CloudFront 现在负责创建和配置 亚马逊云科技 WAF Web ACL,亚马逊云科技 建议为所有应用程序提供开箱即用的保护。这为您的应用程序提供了抵御网络威胁的第一道防线。包含的安全保护措施可根据亚马逊内部威胁情报阻止 IP 地址免受潜在威胁,防御 OWASP Top 10 中描述的 Web 应用程序中最常见的漏洞,并防范恶意行为者发现应用程序漏洞。或者,您可以稍后在 亚马逊云科技 WAF 控制台中配置额外的安全保护措施,以防范自动程序、欺诈或其他特定于您的应用程序的威胁。

一键在 CloudFront 中启用安全保护

您可以使用 亚马逊云科技 WAF 为新的和现有 CloudFront 发行版启用安全保护。

  1. 打开 亚马逊 CloudFront 控制台
  2. 通过选择 “创建分配” 来创建分配,然后输入要保护的来源。或者,为现有发行版选择 “编辑”。
  3. Web 应用程序防火墙 (WAF) 部分中,选择 启用安全保护
  4. 查看剩余的分发设置,然后单击 “ 创建分配 ” , 如果正在编辑现有分配,则单击 “ 保存设置”
Figure showing the security protection configuration for the CloudFront distribution

图 1:使用 亚马逊云科技 WAF 为分发启用安全保护

CloudFront 创建 亚马逊云科技 WAF 网络 ACL,配置规则以保护您的服务器免受常见网络威胁,并将网络 ACL 为您附加到 CloudFront 发行版。在创建或编辑您的分配后,您可以看到生成的 亚马逊云科技 WAF Web ACL。选择该链接在 亚马逊云科技 WAF 控制台中打开网络 ACL。

图 2:查看分布和 Web ACL

述 选项卡显示经过 Web ACL 检查的请求。

Figure showing requests being allowed or blocked by the AWS WAF web ACL

图 3:查看 亚马逊云科技 WAF Web ACL 允许或阻止的请求

选择规则选项卡查看由 CloudFront 安全保护自动创建的三条规则:

  1. 亚马逊云科技-awsManagedRulesAmazonipreputationList — 根据亚马逊内部威胁情报屏蔽 IP 地址免受潜在 威胁。
  2. 亚马逊云科技-亚马逊云科技ManagedRulesCommonRulesSet — 防范 Web 应用程序中最常见的漏洞,如 OWASP 十大漏洞所述。
  3. 亚马逊云科技-亚马逊云科技ManagedRulesKnownbadInputsRule Set — 防范恶意行为者发现应用程序漏洞。
Figure showing the web ACL rules automatically created for the CloudFront distribution

图 4:为 CloudFront 发行版自动创建的 Web ACL 规则

配置其他保护

亚马逊云科技 WAF 还有其他规则,您可以根据应用程序的需求将其他规则添加到网络 ACL 中,以防范其他类型的网络威胁。

HTTP 洪水 是一 种 DoS 攻击,它会用异常多的 HTTP 请求淹没您的 Web 应用程序。通过 配置基于速率的规则 ,您可以阻止在五分钟内超过允许的请求数的违规源 IP 地址。

机器人流量 可能会囤积有限的库存、产生欺诈性的信用卡交易或增加托管成本,从而导致不良的客户体验。 亚马逊云科技 WAF Bot Control 可以 检测和阻止高级爬虫流量 ,这些流量 使用复杂的技术来逃避检测。

可用性和定价

亚马逊云科技 WAF 的一键式安全保护现已在 CloudFront 控制台中提供,可用于配置新的或现有的 CloudFront 发行版。要了解更多信息,请参阅 CloudFront 开发人员指南

适用标准 亚马逊云科技 WAF 定价。由 CloudFront 创建的 亚马逊云科技 WAF Web ACL 的成本估计为每月 1 千万次请求的费用为 14 美元。添加规则或提供不同的请求量会改变这一估计。要查看现有 CloudFront 分配的请求总数,请访问 CloudFront 控制台的 “ 报告和分析 ” 部分中的 缓存统计 报告。有关定价的信息,请参阅 亚马逊云科技 WAF 定价。

作者简介

dmacnz.png

大卫麦克唐纳

David 是一名高级解决方案架构师,致力于帮助新西兰初创企业构建安全和可扩展的解决方案。他在职业生涯的大部分时间里都在开发和运营服务于各个行业的SaaS产品。工作之余,大卫是个业余农民,照顾一小群羊驼和山羊。

graziacr.jpeg

克里斯蒂安·格拉齐亚诺

克里斯蒂安·格拉齐亚诺是总部位于西雅图的亚马逊CloudFront的高级产品经理。他从事产品、工程和用户体验方面的工作,帮助首次使用和有经验的 亚马逊云科技 客户快速加入、配置和管理 Amazon CloudFront 和相关的 亚马逊云科技 服务。

*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。