Giờ đây, bạn có thể thêm các biện pháp bảo vệ AWS WAF vào các bản phân phối Amazon CloudFront chỉ bằng một cú nhấp chuột. Trong bài blog này, OSAM sẽ hướng dẫn bạn cách thiết lập và giám sát các biện pháp bảo vệ được cung cấp bởi tính năng mới này cùng với các đề xuất về giá và bảo mật bổ sung.
Blog này liên quan đến Amazon CloudFront — một dịch vụ AWS mà bạn có thể sử dụng để phân phối dữ liệu, video, ứng dụng và API một cách an toàn cho khách hàng của mình trên toàn cầu với độ trễ thấp và tốc độ truyền cao. CloudFront cải thiện hiệu suất của các ứng dụng tĩnh và động bằng cách lưu trữ nội dung gần người dùng vào bộ đệm ẩn, chấm dứt các kết nối TLS gần người dùng và định tuyến các yêu cầu của người dùng thông qua đường trục riêng của AWS thay vì Internet công cộng.
Các ứng dụng web và API có thể truy cập công khai đối mặt với các mối đe dọa như các lỗ hổng phổ biến được mô tả trong OWASP Top 10, tấn công SQL injection, các yêu cầu tự động và tấn công HTTP floods (tấn công từ chối dịch vụ (DoS)) có thể ảnh hưởng đến khả năng sẵn có, đe dọa bảo mật hoặc tiêu tốn tài nguyên quá mức. AWS WAF, một tường lửa ứng dụng web, phân tích các yêu cầu đến và giúp bạn chặn những loại mối đe dọa này trước khi chúng đến các máy chủ của bạn. Bạn có thể bảo vệ các phân phối CloudFront của mình bằng AWS WAF bằng cách cấu hình danh sách điều khiển truy cập web (web ACL) chứa các quy tắc bảo mật mà bạn muốn kích hoạt.
CloudFront hiện đã xử lý việc tạo và cấu hình AWS WAF web ACL với các bảo vệ ngay tức khắc được khuyến nghị bởi AWS cho tất cả các ứng dụng. Điều này cung cấp cho ứng dụng của bạn một hàng rào phòng ngự đầu tiên chống lại các mối đe dọa trên web. Các bảo vệ bao gồm chặn địa chỉ IP từ các mối đe dọa tiềm năng dựa trên thông tin độc quyền của Amazon, bảo vệ chống lại các lỗ hổng phổ biến nhất được tìm thấy trong các ứng dụng web như mô tả trong OWASP Top 10 và bảo vệ chống lại các kẻ tấn công xấu cố tìm ra các lỗ hổng trong ứng dụng. Tùy chọn, bạn có thể cấu hình các bảo vệ bổ sung sau này chống lại bot và gian lận hoặc các mối đe dọa khác đặc biệt đối với ứng dụng của bạn trong bảng điều khiển AWS WAF.
Kích hoạt các biện pháp bảo vệ an ninh trong CloudFront bằng một cú nhấp chuột
Bạn có thể bật các biện pháp bảo vệ bằng AWS WAF cho cả bản phân phối CloudFront mới và hiện có.
Tạo phân phối bằng cách chọn Tạo phân phối, sau đó nhập nguồn gốc bạn muốn bảo vệ. Ngoài ra, chọn Chỉnh sửa cho bản phân phối hiện có.
Trong phần Web Application Firewall (WAF) , chọn Bật bảo vệ bảo mật .
Xem lại các cài đặt phân phối còn lại và nhấp vào Tạo phân phối hoặc Lưu Cài đặt nếu bạn đang chỉnh sửa một phân phối hiện có.
Hình 1: Kích hoạt bảo vệ bảo mật với AWS WAF cho bản phân phối
CloudFront tạo ACL web AWS WAF, định cấu hình các quy tắc để bảo vệ máy chủ của bạn khỏi các mối đe dọa web phổ biến và đính kèm ACL web vào bản phân phối CloudFront cho bạn. Bạn có thể xem kết quả ACL web AWS WAF sau khi tạo hoặc chỉnh sửa bản phân phối của mình. Chọn liên kết để mở ACL web trong bảng điều khiển AWS WAF.
Hình 2: Xem xét bản phân phối và ACL web
Tab Tổng quan hiển thị các yêu cầu đã được ACL web kiểm tra.
Hình 3: Xem xét các yêu cầu được cho phép hoặc bị chặn bởi AWS WAF web ACL
Chọn tab Quy tắc để xem ba quy tắc được tạo tự động bởi các biện pháp bảo mật của CloudFront:
AWS-AWSManagedRulesAmazonIpReputationList – Chặn địa chỉ IP khỏi các mối đe dọa tiềm ẩn dựa trên thông tin tình báo về mối đe dọa nội bộ của Amazon.
AWS-AWSManagedRulesCommonRuleSet – Bảo vệ chống lại các lỗ hổng phổ biến nhất được tìm thấy trong các ứng dụng web như được mô tả trong Top 10 của OWASP.
AWS-AWSManagedRulesKnownBadInputsRuleSet – Bảo vệ chống lại các tác nhân độc hại phát hiện ra lỗ hổng ứng dụng.
Hình 4: Quy tắc Web ACL được tạo tự động cho phân phối CloudFront
Định cấu hình bảo vệ bổ sung
AWS WAF có các quy tắc bổ sung mà bạn có thể thêm vào ACL web của mình để bảo vệ khỏi các loại mối đe dọa web khác tùy thuộc vào nhu cầu ứng dụng của bạn.
Tấn công HTTP là một kiểu tấn công DoS làm tràn ngập ứng dụng web của bạn với số lượng yêu cầu HTTP cao bất thường. Bằng cách định cấu hình các quy tắc dựa trên tỷ lệ , bạn có thể chặn các địa chỉ IP nguồn vi phạm vượt quá số lượng yêu cầu mà bạn cho phép trong khoảng thời gian năm phút.
Lưu lượng bot có thể dẫn đến trải nghiệm khách hàng kém bằng cách tích trữ khoảng không quảng cáo hạn chế, tạo giao dịch thẻ tín dụng gian lận hoặc tăng chi phí lưu trữ. AWS WAF Bot Control có thể phát hiện và chặn lưu lượng bot nâng cao đang sử dụng các kỹ thuật phức tạp để tránh bị phát hiện.
Sẵn có và giá cả
Các biện pháp bảo mật bằng một cú nhấp chuột với AWS WAF hiện khả dụng trong bảng điều khiển CloudFront và có thể dùng để định cấu hình các bản phân phối CloudFront mới hoặc hiện có. Để tìm hiểu thêm, hãy xem Hướng dẫn dành cho nhà phát triển CloudFront.
Áp dụng giá AWS WAF tiêu chuẩn. ACL web AWS WAF do CloudFront tạo có chi phí ước tính là 14 USD/tháng cho 10 triệu yêu cầu/tháng. Việc thêm quy tắc hoặc phục vụ khối lượng yêu cầu khác sẽ thay đổi ước tính này. Để xem tổng số yêu cầu đối với phân phối CloudFront hiện có, hãy truy cập báo cáo thống kê Bộ nhớ cache trong phần Báo cáo & Phân tích của bảng điều khiển CloudFront. Để biết thông tin về giá cả, hãy xem Giá AWS WAF.
OSAM - Công ty cung cấp dịch vụ điện toán đám mây hàng đầu Châu Á
Nguồn tham khảo: AWS
Đọc thêm: