كيفية استخدام AWS WAF (جدار حماية تطبيق الويب) ؟ دفاع فعال ضد حقن SQL والنصوص النصية عبر المحطات والفرش الخبيثة من قبل المتسللين

في بيئة الشبكة العامة ، تفتح أي خدمة ويب خارجية أو واجهة APP أو موقع إلكتروني للتجارة الإلكترونية أبوابها للعمل كل يوم ، وتواجه ليس فقط عملاء حقيقيين ، ولكن أيضًا مكتظة

الماسح الضوئي للقراصنة ، والزواحف الخبيثة ، والهجمات الآلية المختلفة ضد نقاط الضعف في طبقة التطبيق

.

لا يوجد لدى العديد من الفرق الفنية وعي كافٍ بالوقاية ، معتقدين أن تثبيت برنامج مكافحة الفيروسات على الخادم وإيقاف تشغيل المنافذ غير المستخدمة من قبل فريق الأمان سيكون كل شيء على ما يرام. والنتيجة هي:

تم نهب قاعدة البيانات الأساسية مباشرة من خلال عبارة حقن SQL بسيطة ، وتم زرع صفحات الويب في نصوص ضارة (XSS) ، مما أدى إلى سرقة أموال المستخدم ، أو تم اختراق واجهة النشاط التسويقي بواسطة أداة قرصنة الإنتاج.

في الهندسة المعمارية التقليدية ، للتعامل مع الهجمات الضارة لطبقة التطبيق هذه (الطبقة السابعة في نموذج OSI المكون من سبع طبقات) ، من الضروري تغيير عدد كبير من التعليمات البرمجية الخلفية أو كتابة مجموعة من قواعد الاعتراض المعقدة للغاية على مستوى Nginx. تكلفة التشغيل والصيانة مرتفعة ومن السهل قتل الطلبات العادية عن طريق الخطأ.

AWS الأمازون سحابة الدفع

على سحابة الأمازون ، السلاح الدفاعي الأكثر أناقة وخالي من القلق هو

AWS WAF(Web Application Firewall ، جدار حماية تطبيق الويب)

. إنه مثل "مفتش أمن الشيطان" الذي يقف في طليعة الخادم. قبل أن يصل الطلب إلى الخادم الخلفي الخاص بك ، فإنه يحجب جميع أنواع الأسلحة المخفية والسموم وجيش الفرشاة الخبيث خارج الباب.

لا يحتوي هذا البرنامج التعليمي المتعمق اليوم على كلمات أمان عميقة ، ويستخدم المنظور القتالي الفعلي الأكثر ارتباطًا لإخضاعك تمامًا لـ AWS WAF.

المبدأ الأساسي: أين هو AWS WAF ؟ كيف يعمل ؟

قبل التكوين ، يمكننا أولاً معرفة المكان الذي يقف فيه هذا "المفتش الأمني" في هيكلك. AWS WAF

لا أستطيع

يتم تعليقه مباشرة على خادم سحابة EC2 واحد ، وهو يعمل من خلال طبقات مدخل حركة المرور "الطفيلية" في النوى الثلاثة التالية:

Application Load Balancer (ALB): موازن تحميل التطبيق الخاص بك.

Amazon CloudFront: عقدة حافة CDN العالمية الخاصة بك.

Amazon API Gateway: بوابة واجهة الخدمات المصغرة الخاصة بك.

AWS الأمازون سحابة الدفع

عندما قام أحد المتسللين الأمريكيين ببناء طلب يحتوي على كود خبيث تم إرساله:

تصل حركة المرور أولاً إلى عقدة حافة CloudFront CDN (أو ALB).

AWS WAF تتدخل على الفور. سيستخدم "Web ACL" الذي قمت بتكوينه لمسح Header (رأس الطلب) و Query String (معلمة URL) و Body (جسم الطلب) ومصدر IP لهذا الطلب مثل جهاز الأشعة السينية.

إذا تطابق خصائص القرصنة ، فإن WAF تبصق 403 Forbidden على الحافة للاعتراض ، وتدفق الهجوم

لن يلمس الحجم حتى شعر الخادم الخلفي الخاص بك ، ولن يستهلك أي وحدة المعالجة المركزية وعرض النطاق الترددي للأعمال.

المرحلة الأولى: ثلاث خطوات للهبوط على الدفاع الأساسي لـ AWS WAF (عملية نسخ قتالية فعلية)

جوهر تكوين AWS WAF هو إنشاء

Web ACL (قائمة التحكم في الوصول إلى الويب)

. نأخذ "حماية موازنة تحميل ALB المحلية أو الخارجية" كمثال لنشرها الدفاعي:

الخطوة الأولى: إنشاء Web ACL وربط المدخل

قم بتسجيل الدخول إلى وحدة التحكم في إدارة AWS ، وابحث وادخل إلى وحدة التحكم WAF & Shield.

انقر على Web ACLs في شريط التنقل الأيسر ، ثم انقر على Create Web ACL على اليمين.

تكوين المعلمة الرئيسية: نوع Resource: إذا كنت ترغب في حماية CloudFront CDN ، فاختر CloudFront (CloudFront) ؛ إذا كنت تحمي توازن التحميل ، فاختر المواقع الإقليمية وحدد المنطقة التي يوجد فيها الخادم الخاص بك (مثل us-west-2 غرب ولاية أوريغون). الاسم: أعطيه اسمًا منعشًا ، مثل prod-web-waf-acl.

في Associated AWS resources أدناه ، انقر فوق Add AWS resources لتحديد مثيلات ALB التي تعمل بها على خدمات الويب. انقر على التالي.

الخطوة الثانية: تكوين مجموعة قواعد الاستضافة الرسمية AWS بنقرة واحدة (إغلاق حقن SQL مع XSS)

ساعدنا مسؤول AWS في كتابة "الدروع الواقية للبدن" للتعامل مع هجمات القرصنة التقليدية ، والتي تسمى

AWS Managed Rule Groups

. لا تحتاج إلى فهم المواجهة الأمنية للشبكة المتقدمة ، يمكنك تمكينها مباشرة بنقرة واحدة:

في صفحة Add rules and rule groups ، انقر فوق Add rules -> Add managed ruoups على اليمين.

قم بتشغيل مجموعات AWS managed ruoups ، وسترى مجموعة من القواعد الرسمية التي يتم الحفاظ عليها وتحديثها في الوقت الفعلي. يوصى بشدة بالتحقق من "الأساسات الأساسية" الثلاثة التالية بعيون مغلقة: Core rule set (CRS): مجموعة القواعد الأساسية. هذه هي روح WAF ، والتي تحتوي على دفاع ضد معظم نقاط الضعف الشائعة (بما في ذلك OWASP Top 10) والملفات المحلية بما في ذلك (LFI) والهجمات التقليدية الأخرى. قاعدة بيانات SQL (SQLi) rule set: دفاع خاص لحقن SQL. يحدق على وجه التحديد في الأحرف الخاصة لقاعدة البيانات في الطلب ، بوابة قاعدة البيانات في النهاية بعد اللحام. Known bad inputs rule set: الدفاع عن الثغرات. يحب العديد من المتسللين استخدام أدوات آلية مفتوحة المصدر (مثل SQLmap) لاختبارك بشكل أعمى

موقع الويب ، يمكن لهذه القاعدة تحديد تحقيقات هذه الأدوات بدقة ومنعهم مباشرة.

انقر على حفظ Add rules.

الخطوة الثالثة: فتح قاعدة معدل التشغيل-خاصة للتعامل مع عدد الفرشاة الخبيثة للمتسللين

تم حظر هجوم الثغرة الأمنية ، والخطوة التالية هي التعامل مع أكثر الصداع

حجم الفرشاة الخبيثة ، اصطدام المستودعات ، الزواحف وهجمات CC

.

من أجل ملء عرض النطاق الترددي الخاص بك أو تفجير واجهة SMS/رمز التحقق ، سيستخدم المتسللون عددًا كبيرًا من دجاج التسمين أو IP الوكيل للتزامن في وقت قصير. AWS WAF

Rate-based Rule (قاعدة قائمة على المعدل)

إنها أقوى وسيلة لاستسلمهم.

في صفحة القواعد ، انقر على Add rules -> Add my own rules and rule groups.

معلمات التكوين: نوع القاعدة: ضع علامة على rule-based. Rate limit (الخط الأحمر للمعدل): قم بتعيين حد أقصى للوصول إلى عنوان IP واحد في غضون 5 دقائق. على سبيل المثال ، بالنسبة لموقع ويب عادي ، يكفي إعداد 2000. إذا كانت واجهة تسجيل/تسجيل الدخول حساسة للغاية ، يمكن ضغطها إلى 100-300. Action: اختر Block (اعتراض مباشر) أو Count (سجل فقط وليس اعتراض ، وعادة ما يستخدم للمراقبة الأولية).

بهذه الطريقة ، بمجرد أن يتجاوز طلب IP خارجي معين الخط الأحمر الذي حددته في غضون 5 دقائق ، ستقوم AWS WAF على الفور بتقييد يدي هذا IP ، وستكافئه جميع الزيارات التالية بـ 403 ، عادةً من 5 إلى 10 دقائق. بعد السلوك الطبيعي ، سيتم إلغاء حظره تلقائيًا.

المرحلة الثانية: تقدم الماجستير-كيفية تقليل "معدل القتل غير العمد" لـ WAF ؟

هناك نقطة ألم أبدية في مجال الأمن:

كلما كان الدفاع أكثر صرامة ، كان من الأسهل قتل الأشخاص الطيبين عن طريق الخطأ.

على سبيل المثال ، يقوم الموظفون الماليون في شركتك بتحميل نموذج Excel يحتوي على صيغة مالية في الخلفية. قد تعتقد قواعد حقن SQL الخاصة بـ WAF خطأً أن هذا هو رمز اختراق ، ويعترض الأخت المالية مباشرة.

في اليوم الأول من إطلاق WAF ، سيستخدم المهندسون المعمرون المهارات التالية لصقل عملياتهم:

1. قم أولاً بتشغيل اختبار "Count"

لا تسحب الدروع الواقية للطلاء التي تم شراؤها حديثًا على الفور لمنع الرصاص. بمجرد إضافة القواعد في بيئة الإنتاج:

AWS الأمازون سحابة الدفع

خدعة تجنب الحفرة: قم أولاً بتغيير جميع إجراءات القواعد التنفيذية التي تمت إضافتها للتو إلى كونت.

في هذا الوضع ، عندما تجد WAF طلبًا مشبوهًا ، فإنها لن تعترض عليه حقًا ، ولكنها ستضع فقط ختم "المشتبه به" في السجل للسماح باستمرار الطلب.

قم بتشغيل 3 إلى 7 أيام ، واذهب إلى وحدة التحكم للتحقق من سجلات أخذ عينات CloudWatch (سجلات Sampled) في WAF. إذا تم العثور على العديد من العمليات العادية للمستخدمين العاديين مختومة أيضًا ، فهذا يعني

القواعد مفرطة. في هذا الوقت ، يمكنك إجراء Exclude (الاستبعاد) لقواعد فرعية محددة في وحدة التحكم ، ثم تبديل Action رسميًا إلى Block بعد غسلها وقتلها.

2. فتح "القناة الخضراء (القائمة البيضاء IP)" بدقة

إذا كان لدى شركتك شريك خاص ، أو تحتاج عناوين IP الخاصة بالشبكة العامة في منطقة المكتب الداخلي إلى الاتصال بالواجهة بشكل متكرر ، فلا تدعهم يصطفون مع المتسللين لتجاوز الفحص الأمني.

قم بإنشاء IP Set يدويًا في WAF ، حيث يمكنك إدخال IP العام الثابت لشركتك.

أضف قاعدة مخصصة إلى Web ACL: إذا كان الطلب يأتي من IP Set ، يتم تعيين Action مباشرة على Allow ، ويتم ذكر أولوية هذه القاعدة (Priority) إلى الموضع رقم 0 في الأعلى. بهذه الطريقة ، يمكن لحركة المرور الداخلية أن تذهب مباشرة إلى الميدان.

المرحلة الثالثة: انظر إلى دفتر الفوترة الخاص بـ AWS WAF (هل هو مكلف ؟)

فواتير AWS WAF منعشة للغاية ، فهي لا تحتوي على أي نفقات خادم غير مرئية.

رسوم قاعدة ثابتة رسوم معالجة حركة المرور

نمط:

رسوم قاعدة ACL على الويب: يتم فرض رسوم شهرية ثابتة قدرها 10 دولارات لكل Web ACL.

رسوم القاعدة: مقابل كل قاعدة تضيفها إلى Web ACL (مثل وضع علامة على مجموعة CRS ، أو كتابة قاعدة حد السرعة بنفسك) ، يتم فرض رسوم قدرها 1 دولار شهريًا على كل قاعدة (يتم توفير معظم مجموعات قواعد الاستضافة الرسمية الخاصة بـ AWS مجانًا ، بدون أموال إضافية).

رسوم معالجة الطلب: نفقات مرنة حقيقية ، 0.60 دولار لكل مليون طلب يتم معالجتها.

💡الحالة الاكتوارية للدفتر الأستاذ: لنفترض أنك أنشأت ACL Web ، وعلق 3 قواعد رسمية أساسية بالإضافة إلى قاعدة واحدة للحد الأقصى للسرعة (إجمالي 4 قواعد) ، يحتوي موقع الويب الخاص بك على ما مجموعه 20 مليون طلب في الشهر. الإيجار الشهري الثابت: 10 دولارات (ACL) 1*4 دولارات (Rules) = 14 دولارًا رسوم الطلب:(20 مليون/1 مليون) * 0.60 دولارًا = 12 دولارًا إجمالي الفاتورة: فقط 26 دولارًا أمريكيًا (حوالي 180 يوان صيني) في الشهر). باستخدام أموال تذكرتين للسينما ، قمت بتوظيف حارس شخصي رقمي رفيع المستوى لا يتعب من حماية الأعمال الأساسية للشركة على مدار 24 ساعة.

ملخص والدفاع عن النفس

في البنية السحابية الأصلية الحديثة ، من الخطير للغاية والمتخلف تعليق الدفاع الأمني على الكود الخلفي. باستخدام AWS WAF ، أكملنا إنجاز غسل حركة المرور الضارة على حافة الشبكة الخارجية. أخيرًا ، أرسل لك أربع صيغ WAF التي تستخدمها جميع المحاربين القدامى:

أول قفل عند المدخل: يتم تعليق WAF أمام ALB أو CDN ، ويتم قطع حافة مسبار القرصنة.

الاستضافة الرسمية كاملة: CRS ، SQLi بالإضافة إلى الحقن ، يتم ملء الثغرات الرئيسية بنقرة واحدة.

مقدار الضغط على قاعدة الحد الأقصى للسرعة: تحدد الواجهة الحساسة خطًا أحمر ، ويومض الزواحف الخبيثة مباشرة.

أول كونت ثم ب

Lock: لا تهتم بإصدار الإنتاج ، انظر إلى السجل قبل الترقية.

AWS الأمازون سحابة الدفع