Bagaimana menggunakan AWS WAF (Firewall Aplikasi Web)? Pertahanan yang berkesan terhadap suntikan SQL, skrip merentas laman web dan penggodaman jahat
Dalam persekitaran rangkaian awam, mana-mana perkhidmatan web luaran, antara muka APP atau laman web e-dagang, yang dibuka setiap hari, tidak hanya akan menghadapi pelanggan sebenar, tetapi juga padat
Pengimbas penggodam, perayap berus jahat, dan pelbagai serangan automatik terhadap kerentanan lapisan aplikasi
。
Banyak pasukan teknikal tidak mempunyai kesedaran pencegahan yang cukup, memikirkan bahawa memasang perisian anti-virus di pelayan dan mematikan port yang tidak digunakan oleh kumpulan keselamatan akan baik-baik saja. Hasilnya ialah:
Pangkalan data teras dijarah secara langsung oleh pernyataan suntikan SQL sederhana, laman web ditanamkan dengan skrip jahat (XSS), yang menyebabkan dana pengguna dicuri, atau antara muka aktiviti pemasaran digodam. Alat penggodam digunakan untuk mengeringkan ratusan ribu dalam beberapa minit belanjawan.
Dalam seni bina tradisional, untuk menangani serangan berbahaya lapisan aplikasi ini (lapisan ketujuh dalam model tujuh lapisan OSI), sebilangan besar kod belakang perlu diubah atau sekumpulan peraturan pemintas yang sangat rumit ditulis di peringkat Nginx. Kos operasi dan penyelenggaraan tinggi dan Sangat mudah untuk membunuh permintaan biasa.
Pembayaran awan AWS Amazon
Di Amazon Cloud, senjata pertahanan yang paling elegan dan bebas dari kebimbangan adalah
AWS WAF (Firewall Aplikasi Web, Firewall Aplikasi Web)
。 Ia seperti "pemeriksa keselamatan syaitan" yang berada di barisan depan pelayan. Sebelum permintaan itu sampai ke pelayan belakang anda, dia menyekat semua jenis senjata tersembunyi, racun, dan penyapu jahat di tepi.
Tutorial mendalam hari ini tidak membicarakan kata-kata hitam keselamatan yang mendalam, dan menggunakan perspektif praktikal yang paling berasas untuk membawa anda sepenuhnya menundukkan AWS WAF.
Prinsip Teras: Di manakah AWS WAF? Bagaimana ia berfungsi?
Sebelum mengkonfigurasi, mari kita ketahui di mana "pemeriksa keselamatan" ini berada dalam struktur anda. AWS WAF
Tidak boleh
Menggantung secara langsung pada pelayan awan EC2 tunggal, ia berfungsi melalui "parasit" pada tahap kemasukan lalu lintas dari tiga teras berikut:
Aplikasi Load Balancer (ALB): Beban penyamaan aplikasi anda.
Amazon CloudFront: Nod tepi CDN global anda.
Amazon API Gateway: Gerbang antara muka perkhidmatan mikro anda.
Pembayaran awan AWS Amazon
Apabila penggodam Amerika dengan teliti membina permintaan yang mengandungi kod jahat untuk dihantar:
Aliran pertama mencapai nod tepi CDN CloudFront (atau ALB).
AWS WAF campur tangan seketika. Ia akan menggunakan "Peraturan Pertahanan (Web ACL)" yang anda konfigurasikan untuk mengimbas Header permintaan, Query String (parameter URL), Body (badan permintaan) dan sumber IP seperti mesin sinar-X.
Sekiranya sesuai dengan ciri penggodam, WAF secara langsung memuntahkan 403 Forbidden di tepi, dan aliran serangan
Jumlahnya bahkan tidak dapat menyentuh rambut pelayan belakang anda, dan tidak akan memakan lebar jalur CPU dan perniagaan anda.
Tahap pertama: pendaratan tiga langkah pertahanan teras AWS WAF (kerja menyalin pertempuran sebenar)
Inti konfigurasi AWS WAF adalah membuat a
Web ACL (Senarai Kawalan Akses Web)
。 Kami secara langsung mengambil "melindungi pengimbangan beban ALB domestik atau luar negara" sebagai contoh untuk melakukan penyebaran pertahanan:
Langkah 1: Buat ACL Web Baru dan Ikat Entri
Log masuk ke Konsol Pengurusan AWS, cari dan pergi ke Konsol WAF & Shield.
Klik Web ACLs di bar navigasi di sebelah kiri, kemudian Buat Web ACL di sebelah kanan.
Konfigurasi parameter utama: Jenis Sumber: Sekiranya anda ingin melindungi CDN CloudFront, pilih Global (CloudFront); jika anda melindungi pengimbangan beban, pilih Sumber Daya dan pilih wilayah di mana pelayan anda berada (seperti kami-barat-2 Oregon). Nama: Beri nama yang menyegarkan, seperti prod-web-walf-acl.
Di afources AWS Associated di bawah, klik pada afources Add AWS untuk memeriksa contoh ALB yang anda menjalankan perkhidmatan Web. Klik Seterusnya.
Langkah 2: Konfigurasi satu klik set peraturan hosting rasmi AWS (menyekat suntikan SQL dan XSS)
AWS secara rasmi membantu kami menulis "perisai badan teratas" untuk menangani serangan penggodam konvensional, yang disebut
AWS Managed Rule Groups
。 Anda tidak perlu memahami konfrontasi keselamatan rangkaian lanjutan, aktifkan secara langsung dengan satu klik:
Pada halaman Add rules and rule groups, klik Add rules -> Add rule groups di sebelah kanan.
Kembangkan kumpulan kawalan AWS, dan anda akan melihat banyak penyelenggaraan rasmi dan peraturan kemas kini masa nyata. Sangat disarankan untuk memeriksa tiga "kekuatan utama" berikut dengan mata tertutup: Set teras teras (CRS): Set peraturan teras. Ini adalah jiwa WAF, yang mengandungi pertahanan terhadap kebanyakan kerentanan biasa (termasuk OWASP Top 10), kemasukan fail tempatan (LFI) dan serangan konvensional yang lain. SQL database (SQLi) set: SQL menyuntik pertahanan khas. Menatap watak khas pangkalan data dalam permintaan dan mengimpal pintu pangkalan data akhir kematian. Known bad inputs rule set: Pertahanan pengimbas kerentanan. Ramai penggodam suka menggunakan alat sumber terbuka automatik (seperti SQLmap) untuk menguji secara buta anda
Laman web, peraturan ini dapat mengenal pasti probe alat ini dengan tepat dan menyekatnya secara langsung.
Klik Tambah rules untuk menyimpan.
Langkah 3: Rate-based Rule-khusus dalam penggodaman jahat
Serangan kerentanan disekat, langkah seterusnya adalah menangani yang paling menyusahkan
Berus jahat, memukul perpustakaan, serangan crawler dan CC
。
Untuk mengisi lebar jalur anda atau memaksimumkan antara muka kod SMS/pengesahan anda, penggodam akan menggunakan sebilangan besar broiler atau IP proksi untuk menyentak dalam masa yang singkat. AWS WAF
Rate-based Rule (peraturan berdasarkan kadar)
Ini adalah kaedah terkuat untuk menyerahkan mereka.
Di halaman peraturan, klik Tambah rules -> Tambah rules dan rule groups.
Parameter konfigurasi: Rule type: tandakan Rate-based rule. Rate limit (garis merah kadar): Tetapkan had akses untuk satu IP dalam masa 5 minit. Sebagai contoh, untuk laman web biasa, tetapkan 2000. Sekiranya ia adalah antara muka pendaftaran/log masuk yang sangat sensitif, ia boleh dimampatkan hingga 100-300. Tindakan: Pilih Blok (pemintas langsung) atau Count (hanya rekod tanpa pemintas, biasanya untuk pemerhatian awal).
Dengan cara ini, setelah permintaan gila IP luar negara melebihi garis merah yang anda tetapkan dalam masa 5 minit, AWS WAF akan segera memborgol IP, dan semua lawatan seterusnya akan diberi ganjaran dengan 403, biasanya 5 hingga 10 minit. Ia akan disekat secara automatik apabila tingkah laku itu normal.
Tahap kedua: kemajuan master-bagaimana mengurangkan "kadar pembunuhan" WAF?
Terdapat titik kesakitan yang kekal dalam bidang keselamatan:
Semakin ketat pertahanan, semakin mudah membunuh orang baik secara tidak sengaja.
Sebagai contoh, jika pekerja kewangan syarikat anda memuat naik jadual Excel yang mengandungi formula kewangan di latar belakang, peraturan suntikan SQL WAF mungkin salah faham bahawa ini adalah kod penggodam dan secara langsung memintas kakak kewangan.
Pada hari pertama WAF dalam talian, arkitek yang berpengalaman akan menggunakan dua teknik berikut untuk menyempurnakan operasi:
1. Hidupkan ujian kebakaran "Count" terlebih dahulu
Jangan tarik perisai badan yang baru dibeli untuk menyekat peluru dengan segera. Apabila peraturan baru ditambahkan ke persekitaran pengeluaran:
Pembayaran awan AWS Amazon
Langkah besar untuk mengelakkan lubang: pertama-tama ubah semua Tindakan Pengurus Rules yang baru bergabung ke Majlis.
Dalam mod ini, WAF tidak akan benar-benar memintasnya ketika menemui permintaan yang disyaki, tetapi hanya meletakkan cap "suspek" di log untuk membiarkan permintaan itu terus berlalu.
Jalankan selama 3 hingga 7 hari dan pergi ke konsol untuk melihat log sampel WAF CloudWatch (log Sampled Watch). Sekiranya anda mendapati bahawa operasi biasa banyak pengguna biasa juga dicop, ini bermaksud
Peraturannya berlebihan. Pada masa ini, anda boleh mengecualikan sub-peraturan tertentu di konsol. Setelah mencuci dan membunuh, anda boleh menukar Aksi secara rasmi ke Blok.
2. Buka "saluran hijau (senarai putih IP)" dengan tepat
Sekiranya syarikat anda mempunyai rakan kongsi yang berdedikasi, atau IP rangkaian awam di kawasan pejabat dalaman perlu kerap memanggil antara muka, jangan biarkan mereka beratur dengan penggodam untuk pemeriksaan keselamatan.
Buat IP Set secara manual di WAF untuk memasukkan IP rangkaian awam tetap syarikat anda.
Tambahkan peraturan khusus ke ACL Web: Jika permintaan berasal dari Set IP ini, Tindakan secara langsung ditetapkan ke Allow (pelepasan), dan keutamaan peraturan ini (Priority) disebutkan di posisi 0 teratas. Dengan cara ini, lalu lintas dalaman dapat langsung disapu ke tempat tersebut.
Tahap ketiga: lihat buku bil AWS WAF (adakah mahal?)
Pengebilan AWS WAF sangat menyegarkan, ia tidak mempunyai overhead pelayan yang tidak kelihatan, ia menggunakan
Bayaran asas tetap, yuran pemprosesan aliran
Mod:
Yuran asas ACL Web: setiap ACL Web ditetapkan pada $10 sebulan.
Bayaran peraturan (Rule): Untuk setiap peraturan yang anda tambahkan ke ACL Web (misalnya, tandakan set CRS, atau tulis peraturan had laju sendiri), setiap peraturan akan dikenakan $1 sebulan (set peraturan hosting rasmi AWS Sebilangan besar disediakan secara percuma, tanpa wang tambahan).
Bayaran pemprosesan permintaan: Perbelanjaan yang benar-benar fleksibel, $0.60 dikenakan untuk setiap 1 juta permintaan yang diproses.
💡Kes kecil aktuari lejar: Andaikan anda membina ACL Web, menggantung 3 peraturan rasmi asas dan 1 peraturan had laju (jumlah keseluruhan 4 Rule), laman web anda mempunyai sejumlah 20 juta permintaan sebulan. Sewa bulanan tetap: $10 (ACL) $1*4 (Rules) = $14 Bayaran permintaan:(20 juta/1 juta) * $0.60 = $12 Jumlah bil: hanya $26 sebulan (kira-kira RMB 180). Dengan wang dari dua tiket filem, saya menyewa pengawal digital teratas yang dilindungi 24 jam untuk perniagaan teras syarikat.
Ringkasan dan formula pertahanan diri
Dalam seni bina awan moden, sangat berbahaya dan mundur untuk meletakkan pertahanan keselamatan pada kod belakang. Dengan AWS WAF, kami telah mencapai prestasi mencuci lalu lintas yang berniat jahat di pinggir rangkaian terluar. Akhirnya, saya akan memberi anda empat formula WAF yang digunakan oleh veteran:
Pintu masuk pertama gembok: WAF digantung di hadapan ALB atau CDN, dan tepi probe penggodam dipotong.
Hosting rasmi semuanya dihubungkan: CRS, SQLi ditambah suntikan, celah arus perdana dapat ditambah dengan satu klik.
Jumlah tekanan peraturan had laju: garis merah ditetapkan pada antara muka sensitif, dan perayap berbahaya berkelip secara langsung.
Count pertama dan kemudian B
Kunci: Jangan cuai dalam pengeluaran dan pengeluaran, lihat log terlebih dahulu dan kemudian tingkatkan.
Pembayaran atas talian bagi Amazon Web Services (AWS)
