20/10/2022
Por Webereton Souza
O
AWS WAF (Web Application Firewall) é um
firewall de aplicação que fornece suporte ao top 10 do OWASP, também a
capacidade do time Darede para orientar e elaborar regras customizadas para os
diversos cenários dos clientes, inclusive quanto a gestão de logs.
Como o AWS WAF funciona
Usamos
o AWS WAF para controlar como seus recursos protegidos respondem às
solicitações HTTP(S) da web. Você faz isso definindo uma lista de controle de
acesso à web (ACL) e, em seguida, associando-a a um ou mais recursos de
aplicativos da Web que você deseja proteger. O AWS WAF pode ser atrelado aos
recursos: CloudFront, Applicantion Load Balancer, API Gateway e AWS AppSync.
Componentes da AWS WAF
Estes
são os componentes centrais do AWS WAF:
Web ACL— Você usa uma lista de
controle de acesso (ACL) da Web para proteger um conjunto de recursos AWS. Você
cria uma web ACL e define sua estratégia de proteção adicionando regras. As
regras definem critérios para inspecionar solicitações da web e especificam a
ação a ser tomada em solicitações que correspondam aos critérios. Você também
define uma ação padrão para a ACL da web que indica se deve bloquear ou
permitir qualquer solicitação que as regras ainda não tenham bloqueado ou
permitido.
Rules — Cada regra contém uma
declaração que define os critérios de inspeção e uma ação a ser tomada se uma
solicitação da web atender aos critérios. Quando uma solicitação da web atende
aos critérios, isso é uma correspondência. Você pode configurar regras para
bloquear solicitações correspondentes ou executar controles de CAPTCHA contra
eles.
Rules groups — Você pode usar regras
individualmente ou em grupos de regras reutilizáveis. O AWS Managed Rules e o AWS
Marketplace fornecem grupos de regras gerenciadas para uso. Você também pode
definir seus próprios grupos de regras.
Managed
rule groups
Managed
rule groups são conjuntos de regras predefinidas e prontas
para uso que os vendedores da AWS e do AWS Marketplace escrevem e mantêm para
você:
AWS
Managed Rules Groups estão disponíveis gratuitamente para clientes
do AWS WAF. Os grupos de regras AWS WAF Bot Control e AWS WAF Fraud Control
Account Takeover Prevention (ATP) têm taxas adicionais. Para obter mais
informações, consulte AWS WAF Pricing.
Os
grupos de regras gerenciadas do AWS Marketplace estão disponíveis por
assinatura por meio do AWS Marketplace. Cada um desses grupos de regras
pertence e é gerenciado pelo vendedor do AWS Marketplace.
Alguns
grupos de regras gerenciadas são projetados para ajudar a proteger tipos
específicos de aplicativos da Web, como WordPress, Joomla ou PHP. Outros
oferecem ampla proteção contra ameaças conhecidas ou vulnerabilidades comuns de
aplicativos da Web, incluindo as listadas no top 10 OWASP.
Se
você estiver sujeito à conformidade regulatória, como PCI ou HIPAA, poderá usar
grupos de regras gerenciadas para atender aos requisitos de firewall de
aplicativos da web.
Criação de regras customizadas no WAF
Passo 1 – identificar a Web Access Control List
Passo 2 – Clicar em Rules > Add my own rules and
rule groups
As regras podem ser criadas com base em IP Set (muito utilizadas para regrar uma black/White list) ou Rule builder onde você define critérios de filtragem das requisições que a aplicação web vai receber a fim de tomar uma ação pré-definida.
Neste exemplo vamos fazer uma regra de geolocalização, fazendo com que
solicitações vindas de um determinado país sejam negadas.
Daremos um nome para a regra e o tipo de checagem
Informação:
Ao
selecionar type “Regular rule” abragemos a checagem da regra em todas as
requisições desta aplicação web; por outro lado utilizando a opção “Rate-based
rule” determinamos uma quantidade limite de requisições em que é PERMITIDO num
período de 5 minutos que um IP tenha comunicação com essa aplicação web.
Selecionaremos o critério de filtro de país “Originates from a country in “>
Country codes > Source IP Address
Para este exemplo usaremos a Australia – AU
Após
isso daremos orientação ao tratamento do WAF em relação as requisições que
vierem da Angola
- Block – Requisições negadas/dropadas
- Allow – Requisições permitidas
- Count – Requisições permitidas gerando
contagem
- CAPTCHA – Requisições checadas quanto a
utilização humana
Após
clicar em Add rule, será necessário determinar a prioridade desta regra
- 0 – Primeira checagem da requisição
- 1 – Secunda checagem da requisição
- 2 – Terceira checagem da requisição
- Conseguinte…
Sendo
que estas regras serão lidas de cima para baixo.
Após clicar em save a regra já estará em utilização e sendo checada conforme a prioridade. Caso necessário, seja possível editar a regra selecionando seu checkbox e clicando em Edit.
Gestão de logs do AWS WAF
Esta
etapa fornece algumas opções de soluções de destino para os logs do AWS WAF.
Cada tópico fornece orientação para configurar o log para o tipo de destino e
informações sobre qualquer comportamento específico do tipo de destino. Depois
de configurar seu destino de log, você pode fornecer suas especificações à
configuração de log da web ACL para iniciar o log.
Tópicos
- Amazon
CloudWatch Logs
- Amazon
Simple Storage Service
- Amazon
Kinesis Data Firehose
- Amazon
OpenSearch
Exemplo
de arquitetura de gestão de logs do WAF:
Conheça a Darede MSSP (Managed Security Services Provider)
Manter
um sistema seguro é um trabalho diário. Pois basta um momento de desatenção
para colocar em risco todos os dados de um negócio. Por isso cada vez mais as
empresas buscam investir em processos e ferramentas de segurança. Pensando
nisso, a Darede possui um serviço que é capaz de gerenciar de forma completa
todo o setor de segurança da informação de sua empresa: o Darede MSSP (Managed Security
Services Provider).
weberton.souza@darede.com.br
Weberton possui uma vasta experiência na implementação e administração de ambientes Cloud Computing e é especializado em segurança da informação possuindo uma certificação AWS Security – Specialty.