View a markdown version of this page

Utilización AWS WAF con Amazon CloudFront - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, y AWS Shield director de seguridad de red

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilización AWS WAF con Amazon CloudFront

Obtén información sobre cómo utilizarlas AWS WAF con CloudFront las funciones de Amazon.

Al crear un paquete de protección (ACL web), puede especificar una o más CloudFront distribuciones que desee AWS WAF inspeccionar. CloudFront admite dos tipos de distribuciones: distribuciones estándar que protegen a los inquilinos individuales y distribuciones multiusuario que protegen a varios inquilinos mediante una única plantilla de configuración compartida. AWS WAF inspecciona las solicitudes web para ambos tipos de distribución en función de las reglas que defina en sus paquetes de protección (ACL web), con patrones de implementación diferentes para cada tipo.

Cómo AWS WAF funciona con distintos tipos de distribución

Tipos de distribución

AWS WAF proporciona capacidades de firewall de aplicaciones web para distribuciones de distribución estándar y multiusuario. CloudFront

Distribuciones estándar

En el caso de las distribuciones estándar, AWS WAF añade protección mediante un único paquete de protección (ACL web) para cada distribución. Puede habilitar esta protección asociando un paquete de protección existente (ACL web) a una CloudFront distribución o utilizando la protección con un solo clic en la consola. CloudFront Esto le permite administrar los controles de seguridad de cada una de sus distribuciones de forma independiente, ya que cualquier cambio en un paquete de protección (ACL web) solo afectará a la distribución asociada a él.

Este sencillo método de protección de CloudFront las distribuciones es óptimo para proporcionar a los dominios individuales protecciones específicas a partir de un único paquete de protección (ACL web).

Consideraciones de distribución estándar
  • Los cambios en un paquete de protección (ACL web) afectan únicamente a su distribución asociada

  • Cada distribución requiere una configuración de paquete de protección (ACL web) independiente

  • Las reglas y los grupos de reglas se administran por separado para cada distribución

Multi-tenant distribuciones

En el caso de las distribuciones con varios usuarios, AWS WAF añade protección en varios dominios mediante un único paquete de protección (ACL web). Los dominios que se administran mediante distribuciones de varios inquilinos se conocen como inquilinos de distribución. Solo puede habilitar la AWS WAF protección de las distribuciones con varios inquilinos en la CloudFront consola, ya sea durante o después del proceso de creación de la distribución con varios inquilinos. Sin embargo, los cambios en un paquete de protección (ACL web) se siguen gestionando a través de la AWS WAF consola o la API.

Multi-tenant las distribuciones ofrecen la flexibilidad necesaria para habilitar AWS WAF las protecciones en dos niveles:

  • Multi-tenant nivel de distribución: los paquetes de protección asociados (ACL web) proporcionan controles de seguridad básicos que se aplican a todas las aplicaciones que comparten esa distribución

  • Nivel de distribución de inquilino: los inquilinos individuales de una distribución de varios inquilinos pueden tener sus propios paquetes de protección (ACL web) para implementar controles de seguridad adicionales o anular la configuración de distribución de varios inquilinos

Estos dos niveles hacen que las distribuciones multiusuario sean óptimas para compartir AWS WAF protecciones en varios dominios sin perder la capacidad de personalizar la seguridad de una distribución individual.

Multi-tenant consideraciones de distribución

  • Los inquilinos de distribución individuales heredan los cambios que se realizan en los paquetes de protección (ACL web) asociados a las distribuciones de varios inquilinos relacionadas.

  • Los paquetes de protección (ACL web) asociados a inquilinos de distribución específicos pueden anular los ajustes configurados para el paquete de protección (ACL web) de varios inquilinos.

  • Los grupos de reglas administradas se pueden implementar tanto en las distribuciones como en los inquilinos de distribución.

  • Los identificadores de las aplicaciones se pueden ubicar en los registros para rastrear los eventos de seguridad por distribución.

AWS WAF características por tipo de distribución

Comparación de las implementaciones del paquete de protección (ACL web)
AWS WAF Característica Distribuciones estándar Multi-tenant distribuciones
Asociación de paquetes de protección (ACL web) Un paquete de protección (ACL web) por distribución Puede compartir paquetes de protección (ACL web) entre los inquilinos, con paquetes de protección (ACL web) opcionales específicos para cada inquilino
Administración de reglas Las reglas afectan a una única distribución Multi-tenant las reglas de distribución afectan a todos los inquilinos asociados; las reglas de distribución específicas para cada inquilino afectan solo a ese inquilino
grupos de reglas administradas Se aplica a distribuciones individuales Se puede aplicar en la distribución de varios inquilinos para todos los inquilinos o en el inquilino para aplicaciones específicas.
Registro Registros estándar AWS WAF Los registros incluyen identificadores de inquilinos para la atribución de eventos de seguridad

Utilización AWS WAF con planes CloudFront Flat-Rate de precios

CloudFront los planes de precios fijos combinan la red CloudFront global de entrega de contenido (CDN) de Amazon con múltiples funciones Servicios de AWS y en un precio mensual sin cargos por exceso, independientemente de los picos de tráfico o los ataques.

Flat-rate los planes de precios incluyen lo siguiente Servicios de AWS y funciones por un simple precio mensual:

  • CloudFront CDN

  • AWS WAF y protección contra DDoS

  • Administración y análisis de bots

  • DNS de Amazon Route 53

  • Ingestión CloudWatch de Amazon Logs

  • Certificado TLS

  • Computación de periferia sin servidor

  • Créditos de almacenamiento de Amazon S3 cada mes

Los planes están disponibles en los niveles Free, Pro, Business y Premium para adaptarse a las necesidades de la aplicación. Los planes no necesitan un compromiso anual para obtener las mejores tarifas disponibles. Comience con el plan gratuito y actualícelo para acceder a más capacidades y mayores límites de uso.

Para obtener más información y una lista completa de planes y funciones, consulta los planes CloudFront de precios fijos en la Guía para CloudFront desarrolladores de Amazon.

importante

Al utilizar cualquier plan de precios, debe permanecer asociado a su CloudFront distribución un paquete de AWS WAF protección válido (ACL web). No puede eliminar la asociación del paquete de protección (ACL web) a menos que vuelva a utilizar los precios de pago por uso.

Si bien una ACL AWS WAF web debe permanecer asociada a su distribución, usted mantiene el control total sobre la configuración de seguridad. Puede personalizar su protección ajustando las reglas que están habilitadas o deshabilitadas en su ACL web y modificar la configuración de las reglas para que se ajuste a sus requisitos de seguridad. Para obtener información sobre la administración de las reglas de ACL web, consulte AWS WAF Reglas.

Monetización del tráfico de IA con CloudFront

La monetización del tráfico de IA está disponible exclusivamente para los recursos de ACL AWS WAF web asociados a las CloudFront distribuciones de Amazon. La verificación y la liquidación de los pagos se realizan en ubicaciones CloudFront periféricas, lo que minimiza la latencia para los agentes de todo el mundo.

Consideraciones a la hora de utilizar la monetización del tráfico mediante IA con CloudFront Functions y Lambda @Edge

Cuando utilice CloudFront Functions o Lambda @Edge con distribuciones que tengan reglas de monetización AWS WAF, tenga en cuenta el siguiente comportamiento para las respuestas generadas. AWS WAF

AWS WAF-respuestas generadas (desafío 402 Payment Required)

Viewer-response la función (CloudFront Functions and Lambda @Edge) no se ejecuta en la respuesta 402 AWS WAF generada. No puede utilizar estas funciones para personalizar el desafío de pago obligatorio. Tampoco puede añadirle encabezados ni modificarlo. Si necesitas agregar encabezados personalizados a 402 respuestas (por ejemplo, encabezados CORS o de análisis), usa en su lugar una política de encabezados de respuesta. Las políticas de encabezados de respuesta se aplican a las respuestas generadas. AWS WAF

Para obtener más información sobre CloudFront las funciones y las políticas de encabezados de respuesta, consulta lo siguiente:

Respuestas pagadas (200 después de la liquidación)

Tras liquidar correctamente el pago, la respuesta de Origin pasa por el proceso de CloudFront respuesta normal, que incluye la función de respuesta del espectador. Una función de respuesta del espectador puede modificar la respuesta que recibe el agente tras el pago. Por ejemplo, puede cambiar el código de estado o eliminar los encabezados.

Monetización del tráfico de IA con CloudFront

La monetización del tráfico de IA está disponible exclusivamente para las ACL web asociadas a las distribuciones de Amazon CloudFront . La verificación de los pagos y la emisión de los tokens de acceso se realizan en ubicaciones CloudFront periféricas, lo que minimiza la latencia para los agentes de todo el mundo.

¿Por qué CloudFront solo

La monetización requiere:

  • Edge-native verificación de pago: los comprobantes de pago se verifican in situ sin tener que ir de ida y vuelta al lugar de origen.

  • Emisión global de fichas: las fichas de acceso limitado se emiten en la periferia y se utilizan en todas las ubicaciones periféricas con la misma distribución.

  • Generación del manifiesto de precios: la respuesta 402 con detalles sobre los precios se genera en la periferia, lo que mantiene el flujo por debajo del objetivo de latencia de los protocolos de pago de máquina a máquina.

Las ACL web regionales (Application Load Balancer,,, Cognito, App Runner, Verified Access) no admiten la acción Monetizar. Si se configura una regla de monetización en una ACL web regional, se omite la regla y la solicitud pasa a la siguiente regla.

Comportamiento en caché con contenido monetizado

Los recursos monetizados requieren una configuración de caché especial para evitar que el acceso de pago de un agente sirva contenido en caché a otro agente.

Configuración de caché recomendada para las rutas monetizadas:

OpciónValorMotivo
Política de cachéCachingDisabled o personalizadaImpide el uso compartido de la caché entre agentes
Política de solicitud de origenIncluye X-Agent-Id encabezados X-Access-TokenPermite que Origin valide los tokens específicos del agente
TTL0 (o abreviado, según las necesidades de frescura del contenido)Garantiza que cada solicitud de un agente sea evaluada por AWS WAF

Si necesita almacenamiento en caché para mejorar el rendimiento, configure una clave de caché por agente:

  • X-Agent-IdAñádala a la clave de caché mediante una política de caché personalizada.

  • Esto garantiza que cada agente reciba su propia copia en caché después del pago, sin entregar el contenido de pago a otros agentes.

importante

Si habilitas el almacenamiento en caché sin claves de caché por agente, es posible que una respuesta pagada se envíe desde la caché a los siguientes agentes sin necesidad de verificar el pago. Incluye siempre la identidad del agente en la clave de caché para las rutas monetizadas.

Características de latencia

FaseLatencia típicaNotas
Clasificación + 402 generación<10 msSe ejecuta en línea en el borde
Verificación del pago<30 msLa validación de la prueba es criptográfica, sin llamada externa
Emisión del token más obtención del origenLatencia estándar CloudFront Igual que una solicitud normal
Gastos generales adicionales totales<50 msLatencia de solicitud superior a la estándar

CloudFront configuración de distribución

No es necesario realizar cambios en CloudFront la configuración de distribución para habilitar la monetización. La función se controla completamente mediante la configuración de la ACL AWS WAF web y del paquete de protección.

Asegúrese de lo siguiente:

  • Asociación de ACL web: su distribución debe tener una ACL AWS WAF web asociada con Bot Control y una regla de monetización.

  • Encabezados de respuesta de Origin: si tu origen establece Cache-Control encabezados, comprueba que no entren en conflicto con la estrategia de almacenamiento en caché por agente para las rutas monetizadas.

  • Páginas de error personalizadas: las páginas de error CloudFront personalizadas para las respuestas de 4xx no se aplican a las 402 respuestas generadas por el usuario. AWS WAF El manifiesto de precios lo publica directamente. AWS WAF