Keamanan - Otomasi Keamanan untuk AWS WAF
Peran IAMDataKemampuan perlindungan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan

Ketika Anda membangun sistem di atas AWS infrastruktur, tanggung jawab keamanan dibagi antara Anda dan AWS. Model tanggung jawab bersama ini mengurangi beban operasional Anda karena AWS mengoperasikan, mengelola, dan mengontrol komponen termasuk sistem operasi host, lapisan virtualisasi, dan keamanan fisik fasilitas tempat layanan beroperasi. Untuk informasi lebih lanjut tentang AWS keamanan, kunjungi AWS Cloud Keamanan.

Peran IAM

Dengan IAM peran, Anda dapat menetapkan akses terperinci, kebijakan, dan izin ke layanan dan pengguna di. AWS Cloud Solusi ini menciptakan IAM peran dengan hak istimewa paling sedikit, dan peran ini memberikan sumber daya solusi dengan izin yang diperlukan.

Data

Semua data yang disimpan dalam bucket Amazon S3 dan tabel DynamoDB memiliki enkripsi saat istirahat. Data dalam perjalanan dengan Firehose juga dienkripsi.

Kemampuan perlindungan

Aplikasi web rentan terhadap berbagai serangan. Serangan ini termasuk permintaan yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan atau mengendalikan server; serangan volumetrik yang dirancang untuk menjatuhkan situs web; atau bot dan pencakar buruk yang diprogram untuk mengikis dan mencuri konten web.

Solusi ini digunakan CloudFormation untuk mengonfigurasi AWS WAF aturan, termasuk Peraturan yang Dikelola AWS grup aturan dan aturan khusus, untuk memblokir serangan umum berikut:

  • AWSAturan Terkelola — Layanan terkelola ini memberikan perlindungan terhadap kerentanan aplikasi umum atau lalu lintas lain yang tidak diinginkan. Solusi ini mencakup grup aturan reputasi IP AWS AWS Terkelola, grup aturan dasar terkelola, dan grup aturan khusus kasus penggunaan AWS terkelola. Anda memiliki opsi untuk memilih satu atau beberapa grup aturan untuk web AndaACL, hingga kuota unit ACL kapasitas web maksimum (WCU).

  • SQLInjeksi — Penyerang memasukkan SQL kode berbahaya ke dalam permintaan web untuk mengekstrak data dari database Anda. Kami merancang solusi ini untuk memblokir permintaan web yang berisi SQL kode yang berpotensi berbahaya.

  • XSSPenyerang menggunakan kerentanan di situs web jinak sebagai kendaraan untuk menyuntikkan skrip situs klien berbahaya ke browser web pengguna yang sah. Kami merancang ini untuk memeriksa elemen permintaan masuk yang umum dieksplorasi untuk mengidentifikasi dan memblokir serangan. XSS

  • HTTPbanjir — Server web dan sumber daya backend lainnya berisiko terkena DDoS serangan, seperti banjir. HTTP Solusi ini secara otomatis memanggil aturan berbasis tarif ketika permintaan web dari klien melebihi kuota yang dapat dikonfigurasi. Atau, Anda dapat menerapkan kuota ini dengan memproses AWS WAF log menggunakan fungsi Lambda atau kueri Athena.

  • Pemindai dan probe — Sumber berbahaya memindai dan menyelidiki aplikasi web yang menghadap ke internet untuk kerentanan, dengan mengirimkan serangkaian permintaan yang menghasilkan kode kesalahan 4xx. HTTP Anda dapat menggunakan riwayat ini untuk membantu mengidentifikasi dan memblokir alamat IP sumber berbahaya. Solusi ini membuat fungsi Lambda atau kueri Athena yang secara otomatis mem-parsing CloudFront atau ALB mengakses log, menghitung jumlah permintaan buruk dari alamat IP sumber unik per menit, dan pembaruan AWS WAF untuk memblokir pemindaian lebih lanjut dari alamat yang mencapai kuota kesalahan yang ditentukan.

  • Asal penyerang yang dikenal (daftar reputasi IP) - Banyak organisasi mempertahankan daftar reputasi alamat IP yang dioperasikan oleh penyerang yang dikenal, seperti spammer, distributor malware, dan botnet. Solusi ini memanfaatkan informasi dalam daftar reputasi ini untuk membantu Anda memblokir permintaan dari alamat IP berbahaya. Selain itu, solusi ini memblokir penyerang yang diidentifikasi oleh kelompok aturan reputasi IP berdasarkan intelijen ancaman internal Amazon.

  • Bot dan pencakar — Operator aplikasi web yang dapat diakses publik perlu percaya bahwa klien yang mengakses konten mereka mengidentifikasi diri mereka secara akurat, dan bahwa mereka menggunakan layanan sebagaimana dimaksud. Namun, beberapa klien otomatis, seperti pencakar konten atau bot buruk, salah menggambarkan diri mereka sendiri untuk melewati batasan. Solusi ini membantu Anda mengidentifikasi dan memblokir bot dan pencakar yang buruk.