Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di protezioni AWS WAF
È possibile usare [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf) per proteggere le proprie distribuzioni CloudFront e i server di origine. AWS WAF è un firewall per applicazioni Web che consente di proteggere le applicazioni Web e le API per bloccare le richieste prima che raggiungano i server. Per ulteriori informazioni, consulta [Accelerate and protect your websites using CloudFront and AWS WAF](https://aws.amazon.com/blogs/networking-and-content-delivery/accelerate-and-protect-your-websites-using-amazon-cloudfront-and-aws-waf/) e [Linee guida per l’implementazione di AWS WAF](https://docs.aws.amazon.com/whitepapers/latest/guidelines-for-implementing-aws-waf/guidelines-for-implementing-aws-waf.html).
Per abilitare le protezioni AWS WAF, puoi:
+ Utilizzare la protezione con un solo clic nella console CloudFront. La protezione con un clic crea una lista di controllo degli accessi Web (Web ACL) AWS WAF, configura regole per proteggere i server dalle minacce Web comuni e collega l'ACL Web alla distribuzione CloudFront per l'utente. Gli argomenti di questa sezione presuppongono l'uso di protezioni con un solo clic.
+ Utilizza un ACL Web preconfigurato (elenco di controllo degli accessi) creato nella console AWS WAF o utilizzando le API AWS WAF. Per ulteriori informazioni, consulta le [liste di controllo degli accessi Web (ACL)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) nella *Guida per sviluppatori di AWS WAF* e [AssociateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociateWebACL.html) nella *Guida di riferimento alle API AWS WAF*
Puoi abilitare AWS WAF quando:
+ Creazione di una distribuzione
+ Utilizzi la dashboard di **Sicurezza** per modificare le impostazioni di sicurezza di una distribuzione esistente
Quando utilizzi la protezione con un clic, CloudFront applica un set di protezioni consigliato AWS che:
+ Bloccare gli indirizzi IP dalle potenziali minacce basate sull'intelligence di minacce interne Amazon.
+ Proteggere dalle vulnerabilità più comuni riscontrate nelle applicazioni Web come descritto nella [OWASP Top 10](https://owasp.org/www-project-top-ten/).
+ Difendere dagli utenti che rilevano le vulnerabilità delle applicazioni.
**Importante**
È necessario abilitare AWS WAF se si desidera visualizzare i parametri di sicurezza nella dashboard di **Sicurezza** di CloudFront. Se AWS WAF non è abilitato, puoi utilizzare la dashboard di **Sicurezza** solo per abilitare AWS WAF o configurare le restrizioni geografiche di CloudFront. Per ulteriori informazioni sulla dashboard, consulta [Gestione delle protezioni di sicurezza AWS WAF nella dashboard di sicurezza CloudFront](security-dashboard.md), più avanti in questa sezione.
**Topics**
+ [Abilitazione di AWS WAF per le distribuzioni](WAF-one-click.md)
+ [Gestione delle protezioni di sicurezza AWS WAF nella dashboard di sicurezza CloudFront](security-dashboard.md)
+ [Impostare la limitazione della velocità](WAF-one-click-rate-limiting.md)
+ [Disabilitazione delle protezioni di sicurezza AWS WAF](disable-waf.md)
# Abilitazione di AWS WAF per le distribuzioni
Puoi abilitare AWS WAF durante la creazione di una distribuzione oppure abilitare le protezioni di sicurezza per una lista di controllo degli accessi (ACL) esistente.
Se abiliti AWS WAF per la distribuzione CloudFront, puoi anche abilitare il rilevamento dei bot e configurare la protezione di sicurezza in base alla categoria di bot.
**Topics**
+ [Abilitazione di AWS WAF per una nuova distribuzione](#enable-waf-new-distribution)
+ [Utilizzo di una ACL Web esistente](#acl-new-configuration)
+ [Abilitazione del rilevamento dei bot](#bot-traffic)
+ [Configurazione della protezione per categoria di bot](#configure-bot-category-protection)
## Abilitazione di AWS WAF per una nuova distribuzione
Nella procedura seguente viene illustrato come abilitare AWS WAF quando si crea una nuova distribuzione CloudFront.
**Come abilitare AWS WAF per una nuova distribuzione**
1. Aprire la console CloudFront all'indirizzo [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Nel riquadro di navigazione, scegli **Distribuzioni**, quindi seleziona **Crea distribuzione**.
1. Se necessario, segui i passaggi indicati in [Creazione di una distribuzione](distribution-web-creating-console.md).
1. Nella sezione **Web Application Firewall**, seleziona **Modifica**, quindi scegli **Abilita le protezioni di sicurezza**.
1. Completare i seguenti campi:
+ **Usa la modalità di monitoraggio**: puoi abilitare la modalità di monitoraggio se desideri prima raccogliere dati per verificare il funzionamento della protezione. Quando la modalità di monitoraggio è abilitata, le richieste non vengono bloccate se le protezioni erano attive. Invece, la modalità di monitoraggio raccoglie dati sulle richieste che verrebbero bloccate se le protezioni fossero attive. Quando sei pronto per iniziare il blocco, puoi abilitarlo nella pagina **Sicurezza**.
+ **Protezioni aggiuntive**: scegli le opzioni che desideri abilitare. Se abiliti la limitazione della velocità, consulta [Impostare la limitazione della velocità](WAF-one-click-rate-limiting.md) per ulteriori informazioni.
+ **Stima del prezzo**: puoi aprire la sezione per visualizzare un campo in cui inserire un numero diverso di richieste/mese e visualizzare una nuova stima.
1. Esamina le impostazioni di distribuzione rimanenti, quindi scegli **Crea distribuzione**.
Dopo aver creato una distribuzione, CloudFront crea una dashboard di **sicurezza**. Puoi usare questa dashboard per disabilitare o abilitare AWS WAF. Se non hai ancora abilitato AWS WAF, i grafici e i diagrammi nella dashboard rimangono vuoti.
## Utilizzo di una ACL Web esistente
Se disponi di un ACL Web esistente, puoi utilizzarlo al posto della protezione offerta da AWS WAF.
**Utilizzo di una configurazione AWS WAF esistente**
1. Aprire la console CloudFront all'indirizzo [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Esegui una di queste operazioni:
1. Scegli **Crea distribuzione** e segui i passaggi indicati in [Creazione di una distribuzione](distribution-web-creating-console.md), quindi torna a questo argomento.
1. Scegli una configurazione esistente, quindi seleziona la scheda **Sicurezza**.
1. Nella sezione **Web Application Firewall (WAF)**, scegli **Modifica**, quindi **Abilita le protezioni di sicurezza**.
1. Scegliere **Usa la configurazione WAF esistente**. Questa opzione viene visualizzata solo se sono configurati gli ACL Web.
1. Scegliere l'ACL Web esistente dalla tabella **Scegli un'ACL web**.
1. Esamina le impostazioni di distribuzione rimanenti, quindi scegli **Crea distribuzione**.
## Abilitazione del rilevamento dei bot
Se abiliti AWS WAF per la tua distribuzione CloudFront, puoi visualizzare le richieste di bot per un determinato intervallo di tempo nella dashboard di sicurezza nella console CloudFront. Puoi anche abilitare o disabilitare il rilevamento dei bot qui.
L’abilitazione del rilevamento dei bot comporta l’addebito di costi. La dashboard di sicurezza fornisce una stima dei costi.
Se abiliti il rilevamento dei bot, la dashboard di sicurezza mostra il traffico dei bot per ogni tipo e categoria di bot. Se disabiliti il rilevamento dei bot, il traffico dei bot viene visualizzato in base al campionamento delle richieste.
**Per abilitare il Rilevamento dei bot**
1. Aprire la console CloudFront all'indirizzo [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Nel pannello di navigazione scegliere **Distribuzioni**, quindi scegliere la distribuzione da modificare.
1. Scegliere la scheda **Sicurezza** .
1. Scorri verso il basso fino alla sezione **Richieste bot per un determinato intervallo di tempo** e scegli **Abilita rilevamento dei bot**.
1. Nella finestra di dialogo **Rilevamento dei bot**, in **Configurazione**, seleziona la casella di controllo **Abilita rilevamento dei bot per i bot comuni**.
1. Scegli **Save changes** (Salva modifiche).
## Configurazione della protezione per categoria di bot
Quando abiliti il rilevamento dei bot, puoi configurare il modo in cui ogni bot non verificato viene gestito per categoria di bot. Ad esempio, puoi impostare un bot della libreria HTTP in **Modalità di monitoraggio** e assegnare una **Richiesta di verifica** a uno strumento di controllo del collegamento.
**Nota**
I bot noti da AWS per essere comuni e verificabili, come i crawler dei motori di ricerca noti, non sono soggetti alle azioni che hai impostato qui. Il Rilevamento dei bot conferma che i bot convalidati provengono dalla fonte dichiarata prima di contrassegnarli come verificati.
**Come configurare la protezione per una categoria di bot**
1. Aprire la console CloudFront all'indirizzo [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Nel pannello di navigazione scegliere **Distribuzioni**, quindi scegliere la distribuzione da modificare.
1. Scegliere la scheda **Sicurezza** .
1. Nel grafico **Richieste per categoria di bot**, posiziona il puntatore su uno degli elementi nella colonna **Azione bot non verificata** e scegli l’icona della matita per modificarla.
1. Apri l’elenco ottenuto e scegli uno dei seguenti modi:
+ **Blocco**
+ **Consenso**
+ **Modalità monitorata**
+ **CAPTCHA**
+ **Challenge**
1. Seleziona il segno di spunta accanto all’elenco per salvare la modifica.
# Gestione delle protezioni di sicurezza AWS WAF nella dashboard di sicurezza CloudFront
CloudFront crea una dashboard di sicurezza per ciascuna delle tue distribuzioni. Usi le dashboard nella console CloudFront. Con le dashboard, puoi utilizzare CloudFront e AWS WAF insieme in un’unica posizione per monitorare e gestire le protezioni di sicurezza comuni per le applicazioni Web. Le dashboard forniscono le seguenti attività e dati:
+ **Configurazione di sicurezza**: puoi abilitare e disabilitare le protezioni AWS WAF e visualizzare tutte le protezioni specifiche dell’app, come quelle di WordPress.
+ **Tendenze in materia di sicurezza**: questa categoria include le richieste consentite e bloccate, le richieste di verifica e CAPTCHA e i principali tipi di attacco. Puoi vedere i rapporti di traffico e come cambiano nel tempo. Ad esempio, se tutte le richieste aumentano del 3%, ma le richieste consentite aumentano del 14%, significa che hai consentito il passaggio di una parte maggiore del traffico nel periodo corrente.
+ **Richieste da bot**: puoi vedere quanto traffico proviene dai bot, da quali tipi di bot (verificati o non verificati) e come cambiano le allocazioni percentuali dei tipi di bot (verificati o non verificati) nel tempo. Per ulteriori informazioni sull’abilitazione del rilevamento dei bot, consulta [Abilitazione del rilevamento dei bot](WAF-one-click.md#bot-traffic).
+ **Log delle richieste**: i dati di log possono aiutare a rispondere a domande sulle tendenze della sicurezza o sulle richieste dei bot. È possibile effettuare ricerche nei log senza scrivere query e visualizzare grafici aggregati per determinare se un set di log filtrato è basato principalmente su un sottoinsieme di metodi HTTP, indirizzi IP, percorsi URI o paesi. Puoi passare il mouse sui valori nei grafici e bloccare indirizzi IP e Paesi. Per ulteriori informazioni, consulta [Abilitazione dei log AWS WAF](#understand-logging).
+ **Gestione delle restrizioni geografiche****: CloudFront e AWS WAF offrono funzionalità di restrizione geografica. CloudFront offre gratuitamente restrizioni geografiche, ma le metriche relative alle restrizioni geografiche di CloudFront non vengono visualizzate nella dashboard di sicurezza. Per visualizzare le metriche relative alle richieste provenienti da paesi bloccati, è necessario utilizzare le restrizioni geografiche di AWS WAF. A tale scopo, passa il mouse su una barra del paese nella dashboard di sicurezza e blocca il paese. Per ulteriori informazioni, consulta [Usa le restrizioni CloudFront geografiche](georestrictions.md#georestrictions-cloudfront).
+ L’opzione **Blocca** potrebbe non essere disponibile se in precedenza hai creato una regola AWS WAF personalizzata al di fuori della console CloudFront per bloccare i paesi.
**Topics**
+ [Prerequisiti](#prerequisites)
+ [Abilitazione dei log AWS WAF](#understand-logging)
## Prerequisiti
È necessario abilitare AWS WAF se si desidera visualizzare i parametri di sicurezza nella dashboard di **Sicurezza** di CloudFront. Se non abiliti AWS WAF, puoi utilizzare la dashboard di **Sicurezza** solo per abilitare AWS WAF o configurare le restrizioni geografiche di CloudFront.
Per ulteriori informazioni sull'abilitazione di AWS WAF, consulta [Abilitazione di AWS WAF per le distribuzioni](WAF-one-click.md).
## Abilitazione dei log AWS WAF
I dati dei log AWS WAF possono aiutarti a isolare modelli di traffico specifici. Ad esempio, i log possono mostrarti da dove proviene un determinato traffico o a cosa serve.
Se abiliti la registrazione di log AWS WAF su CloudWatch, la dashboard di sicurezza di CloudFront esegue query, aggrega e visualizza gli approfondimenti dai log di CloudWatch. Non addebitiamo costi per l’utilizzo della dashboard di sicurezza, ma i prezzi di CloudWatch si applicano ai log richiesti tramite la dashboard. Per ulteriori informazioni, consulta la pagina [Prezzi di Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).
**Per attivare i log**
1. Inserisci il volume di richieste previsto nella casella **Numero di richieste/mese** per stimare i costi di abilitazione dei log.
1. Seleziona la casella di controllo **Abilita log di AWS WAF**.
1. Scegli **Enable (Abilita)**.
CloudFront crea un gruppo di log di CloudWatch e aggiorna la configurazione AWS WAF per iniziare la registrazione su CloudWatch. Al primo utilizzo, i dati di log possono richiedere alcuni minuti ptima di essere visualizzati. La sezione **Richieste** del grafico elenca ogni richiesta. Sotto le singole richieste, i grafici a barre aggregano i dati per metodo HTTP, percorsi URI principali, indirizzi IP principali e Paesi principali. I grafici possono aiutarti a trovare modelli. Ad esempio, potresti visualizzare un volume sproporzionato di richieste da un singolo indirizzo IP o dati provenienti da un Paese che non hai mai visto in precedenza nei tuoi registri. Puoi filtrare le richieste in base a **Paese**, **Intestazione host** e altri attributi per individuare il traffico indesiderato. Una volta identificato il traffico, passa il mouse su una singola richiesta o su un elemento del grafico e blocca un indirizzo IP o un Paese.
**Nota**
Le metriche visualizzate si basano sull’ACL Web. Pertanto, se associ lo stesso ACL Web a più distribuzioni, vedrai tutte le metriche relative all’ACL Web, non solo le richieste AWS WAF elaborate per tale distribuzione.
# Impostare la limitazione della velocità
La limitazione della velocità è una delle raccomandazioni che potresti ricevere durante la configurazione delle protezioni di sicurezza.
CloudFront abilita sempre la limitazione della velocità in modalità monitoraggio. Quando la modalità monitoraggio è abilitata, CloudFront acquisisce metriche che indicano se la velocità configurata nel campo **Limitazione velocità** è stata superata, con quale frequenza e in che misura.
Dopo aver salvato la distribuzione, CloudFront inizia a raccogliere dati in base al numero nel campo **Limitazione della velocità**.
Puoi abilitare o gestire le impostazioni di limitazione della velocità nella sezione **Sicurezza - Web Application Firewall (WAF)** della scheda **Sicurezza** di qualsiasi distribuzione CloudFront.
**Nota**
L’opzione **Limitazione della velocità** viene visualizzata nella console CloudFront solo se hai specificato un’origine personalizzata non S3 per la distribuzione. Altrimenti, vedrai solo le **protezioni Core** abilitate per la distribuzione. Per ulteriori informazioni sui tipi di origine, consulta [Usa origini diverse con le distribuzioni CloudFront](DownloadDistS3AndCustomOrigins.md).
**Come impostare la limitazione della velocità**
1. Aprire la console CloudFront all'indirizzo [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Nel riquadro di navigazione, scegli **Distribuzioni**, quindi seleziona la distribuzione da modificare.
1. Scegliere la scheda **Sicurezza** .
1. Nella sezione **Sicurezza - Web Application Firewall (WAF)**, scegli **Modifica**.
1. In **Protezioni aggiuntive**, seleziona **Limitazione della velocità**. Puoi facoltativamente modificare il limite di velocità. Dopo aver eseguito il fine-tuning della tariffa, scegli **Salva modifiche**.
1. Nella sezione **Sicurezza — Web Application Firewall (WAF)**, accanto a **Limitazione della velocità**, puoi scegliere **Modalità di monitoraggio** e quindi selezionare **Abilita blocco** per disattivare la modalità di monitoraggio. CloudFront inizierà a bloccare le richieste che superano il limite di velocità specificato.
Per ulteriori informazioni sull’abilitazione di AWS WAF e la limitazione della velocità, consulta il post del blog [Introducing CloudFront Security Dashboard, a Unified CDN and Security Experience](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-cloudfront-security-dashboard-a-unified-cdn-and-security-experience/).
# Disabilitazione delle protezioni di sicurezza AWS WAF
Se la distribuzione non richiede protezioni di sicurezza AWS WAF, puoi disabilitare questa funzionalità utilizzando la console CloudFront.
Se in precedenza hai abilitato la protezione AWS WAF e non hai scelto una configurazione WAF esistente (nota anche come protezione con un clic), CloudFront ha creato automaticamente un’ACL Web. Per gli ACL Web creati in questo modo, la console CloudFront dissocerà la risorsa ed eliminerà l’ACL Web.
Dissociare un ACL Web è diverso dall’eliminarlo. La dissociazione rimuove l’ACL Web dalla distribuzione, ma non lo elimina dall’Account AWS. Per ulteriori informazioni, consulta [Associazione o dissociazione di un’ACL Web con una risorsa AWS](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html) nella *Guida per gli sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced*.
Consulta la seguente procedura per disabilitare le protezioni AWS WAF e dissociare l’ACL Web dalla distribuzione.
**Come disabilitare le protezioni di sicurezza AWS WAF in CloudFront**
1. Aprire la console CloudFront all'indirizzo [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Nel riquadro di navigazione, scegli **Distribuzioni**, quindi seleziona la distribuzione da modificare.
1. Scegli la scheda **Sicurezza**, quindi seleziona la scheda **Modifica**.
1. Nella sezione **Web Application Firewall (WAF)**, scegli **Disabilita protezione AWS WAF**.
1. Scegli **Save changes** (Salva modifiche).
**Note**
Se hai disabilitato la protezione di sicurezza AWS WAF e desideri comunque eliminare l’ACL Web dall’Account AWS, puoi eliminarlo manualmente. Segui la procedura per [eliminare un’ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-deleting.html). Nella console AWS WAF e Shield, per la pagina **ACL Web**, *devi* scegliere l’elenco **Globale (CloudFront**) per trovare gli ACL Web.
Quando elimini una distribuzione dalla console CloudFront, CloudFront tenterà di eliminare anche l’ACL Web se hai scelto la protezione con un clic. Questo è il risultato massimo e non è sempre garantito. Per ulteriori informazioni, consulta [Eliminazione di una distribuzione](HowToDeleteDistribution.md).