View a markdown version of this page

Utilizzo AWS WAF con Amazon CloudFront - AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield direttore della sicurezza di rete

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Lavorare con la console.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo AWS WAF con Amazon CloudFront

Scopri come usare AWS WAF con le CloudFront funzionalità di Amazon.

Quando crei un pacchetto di protezione (ACL web), puoi specificare una o più CloudFront distribuzioni che desideri AWS WAF ispezionare. CloudFront supporta due tipi di distribuzioni: distribuzioni standard che proteggono i singoli tenant e distribuzioni multi-tenant che proteggono più tenant tramite un unico modello di configurazione condiviso. AWS WAF ispeziona le richieste Web per entrambi i tipi di distribuzione in base alle regole definite nei pacchetti di protezione (ACL Web), con modelli di implementazione diversi per ogni tipo.

In che modo AWS WAF funziona con diversi tipi di distribuzione

Tipi di distribuzione

AWS WAF fornisce funzionalità di firewall per applicazioni Web per distribuzioni di distribuzione CloudFront standard e multi-tenant.

Distribuzioni standard

Per le distribuzioni standard, AWS WAF aggiunge protezione utilizzando un singolo pacchetto di protezione (Web ACL) per ogni distribuzione. È possibile abilitare questa protezione associando un protection pack esistente (Web ACL) a una CloudFront distribuzione o utilizzando la protezione con un clic nella console. CloudFront Ciò consente di gestire i controlli di sicurezza per ciascuna delle distribuzioni in modo indipendente, poiché qualsiasi modifica a un pacchetto di protezione (Web ACL) influirà solo sulla distribuzione ad esso associata.

Questo metodo semplice di protezione delle CloudFront distribuzioni è ottimale per fornire ai singoli domini protezioni specifiche da un unico pacchetto di protezione (Web ACL).

Considerazioni sulla distribuzione standard
  • Le modifiche a un pacchetto di protezione (Web ACL) influiscono solo sulla distribuzione associata

  • Ogni distribuzione richiede la configurazione di un pacchetto di protezione indipendente (Web ACL)

  • Le regole e i gruppi di regole vengono gestiti separatamente per ogni distribuzione

Multi-tenant distribuzioni

Per le distribuzioni multi-tenant, AWS WAF aggiunge protezione su più domini utilizzando un unico pacchetto di protezione (ACL web). I domini gestiti da distribuzioni multi-tenant sono noti come tenant di distribuzione. È possibile abilitare la AWS WAF protezione per le distribuzioni multi-tenant solo nella CloudFront console, durante o dopo il processo di creazione della distribuzione multi-tenant. Tuttavia, le modifiche a un pacchetto di protezione (Web ACL) vengono ancora gestite tramite la console o l'API. AWS WAF

Multi-tenant le distribuzioni offrono la flessibilità necessaria per abilitare le AWS WAF protezioni a due livelli:

  • Multi-tenant livello di distribuzione: i pacchetti di protezione associati (ACL Web) forniscono controlli di sicurezza di base che si applicano a tutte le applicazioni che condividono tale distribuzione

  • Livello di tenant di distribuzione: i singoli tenant all'interno di una distribuzione multi-tenant possono disporre dei propri pacchetti di protezione (ACL Web) per implementare controlli di sicurezza aggiuntivi o ignorare le impostazioni di distribuzione multi-tenant

Questi due livelli rendono le distribuzioni multi-tenant ottimali per condividere le AWS WAF protezioni su più domini senza perdere la capacità di personalizzare la sicurezza per una singola distribuzione.

Multi-tenant considerazioni sulla distribuzione

  • I singoli tenant di distribuzione ereditano le modifiche apportate ai pacchetti di protezione (ACL Web) associati alle distribuzioni multi-tenant correlate

  • I protection pack (ACL web) associati a tenant di distribuzione specifici possono sovrascrivere le impostazioni configurate a livello di pacchetto di protezione multi-tenant (ACL web)

  • I gruppi di regole gestiti possono essere implementati sia a livello di tenant di distribuzione che di tenant di distribuzione

  • Gli identificatori delle applicazioni possono essere collocati nei log per tenere traccia degli eventi di sicurezza mediante la distribuzione

AWS WAF funzionalità per tipo di distribuzione

Confronta le implementazioni del Protection Pack (Web ACL)
AWS WAF Funzionalità Distribuzioni standard Multi-tenant distribuzioni
Associazione di pacchetti di protezione (ACL Web) Un pacchetto di protezione (Web ACL) per distribuzione È possibile condividere pacchetti di protezione (ACL Web) tra tenant, con pacchetti di protezione opzionali specifici per tenant (ACL Web)
Gestione delle regole Le regole influiscono su una singola distribuzione Multi-tenant le regole di distribuzione riguardano tutti gli inquilini associati; le regole specifiche del tenant di distribuzione riguardano solo quel tenant
Gruppi di regole gestite Applicate alle singole distribuzioni Può essere applicato a livello di distribuzione multi-tenant per tutti gli inquilini o a livello di tenant per applicazioni specifiche
Registrazione dei log Registri standard AWS WAF I log includono gli identificatori dei tenant per l'attribuzione degli eventi di sicurezza

Utilizzo AWS WAF CloudFront Flat-Rate con piani tariffari

CloudFront i piani tariffari forfettari combinano la rete CloudFront globale di distribuzione dei contenuti (CDN) di Amazon con molteplici Servizi AWS funzionalità in un prezzo mensile senza costi aggiuntivi, indipendentemente dai picchi di traffico o dagli attacchi.

Flat-rate I piani tariffari includono quanto segue Servizi AWS e le funzionalità per un semplice prezzo mensile:

  • CloudFront CDN

  • AWS WAF e protezione DDoS

  • Gestione e analisi dei bot

  • Amazon Route 53 DNS

  • Inserimento di Amazon CloudWatch Logs

  • Certificato TLS

  • Elaborazione perimetrale senza server

  • Crediti di storage Amazon S3 ogni mese

I piani sono disponibili nei livelli Free, Pro, Business e Premium per soddisfare le esigenze dell'applicazione. I piani non richiedono un impegno annuale per ottenere le migliori tariffe disponibili. Inizia con il piano gratuito ed esegui l'upgrade per accedere a più funzionalità e quote di utilizzo più ampie.

Per ulteriori informazioni e un elenco completo di piani e funzionalità, consulta i piani CloudFront tariffari forfettari nella Amazon CloudFront Developer Guide.

Importante

Un pacchetto di AWS WAF protezione valido (Web ACL) deve rimanere associato alla CloudFront distribuzione quando utilizzi qualsiasi piano tariffario. Non è possibile rimuovere l'associazione del Protection Pack (Web ACL) a meno che non si ritorni ai prezzi con pagamento in base al consumo.

Sebbene un ACL AWS WAF Web debba rimanere associato alla distribuzione, l'utente mantiene il pieno controllo sulla configurazione di sicurezza. È possibile personalizzare la protezione modificando le regole da abilitare o disabilitare nell'ACL Web e modificare le impostazioni delle regole in base ai requisiti di sicurezza. Per informazioni sulla gestione delle regole ACL Web, consulta Regole.AWS WAF

Monetizzazione del traffico AI con CloudFront

La monetizzazione del traffico AI è disponibile esclusivamente per le risorse ACL AWS WAF Web associate alle distribuzioni Amazon CloudFront . La verifica e il regolamento dei pagamenti avvengono presso le sedi CloudFront periferiche, riducendo al minimo la latenza per gli agenti di tutto il mondo.

Considerazioni sull'utilizzo di AI Traffic Monetization with CloudFront Functions e Lambda @Edge

Quando usi CloudFront Functions o Lambda @Edge con distribuzioni che includono le regole Monetize AWS WAF, nota il seguente comportamento per le risposte generate. AWS WAF

AWS WAF-risposte generate (402 Payment Required Challenge)

Viewer-response la funzione (CloudFront Functions e Lambda @Edge) non viene eseguita sulla risposta 402 AWS WAF generata. Non è possibile utilizzare queste funzioni per personalizzare la Payment Required Challenge. Inoltre, non è possibile aggiungere intestazioni o modificarlo. Se devi aggiungere intestazioni personalizzate a 402 risposte (ad esempio, intestazioni CORS o analytics), utilizza invece una Response Headers Policy. Le policy relative alle intestazioni di risposta si applicano alle risposte generate. AWS WAF

Per ulteriori informazioni sulle CloudFront funzioni e sulle politiche di intestazione di risposta, consulta quanto segue:

  • Viewer-response le funzioni non vengono eseguite con codici di stato HTTP 400 e superiori. Per ulteriori informazioni sulle restrizioni delle funzioni edge, consulta Codici di stato HTTP.

  • Per ulteriori informazioni sulle politiche relative alle intestazioni di risposta, consulta Understanding Response Header Policy.

Risposte a pagamento (200 dopo la liquidazione)

Dopo l'avvenuto pagamento, la risposta di origine passa attraverso la normale pipeline di CloudFront risposta, inclusa la funzione viewer-response. Una funzione viewer-response può modificare la risposta che l'agente riceve dopo il pagamento. Ad esempio, può modificare il codice di stato o rimuovere le intestazioni.

Monetizzazione del traffico AI con CloudFront

La monetizzazione del traffico AI è disponibile esclusivamente per gli ACL Web associati alle distribuzioni Amazon CloudFront . La verifica dei pagamenti e l'emissione dei token di accesso avvengono nelle sedi CloudFront periferiche, riducendo al minimo la latenza per gli agenti di tutto il mondo.

Perché solo CloudFront

La monetizzazione richiede:

  • Edge-native verifica del pagamento: le prove di pagamento vengono verificate immediatamente senza andare e ritorno all'origine.

  • Emissione globale di token: i token di accesso mirato vengono emessi presso l'edge e rispettati da tutte le edge location che servono la stessa distribuzione.

  • Generazione del manifesto dei prezzi: la risposta 402 con i dettagli sui prezzi viene generata all'edge, mantenendo il flusso al di sotto dell'obiettivo di latenza per i protocolli di pagamento da macchina a macchina.

Gli ACL web regionali (Application Load Balancer,,, Cognito, App Runner, Verified Access) non supportano l'azione Monetize. Se una regola di monetizzazione è configurata su un ACL web regionale, la regola viene ignorata e la richiesta continua con la regola successiva.

Comportamento della cache con contenuti monetizzati

Le risorse monetizzate richiedono una configurazione speciale della cache per impedire che l'accesso a pagamento di un agente fornisca contenuti memorizzati nella cache a un altro agente.

Impostazioni della cache consigliate per i percorsi monetizzati:

ImpostazioneValoreMotivo
Policy della cacheCachingDisabled o personalizzatoImpedisce la condivisione della cache tra agenti
Policy di richiesta origineInclusione X-Agent-Id e X-Access-Token intestazioniConsente a origin di convalidare i token specifici dell'agente
TTL0 (o breve, in base alle esigenze di freschezza del contenuto)Assicura che ogni richiesta dell'agente venga valutata da AWS WAF

Se hai bisogno della memorizzazione nella cache per migliorare le prestazioni, configura una chiave di cache per agente:

  • Aggiungi X-Agent-Id alla chiave di cache utilizzando una politica di cache personalizzata.

  • Ciò garantisce che ogni agente riceva la propria copia memorizzata nella cache dopo il pagamento, senza fornire contenuti a pagamento ad altri agenti.

Importante

Se abiliti la memorizzazione nella cache senza chiavi di cache per agente, è possibile che una risposta a pagamento venga inviata dalla cache agli agenti successivi senza verifica del pagamento. Includi sempre l'identità dell'agente nella chiave della cache per i percorsi monetizzati.

Caratteristiche di latenza

FaseLatenza tipicaNote
Classificazione + 402 generazione<10 msFunziona in linea sul bordo
Verifica del pagamento<30 msLa convalida della prova è crittografica, nessuna chiamata esterna
Emissione di token + origin fetchLatenza standard CloudFront Uguale a una normale richiesta
Spese generali aggiuntive totali<50 msLatenza di richiesta superiore allo standard

CloudFront configurazione di distribuzione

Non sono necessarie modifiche alle impostazioni di CloudFront distribuzione per abilitare la monetizzazione. La funzionalità è controllata interamente tramite l'ACL AWS WAF Web e la configurazione del Protection Pack.

Verificate quanto segue:

  • Associazione Web ACL: la distribuzione deve avere un ACL AWS WAF Web associato a Bot Control e una regola di monetizzazione.

  • Intestazioni di risposta Origin: se Origin imposta le Cache-Control intestazioni, verifica che non siano in conflitto con la strategia di memorizzazione nella cache per agente per i percorsi monetizzati.

  • Pagine di errore personalizzate: le pagine di errore CloudFront personalizzate per le risposte 4xx non si applicano alle risposte 402 generate. AWS WAF La lista dei prezzi è fornita direttamente da. AWS WAF