**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo AWS WAF con Amazon CloudFront
Scopri come usare AWS WAF con le CloudFront funzionalità di Amazon.
Quando crei un pacchetto di protezione (ACL web), puoi specificare una o più CloudFront distribuzioni che desideri AWS WAF ispezionare. CloudFront supporta due tipi di distribuzioni: distribuzioni standard che proteggono i singoli tenant e distribuzioni multi-tenant che proteggono più tenant tramite un unico modello di configurazione condiviso. AWS WAF ispeziona le richieste web per entrambi i tipi di distribuzione in base alle regole definite nei pacchetti di protezione (web ACLs), con modelli di implementazione diversi per ogni tipo.
**Topics**
+ [
## Come AWS WAF funziona con diversi tipi di distribuzione
](#cloudfront-features-distribution-types)
+ [
## Utilizzo con piani tariffari forfettari AWS WAF CloudFront
](#waf-cf-pricing-plans)
+ [
# Casi d'uso comuni per proteggere CloudFront le distribuzioni con AWS WAF
](cloudfront-waf-use-cases.md)
## Come AWS WAF funziona con diversi tipi di distribuzione
### Tipi di distribuzione
AWS WAF fornisce funzionalità di firewall per applicazioni Web per distribuzioni di distribuzione CloudFront standard e multi-tenant.
#### Distribuzioni standard
Per le distribuzioni standard, AWS WAF aggiunge protezione utilizzando un singolo pacchetto di protezione (Web ACL) per ogni distribuzione. È possibile abilitare questa protezione associando un pacchetto di protezione esistente (Web ACL) a una CloudFront distribuzione o utilizzando la protezione con un clic nella console. CloudFront Ciò consente di gestire i controlli di sicurezza per ciascuna delle distribuzioni in modo indipendente, poiché qualsiasi modifica a un pacchetto di protezione (Web ACL) influirà solo sulla distribuzione ad esso associata.
Questo metodo semplice di protezione delle CloudFront distribuzioni è ottimale per fornire ai singoli domini protezioni specifiche da un unico pacchetto di protezione (Web ACL).
##### Considerazioni sulla distribuzione standard
+ Le modifiche a un pacchetto di protezione (Web ACL) influiscono solo sulla distribuzione associata
+ Ogni distribuzione richiede la configurazione di un pacchetto di protezione indipendente (Web ACL)
+ Le regole e i gruppi di regole vengono gestiti separatamente per ogni distribuzione
#### Distribuzioni multi-tenant
Per le distribuzioni multi-tenant, AWS WAF aggiunge protezione su più domini utilizzando un unico pacchetto di protezione (ACL web). I domini gestiti da distribuzioni multi-tenant sono noti come tenant di distribuzione. È possibile abilitare la AWS WAF protezione per le distribuzioni multi-tenant solo nella CloudFront console, durante o dopo il processo di creazione della distribuzione multi-tenant. Tuttavia, le modifiche a un pacchetto di protezione (Web ACL) vengono ancora gestite tramite la console o l'API. AWS WAF
Le distribuzioni multi-tenant offrono la flessibilità necessaria per abilitare le AWS WAF protezioni a due livelli:
+ **Livello di distribuzione multi-tenant**: i pacchetti di protezione associati (web ACLs) forniscono controlli di sicurezza di base che si applicano a tutte le applicazioni che condividono tale distribuzione
+ **Livello di tenant di distribuzione**: i singoli tenant all'interno di una distribuzione multi-tenant possono disporre dei propri pacchetti di protezione (web ACLs) per implementare controlli di sicurezza aggiuntivi o ignorare le impostazioni di distribuzione multi-tenant
Questi due livelli rendono le distribuzioni multi-tenant ottimali per condividere le AWS WAF protezioni su più domini senza perdere la possibilità di personalizzare la sicurezza per una singola distribuzione.
#### Considerazioni sulla distribuzione multi-tenant
+ I singoli tenant di distribuzione ereditano le modifiche apportate ai protection pack (web ACLs) associati alle distribuzioni multi-tenant correlate
+ I protection pack (web ACLs) associati a tenant di distribuzione specifici possono sovrascrivere le impostazioni configurate a livello di pacchetto di protezione multi-tenant (ACL web)
+ I gruppi di regole gestiti possono essere implementati sia a livello di tenant di distribuzione che di tenant di distribuzione
+ Gli identificatori delle applicazioni possono essere collocati nei log per tenere traccia degli eventi di sicurezza mediante la distribuzione
### AWS WAF funzionalità per tipo di distribuzione
**Confronta le implementazioni del Protection Pack (Web ACL)**
| AWS WAF Funzionalità | Distribuzioni standard | Distribuzioni multi-tenant |
| --- | --- | --- |
| Associazione di pacchetti di protezione (web) ACLs | Un pacchetto di protezione (Web ACL) per distribuzione | È possibile condividere i pacchetti di protezione (Web ACLs) tra i tenant, con pacchetti di protezione opzionali specifici per tenant (web) ACLs |
| Gestione delle regole | Le regole influiscono su una singola distribuzione | Le regole di distribuzione multi-tenant influiscono su tutti i tenant associati; le regole specifiche del tenant di distribuzione riguardano solo quel tenant |
| Gruppi di regole gestite | Applicate alle singole distribuzioni | Può essere applicato a livello di distribuzione multi-tenant per tutti gli inquilini o a livello di tenant per applicazioni specifiche |
| Registrazione dei log | Registri standard AWS WAF | I log includono gli identificatori dei tenant per l'attribuzione degli eventi di sicurezza |
## Utilizzo con piani tariffari forfettari AWS WAF CloudFront
CloudFront i piani tariffari forfettari combinano la rete CloudFront globale di distribuzione dei contenuti (CDN) di Amazon con molteplici Servizi AWS funzionalità in un prezzo mensile senza costi aggiuntivi, indipendentemente dai picchi di traffico o dagli attacchi.
I piani tariffari forfettari includono quanto segue Servizi AWS e altre funzionalità a un semplice prezzo mensile:
+ CloudFront CDN
+ AWS WAF e protezione DDo S
+ Gestione e analisi dei bot
+ Amazon Route 53 DNS
+ Inserimento di Amazon CloudWatch Logs
+ Certificato TLS
+ Elaborazione perimetrale senza server
+ Crediti di storage Amazon S3 ogni mese
I piani sono disponibili nei livelli Free, Pro, Business e Premium per soddisfare le esigenze dell'applicazione. I piani non richiedono un impegno annuale per ottenere le migliori tariffe disponibili. Inizia con il piano gratuito ed esegui l'upgrade per accedere a più funzionalità e quote di utilizzo più ampie.
Per ulteriori informazioni e un elenco completo di piani e funzionalità, consulta i [piani CloudFront tariffari forfettari](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) nella *Amazon CloudFront Developer Guide*.
**Importante**
Un pacchetto di AWS WAF protezione valido (Web ACL) deve rimanere associato alla CloudFront distribuzione quando utilizzi qualsiasi piano tariffario. Non è possibile rimuovere l'associazione del Protection Pack (Web ACL) a meno che non si ritorni alla pay-as-you-go definizione dei prezzi.
Sebbene un ACL AWS WAF Web debba rimanere associato alla distribuzione, l'utente mantiene il pieno controllo sulla configurazione di sicurezza. È possibile personalizzare la protezione modificando le regole da abilitare o disabilitare nell'ACL Web e modificare le impostazioni delle regole in base ai requisiti di sicurezza. [Per informazioni sulla gestione delle regole ACL Web, consulta Regole.AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html)
# Casi d'uso comuni per proteggere CloudFront le distribuzioni con AWS WAF
Le seguenti AWS WAF funzionalità funzionano allo stesso modo per tutte le CloudFront distribuzioni. Le considerazioni per le distribuzioni multi-tenant sono elencate dopo ogni scenario di funzionalità.
## Utilizzo con pagine di errore personalizzate AWS WAF CloudFront
Per impostazione predefinita, quando AWS WAF blocca una richiesta Web in base ai criteri specificati, restituisce il codice di stato HTTP `403 (Forbidden)` a CloudFront e lo CloudFront restituisce al visualizzatore. Il visualizzatore visualizza quindi un messaggio predefinito breve e poco formattato simile al seguente:
```
Forbidden: You don't have permission to access /myfilename.html on this server.
```
È possibile ignorare questo comportamento nelle regole del AWS WAF Protection Pack (Web ACL) definendo risposte personalizzate. Per ulteriori informazioni sulla personalizzazione del comportamento di risposta mediante AWS WAF le regole, consulta. [Invio di risposte personalizzate per Block le azioni](customizing-the-response-for-blocked-requests.md)
**Nota**
Le risposte personalizzate utilizzando AWS WAF le regole hanno la precedenza su tutte le specifiche di risposta definite nelle pagine di errore CloudFront personalizzate.
Se preferisci visualizzare un messaggio di errore personalizzato CloudFront, possibilmente utilizzando la stessa formattazione del resto del sito Web, puoi configurare CloudFront la visualizzazione di un oggetto (ad esempio un file HTML) che contenga il tuo messaggio di errore personalizzato.
**Nota**
CloudFront non è in grado di distinguere tra un codice di stato HTTP 403 restituito dall'origine e uno restituito da AWS WAF quando una richiesta viene bloccata. Ciò significa che non è possibile restituire pagine di errore personalizzate diverse a seconda delle diverse cause di un codice di stato HTTP 403.
Per ulteriori informazioni sulle pagine di errore CloudFront personalizzate, consulta [Generazione di risposte di errore personalizzate](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) nell'*Amazon CloudFront Developer Guide*.
### Pagine di errore personalizzate nelle distribuzioni multi-tenant
Per le distribuzioni CloudFront multi-tenant, è possibile configurare pagine di errore personalizzate nei seguenti modi:
+ A livello multi-tenant: queste impostazioni si applicano a tutte le distribuzioni tenant che utilizzano il modello di distribuzione multi-tenant
+ Tramite AWS WAF regole: le risposte personalizzate definite nei protection pack (web ACLs) hanno la precedenza sia sulla distribuzione multi-tenant che sulle pagine di errore personalizzate a livello di tenant
## Utilizzo di AWS WAF with CloudFront per le applicazioni in esecuzione sul proprio server HTTP
Quando utilizzi AWS WAF con CloudFront, puoi proteggere le tue applicazioni in esecuzione su qualsiasi server Web HTTP, che si tratti di un server Web in esecuzione in Amazon Elastic Compute Cloud (Amazon EC2) o di un server Web gestito privatamente. Puoi anche configurare in modo CloudFront da richiedere l'HTTPS tra il tuo server web CloudFront e tra i visualizzatori e. CloudFront
**Richiedere HTTPS tra CloudFront e il proprio server web**
Per richiedere HTTPS tra CloudFront e il tuo server web, puoi utilizzare la funzionalità di origine CloudFront personalizzata e configurare la Origin **Protocol Policy** e le impostazioni del **nome di dominio di origine** per origini specifiche. Nella CloudFront configurazione, è possibile specificare il nome DNS del server insieme alla porta e al protocollo che si desidera utilizzare CloudFront per recuperare oggetti dall'origine. Dovresti anche assicurarti che il SSL/TLS certificato sul tuo server di origine personalizzato corrisponda al nome di dominio di origine che hai configurato. Quando utilizzi il tuo server web HTTP all'esterno di AWS, devi usare un certificato firmato da un'autorità di certificazione (CA) di terze parti affidabile, ad esempio Comodo o DigiCert Symantec. Per ulteriori informazioni sulla richiesta di HTTPS per la comunicazione tra CloudFront e il tuo server web, consulta l'argomento [Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) nella *Amazon CloudFront Developer Guide*.
**Richiedere HTTPS tra un visualizzatore e CloudFront**
Per richiedere HTTPS tra i visualizzatori e CloudFront, puoi modificare la **Viewer Protocol Policy** per uno o più comportamenti della cache nella tua CloudFront distribuzione. Per ulteriori informazioni sull'utilizzo di HTTPS tra visualizzatori e CloudFront, consulta l'argomento [Richiedere HTTPS per la comunicazione tra visualizzatori e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) nella *Amazon CloudFront Developer* Guide. Puoi anche portare il tuo certificato SSL in modo che gli spettatori possano connettersi alla tua CloudFront distribuzione tramite HTTPS utilizzando, ad esempio, il tuo nome di dominio. *https://www.mysite.com* Per ulteriori informazioni, consulta l'argomento [Configurazione di nomi di dominio alternativi e HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) nella *Amazon CloudFront Developer Guide*.
Per le distribuzioni multi-tenant, le configurazioni dei metodi HTTP seguono questa gerarchia:
+ Le impostazioni a livello di modello definiscono i metodi HTTP di base consentiti per tutte le distribuzioni tenant
+ Le distribuzioni tenant possono sovrascrivere queste impostazioni per:
+ Consenti un numero inferiore di metodi rispetto alla distribuzione multi-tenant (utilizzando AWS WAF regole per bloccare metodi aggiuntivi)
+ Consenti più metodi se la distribuzione multi-tenant è configurata per supportarli
+ AWS WAF le regole sia a livello di distribuzione multi-tenant che a livello di tenant possono limitare ulteriormente i metodi HTTP indipendentemente dalla configurazione CloudFront
## Scelta dei metodi HTTP che rispondono a CloudFront
Quando crei una distribuzione CloudFront web Amazon, scegli i metodi HTTP che desideri CloudFront elaborare e inoltrare all'origine. Scegliere tra le seguenti opzioni:
+ **`GET`, `HEAD`** — Puoi utilizzarli CloudFront solo per recuperare oggetti dall'origine o per ottenere le intestazioni degli oggetti.
+ **`GET`,`HEAD`, `OPTIONS`** — È possibile utilizzarlo CloudFront solo per recuperare oggetti dall'origine, ottenere le intestazioni degli oggetti o recuperare un elenco delle opzioni supportate dal server di origine.
+ **`GET`,`HEAD`,`OPTIONS`,,`PUT`, `POST``PATCH`, `DELETE`** — È possibile utilizzarlo CloudFront per ottenere, aggiungere, aggiornare ed eliminare oggetti e per ottenere le intestazioni degli oggetti. Inoltre, è possibile eseguire altre `POST` operazioni come l'invio di dati da un modulo Web.
È inoltre possibile utilizzare le istruzioni delle regole di corrispondenza dei AWS WAF byte per consentire o bloccare le richieste in base al metodo HTTP, come descritto in. [Istruzione regola di corrispondenza stringa](waf-rule-statement-type-string-match.md) Se desideri utilizzare una combinazione di metodi che CloudFront supporti, ad esempio `GET` e`HEAD`, non è necessario configurare AWS WAF per bloccare le richieste che utilizzano gli altri metodi. Se desideri consentire una combinazione di metodi che CloudFront non supporta, ad esempio, e `GET` `HEAD``POST`, puoi configurare in modo che CloudFront risponda a tutti i metodi e quindi utilizzarla AWS WAF per bloccare le richieste che utilizzano altri metodi.
Per ulteriori informazioni sulla scelta dei metodi a cui CloudFront rispondere, consulta [Metodi HTTP consentiti](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) nell'argomento [Valori che specifichi quando crei o aggiorni una distribuzione Web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) nella *Amazon CloudFront Developer Guide*.
**Configurazioni dei metodi HTTP consentite nelle distribuzioni multi-tenant**
Per le distribuzioni multi-tenant, le configurazioni dei metodi HTTP impostate a livello di distribuzione multi-tenant si applicano a tutte le distribuzioni tenant per impostazione predefinita. Le distribuzioni tenant possono sovrascrivere queste impostazioni, se necessario.
+ Se si desidera utilizzare una combinazione di metodi che CloudFront supporti, ad esempio `GET` e`HEAD`, non è necessario configurare in modo da AWS WAF bloccare le richieste che utilizzano altri metodi.
+ Se desideri consentire una combinazione di metodi che CloudFront non supporta per impostazione predefinita, ad esempio, e `GET` `HEAD``POST`, puoi configurare in modo che risponda CloudFront a tutti i metodi e quindi utilizzarla AWS WAF per bloccare le richieste che utilizzano altri metodi.
Quando implementate gli header di sicurezza nelle distribuzioni multi-tenant, tenete presente quanto segue:
+ Le intestazioni di sicurezza a livello di modello forniscono una protezione di base in tutte le distribuzioni tenant
+ Le distribuzioni tenant possono:
+ Aggiungere nuove intestazioni di sicurezza non definite nella distribuzione multi-tenant
+ Modifica i valori per le intestazioni specifiche del tenant
+ Impossibile rimuovere o sovrascrivere le intestazioni di sicurezza impostate a livello di distribuzione multi-tenant
+ Prendi in considerazione l'utilizzo di intestazioni a livello di distribuzione multi-tenant per i controlli di sicurezza critici che dovrebbero applicarsi a tutti i tenant
## Considerazioni sulla registrazione
Sia le distribuzioni standard che quelle multi-tenant supportano la AWS WAF registrazione, ma esistono differenze importanti nel modo in cui i log sono strutturati e gestiti:
**Confronto dei log**
| Distribuzioni standard | Distribuzioni multi-tenant |
| --- | --- |
| Una configurazione di log per distribuzione | Opzioni di registrazione a livello di modello e tenant |
| Campi di registro standard | Campi identificativi del tenant aggiuntivi |
| Singola destinazione per distribuzione | Sono possibili destinazioni separate per la distribuzione multi-tenant e i log dei tenant |
## Risorse aggiuntive
+ *Per ulteriori informazioni sulle distribuzioni multi-tenant, consulta [Configura le distribuzioni nell'Amazon Developer](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) Guide. CloudFront *
+ Per ulteriori informazioni sull'utilizzo AWS WAF con CloudFront, consulta [Using AWS WAF protection](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) nella *Amazon CloudFront Developer Guide*.
+ Per ulteriori informazioni sui AWS WAF log, consulta[Campi di registro per il traffico del Protection Pack (Web ACL)](logging-fields.md).