Apresentando uma nova experiência de console para AWS WAF
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte Trabalhando com o console.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Utilizar AWS WAF com a Amazon CloudFront
Saiba como usar AWS WAF com os CloudFront recursos da Amazon.
Ao criar um pacote de proteção (web ACL), você pode especificar uma ou mais CloudFront distribuições que deseja AWS WAF inspecionar. CloudFront suporta dois tipos de distribuições: distribuições padrão que protegem locatários individuais e distribuições multilocatárias que protegem vários locatários por meio de um único modelo de configuração compartilhado. AWS WAF inspeciona solicitações da web para os dois tipos de distribuição com base nas regras que você define em seus pacotes de proteção (ACLs da web), com padrões de implementação diferentes para cada tipo.
Tópicos
Como AWS WAF funciona com diferentes tipos de distribuição
Tipos de distribuição
AWS WAF fornece recursos de firewall de aplicativos web para distribuições de distribuição CloudFront padrão e multilocatário.
Distribuições padrão
Para distribuições padrão, AWS WAF adiciona proteção usando um único pacote de proteção (Web ACL) para cada distribuição. Você pode ativar essa proteção associando um pacote de proteção existente (web ACL) a uma CloudFront distribuição ou usando a proteção de um clique no console. CloudFront Isso possibilita gerenciar os controles de segurança de cada distribuição de modo independente, pois qualquer alteração em um pacote de proteção (ACL da Web) afetará somente a distribuição associada a ele.
Esse método simples de proteger CloudFront distribuições é ideal para fornecer proteções específicas a domínios individuais a partir de um único pacote de proteção (Web ACL).
Considerações sobre a distribuição padrão
-
Alterações em um pacote de proteção (ACL da Web) afetam somente a distribuição a ele associada
-
Cada distribuição requer uma configuração de pacote de proteção independente (ACL da Web)
-
As regras e os grupos de regras são gerenciados separadamente para cada distribuição
Multi-tenant distribuições
Para distribuições multilocatárias, AWS WAF adiciona proteção em vários domínios usando um único pacote de proteção (Web ACL). Os domínios gerenciados por distribuições multilocatárias são conhecidos como locatários da distribuição. Você só pode ativar a AWS WAF proteção para distribuições multilocatárias no CloudFront console, durante ou após o processo de criação da distribuição multilocatária. No entanto, as alterações em um pacote de proteção (Web ACL) ainda são gerenciadas por meio do AWS WAF console ou da API.
Multi-tenant as distribuições oferecem a flexibilidade de permitir AWS WAF proteções em dois níveis:
-
Multi-tenant nível de distribuição — os pacotes de proteção associados (Web ACLs) fornecem controles de segurança básicos que se aplicam a todos os aplicativos que compartilham essa distribuição
-
Nível do locatário da distribuição: os locatários individuais de uma distribuição multilocatária podem ter os próprios pacotes de proteção (ACLs da Web) para implementar controles de segurança adicionais ou substituir as configurações da distribuição multilocatária
Esses dois níveis tornam as distribuições multilocatárias ideais para compartilhar AWS WAF proteções em vários domínios sem perder a capacidade de personalizar a segurança de uma distribuição individual.
Multi-tenant considerações de distribuição
-
Os locatários individuais de uma distribuição herdam as alterações feitas nos pacotes de proteção (ACLs da Web) associados às distribuições multilocatárias relacionadas
-
Os pacotes de proteção (ACLs da Web) associados a locatários de distribuição específicos podem substituir as configurações definidas no nível do pacote da proteção multilocatária (ACL da Web)
-
Os grupos de regras gerenciados podem ser implementados no nível da distribuição e no nível do locatário da distribuição
-
É possível localizar nos logs os identificadores de aplicação para rastrear eventos de segurança por distribuição
AWS WAF recursos por tipo de distribuição
| AWS WAF Característica | Distribuições padrão | Multi-tenant distribuições |
|---|---|---|
| Associar pacotes de proteção (ACLs da Web) | Um único pacote de proteção (ACL da Web) por distribuição | Você pode compartilhar os pacotes de proteção (ACLs da Web) entre os locatários, com pacotes de proteção opcionais específicos do locatário opcionais (ACLs da Web) |
| Gerenciamento de regras | As regras afetam uma única distribuição | Multi-tenant as regras de distribuição afetam todos os inquilinos associados; as regras de distribuição específicas do inquilino afetam somente esse inquilino |
| Grupos de regras gerenciadas | Aplicados a distribuições individuais | Podem ser utilizados no nível da distribuição multilocatária a todos os locatários ou no nível do locatário a aplicações específicas |
| Registro em log | AWS WAF Registros padrão | Os logs incluem identificadores de locatários para atribuição de eventos de segurança |
Utilizar AWS WAF com planos CloudFront Flat-Rate de preços
CloudFront os planos de preços fixos combinam a rede CloudFront global de entrega de conteúdo (CDN) da Amazon com vários Serviços da AWS recursos em um preço mensal sem cobranças extras, independentemente de picos de tráfego ou ataques.
Flat-rate os planos de preços incluem o seguinte Serviços da AWS e os recursos por um preço mensal simples:
-
CloudFront CDN
-
AWS WAF e proteção contra DDoS
-
Gerenciamento e analytics de bots
-
DNS do Amazon Route 53
-
Ingestão CloudWatch de Amazon Logs
-
Certificado TLS
-
Computação de borda sem servidor
-
Créditos mensais de armazenamento do Amazon S3
Os planos estão disponíveis nos níveis Gratuito, Profissional, Negócios e Premium para atender às necessidades da sua aplicação. Os planos não precisam de um compromisso anual para obter as melhores tarifas disponíveis. Comece com o plano gratuito e faça a atualização para ter acesso a mais recursos e maiores limites de uso.
Para obter mais informações e uma lista completa de planos e recursos, consulte os planos CloudFront de preços fixos no Amazon CloudFront Developer Guide.
Importante
Um pacote de AWS WAF proteção válido (web ACL) deve permanecer associado à sua CloudFront distribuição ao usar qualquer plano de preços. Você não pode remover a associação do pacote de proteção (Web ACL), a menos que volte para o preço pré-pago.
Embora uma ACL AWS WAF da web deva permanecer associada à sua distribuição, você mantém controle total sobre sua configuração de segurança. Você pode personalizar sua proteção ajustando quais regras estão ativadas ou desativadas na sua ACL da web e modificar as configurações das regras para que correspondam aos seus requisitos de segurança. Para obter informações sobre como gerenciar regras de ACL da web, consulte AWS WAF Regras.
Monetização de tráfego de IA com CloudFront
A monetização do tráfego de IA está disponível exclusivamente para recursos de ACL AWS WAF da web associados às distribuições da Amazon. CloudFront A verificação e a liquidação do pagamento ocorrem em locais CloudFront periféricos, minimizando a latência para agentes em todo o mundo.
Considerações ao usar a monetização de tráfego de IA com Functions CloudFront e Lambda @Edge
Quando você usa CloudFront Functions ou Lambda @Edge com distribuições que têm regras de monetização ativadas AWS WAF, observe o seguinte comportamento para respostas geradas. AWS WAF
AWS WAF- respostas geradas (Desafio 402 de pagamento obrigatório)
Viewer-response A função (CloudFront Functions e Lambda @Edge) não é executada na resposta 402 AWS WAF gerada. Você não pode usar essas funções para personalizar o Desafio de Pagamento Obrigatório. Você também não pode adicionar cabeçalhos a ele ou modificá-lo. Se você precisar adicionar cabeçalhos personalizados a 402 respostas (por exemplo, cabeçalhos CORS ou analíticos), use uma Política de cabeçalhos de resposta. As políticas de cabeçalhos de resposta se aplicam às respostas AWS WAF geradas.
Para obter mais informações sobre CloudFront funções e políticas de cabeçalho de resposta, consulte o seguinte:
-
Viewer-response as funções não são executadas nos códigos de status HTTP 400 e superiores. Para obter mais informações sobre restrições de funções de borda, consulte Códigos de status HTTP.
-
Para obter mais informações sobre políticas de cabeçalho de resposta, consulte Compreendendo as políticas de cabeçalhos de resposta.
Respostas pagas (200 após a liquidação)
Depois de uma liquidação de pagamento bem-sucedida, a resposta de origem passa pelo pipeline de CloudFront resposta normal, incluindo a função de resposta do espectador. Uma função de resposta do espectador pode modificar a resposta que o agente recebe após o pagamento. Por exemplo, ele pode alterar o código de status ou remover cabeçalhos.
Monetização de tráfego de IA com CloudFront
A monetização do tráfego de IA está disponível exclusivamente para ACLs da web associadas às distribuições da Amazon. CloudFront A verificação do pagamento e a emissão do token de acesso ocorrem em locais CloudFront periféricos, minimizando a latência para agentes em todo o mundo.
Por que CloudFront somente
A monetização exige:
Edge-native verificação de pagamento — As provas de pagamento são verificadas na borda, sem viagens de ida e volta à origem.
Emissão global de tokens — Os tokens de acesso com escopo definido são emitidos na borda e honrados por todos os pontos de presença que atendem à mesma distribuição.
Geração de manifesto de preço — A resposta 402 com detalhes de preços é gerada na borda, mantendo o fluxo abaixo da meta de latência para protocolos de pagamento máquina a máquina.
As ACLs regionais da web (Application Load Balancer,,,, Cognito, App Runner, Verified Access) não suportam a ação Monetizar. Se uma regra de monetização estiver configurada em uma ACL da web regional, a regra será ignorada e a solicitação continuará até a próxima regra.
Comportamento de cache com conteúdo monetizado
Os recursos monetizados exigem uma configuração especial de cache para impedir que o acesso pago de um agente forneça conteúdo em cache para outro agente.
Configurações de cache recomendadas para caminhos monetizados:
| Configuração | Valor | Motivo |
|---|---|---|
| Política de cache | CachingDisabled ou personalizado | Impede o compartilhamento de cache entre agentes |
| Política de solicitação de origem | Incluir X-Agent-Id e X-Access-Token cabeçalhos | Permite que a origem valide tokens específicos do agente |
| TTL | 0 (ou curto, de acordo com as necessidades de frescor do conteúdo) | Garante que cada solicitação do agente seja avaliada por AWS WAF |
Se você precisar de armazenamento em cache para desempenho, configure uma chave de cache por agente:
Adicione
X-Agent-Idà chave de cache usando uma política de cache personalizada.Isso garante que cada agente receba sua própria cópia em cache após o pagamento, sem fornecer conteúdo pago a outros agentes.
Importante
Se você ativar o armazenamento em cache sem chaves de cache por agente, uma resposta paga poderá ser enviada do cache para agentes subsequentes sem verificação de pagamento. Sempre inclua a identidade do agente na chave de cache para caminhos monetizados.
Características de latência
| Fase | Latência típica | Observações |
|---|---|---|
| Classificação + 402 geração | <10 ms | É executado em linha na borda |
| Verificação de pagamento | <30 ms | A validação da prova é criptográfica, sem chamada externa |
| Emissão de token + busca de origem | CloudFront Latência padrão | Igual a uma solicitação normal |
| Total de despesas gerais adicionais | <50 ms | Latência de solicitação acima do padrão |
CloudFront configuração de distribuição
Nenhuma alteração nas configurações de CloudFront distribuição é necessária para ativar a monetização. O recurso é controlado inteiramente por meio da configuração AWS WAF da ACL da web e do pacote de proteção.
Verifique o seguinte:
Associação de ACL da Web — Sua distribuição deve ter uma ACL AWS WAF da Web associada ao Bot Control e uma regra de monetização.
Cabeçalhos de resposta de origem — Se sua origem definir
Cache-Controlcabeçalhos, verifique se eles não entram em conflito com a estratégia de cache por agente para caminhos monetizados.Páginas de erro CloudFront personalizadas — páginas de erro personalizadas para respostas 4xx não se aplicam às respostas AWS WAF 402 geradas. O manifesto de preços é servido diretamente por AWS WAF.