O que são AWS WAF, AWS Shield Advanced e AWS Firewall Manager? - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
AWS WAFShield AdvancedAWS Firewall Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que são AWS WAF, AWS Shield Advanced e AWS Firewall Manager?

Você pode usar AWS WAF, AWS Shield e o AWS Firewall Manager em conjunto para criar uma solução de segurança abrangente. O AWS WAF é um firewall para aplicativos da Web que pode ser usado para monitorar as solicitações da Web que seus usuários finais enviam aos seus aplicativos e controlar quem pode acessar seu conteúdo. O Shield Advanced fornece proteção contra ataques distribuídos de negação de serviço (DDoS) a recursos da AWS nas camadas de rede e transporte (camadas 3 e 4) e na camada de aplicativo (camada 7). O AWS Firewall Manager fornece gerenciamento de proteções como o AWS WAF e o Shield Advanced em todas as contas e recursos, mesmo quando novos recursos são adicionados.

O que é o AWS WAF?

O AWS WAF é um firewall de aplicativo web que lhe permite monitorar os pedidos HTTP e HTTPS que são encaminhados para os recursos protegidos do aplicativo web. É possível proteger os seguintes tipos de recursos:

  • Distribuição do Amazon CloudFront

  • API REST do Amazon API Gateway

  • Application Load Balancer

  • API GraphQL do AWS AppSync

  • Grupo de usuários do Amazon Cognito

  • Serviço da AWS App Runner

  • Instância de acesso verificado da AWS

O AWS WAF permite que você controle o acesso ao seu conteúdo. Com base nas condições que você especificar, como de quais endereços IP se originam as solicitações ou os valores das strings de consulta, seu recurso protegido responde às solicitações com o conteúdo solicitado, um código de status HTTP 403 (proibido) ou uma resposta personalizada.

No nível mais simples, o AWS WAF permite que você escolha um dos seguintes comportamentos:

  • Permitir todas as solicitações, exceto aquelas que você especificar: isso é útil quando você deseja que o Amazon CloudFront, o Amazon API Gateway, o Application Load Balancer, o AWS AppSync, o Amazon Cognito, o AWS App Runner ou o AWS Verified Access forneçam conteúdo para um site público, mas também deseja bloquear solicitações de invasores.

  • Bloquear todas as solicitações, exceto as que você especificar: isso é útil quando você deseja fornecer conteúdo a um website restrito cujos usuários são prontamente identificáveis pelas propriedades nas solicitações da web, como os endereços IP que eles usam para navegar até o website.

  • Contar as solicitações que correspondam aos seus critérios: você pode usar a ação Count para rastrear seu tráfego na web sem modificar a forma como você lida com isso. Você pode usar isso para monitoramento geral e também para testar suas novas regras de tratamento de solicitações da web. Quando você deseja permitir ou bloquear solicitações com base nas novas propriedades das solicitações da web, primeiro você pode configurar o AWS WAF para contar as solicitações correspondentes a essas propriedades. Isso permite que você confirme suas novas configurações antes de mudar suas regras para permitir ou bloquear solicitações correspondentes.

  • Executar verificações de CAPTCHA ou de desafio em solicitações que correspondam aos seus critérios: você pode implementar CAPTCHA e controles de desafio silenciosos em solicitações para ajudar a reduzir o tráfego de bots para seus recursos protegidos.

Usar o AWS WAF traz vários benefícios:

  • Proteção adicional contra ataques da web usando as condições que você especificar. Você pode definir condições usando as características das solicitações da web, como as seguintes:

    • Endereços IP dos quais as solicitações se originam.

    • País de origem das solicitações.

    • Valores nos cabeçalhos da solicitação.

    • As strings exibidas em solicitações, sejam strings específicas ou strings correspondentes a padrões de expressão regular (regex).

    • Comprimento das solicitações.

    • Presença de código SQL que pode ser mal-intencionado (conhecido como injeção de SQL).

    • Presença de um script que provavelmente é mal-intencionado (conhecido como cross-site scripting).

  • Regras que podem permitir, bloquear ou contar solicitações da web que atendem aos critérios especificados. Como alternativa, as regras podem bloquear ou contar solicitações da Web que não apenas atendem às condições especificadas, mas também excedem um determinado número de solicitações em um minuto ou cinco minutos.

  • Regras que você pode reutilizar para várias aplicações web.

  • Grupos de regras gerenciadas da AWS e vendedores do AWS Marketplace

  • Métricas em tempo real e solicitações da web amostradas.

  • Administração automatizada usando a API do AWS WAF.

Se você deseja ter controle granular sobre a proteção que é adicionada aos seus recursos, apenas o AWS WAF é a escolha certa. Para obter mais informações sobre o AWS WAF, consulte AWS WAF.

O que é o AWS Shield Advanced?

Você pode usar as listas de controle de acesso à web (web ACLs) do AWS WAF para ajudar a minimizar os efeitos de um ataque distribuído de negação de serviço (DDoS). Para proteção adicional contra ataques de DDos, a AWS também fornece o AWS Shield Standard e o AWS Shield Advanced. O AWS Shield Standard é automaticamente incluído, sem custo adicional além do que você já paga pelo AWS WAF e seus outros serviços da AWS.

O Shield Advanced fornece proteção expandida contra ataques de DDoS para suas instâncias do Amazon EC2, balanceadores de carga do Elastic Load Balancing, distribuições do CloudFront, zonas hospedadas do Route 53 e aceleradores padrão do AWS Global Accelerator. O Shield Advanced gera cobranças adicionais. As opções e atributos do Shield Advanced incluem mitigação automática de DDoS na camada de aplicativos, visibilidade avançada de eventos e suporte dedicado da Shield Response Team (SRT). Se você possui sites de alta visibilidade ou suscetíveis a ataques de DDoS frequentes, avalie a possibilidade de comprar os recursos adicionais que o Shield Advanced fornece. Para obter informações adicionais, consulte Recursos e opções do AWS Shield Advanced e Como decidir se deseja assinar o AWS Shield Advanced e aplicar proteções adicionais.

O que é o AWS Firewall Manager?

O AWS Firewall Manager simplifica suas tarefas de administração e manutenção em várias contas e recursos para uma variedade de proteções, incluindo AWS WAF, AWS Shield Advanced, grupos de segurança da Amazon VPC e ACLs de rede, AWS Network Firewall, e Amazon Route 53 Resolver DNS Firewall. Com o Firewall Manager, você configura suas proteções apenas uma vez e o serviço aplica-as automaticamente em todas as contas e recursos, mesmo quando novos recursos e contas forem adicionados.

Para obter mais informações sobre o Firewall Manager, consulte AWS Firewall Manager.