iT邦幫忙

2021 iThome 鐵人賽

DAY 22
0
Security

你用雲端,還敢談資安?AWS資安服務佈署之路系列 第 22

Day22: WAF、Firewall Manager、Shield簡介

What is WAF?
上一篇其實有簡單帶到,WAF可以幫你阻擋掉帶有HTTP/HTTPS開頭的L7攻擊,並可以結合 Amazon CloudFront, Amazon API Gateway, Application Load Balancer一起使用。

下面簡單歸類三種WAF的阻擋模式,你可以選擇一種使用:

1.允許所有request,但擋掉幾個你所指定的
這可以用於公開的網站,但阻擋掉你已知是攻擊者的request

2.擋掉所有request,但允許幾個你所指定的
跟第一個相反,如果網站是有限制人觀看,你可以指定IP給可以看的人

3.計算跟你指定規則的request再做調整
先不阻擋或指定所有request,而是透過WAF來計算與你指定規則相同的request,之後再加以設定允許或阻擋
在你的架構啟用WAF的好處:
(1)指定阻擋/允許條件,如:IP位址、IP來源國家、request長度、防止SQL注入攻擊、跨站腳本攻擊
(2)規則可以重複用於多個網路應用
(3)及時顯示相關資安資訊

WAF到底怎麼運作?
WAF透過以下三個要素運作
Web ACL:跟NACL的概念類似,透過加上規則(Rules)來決定是否要阻擋或是同意request進到你的架構
Rules:每條規則都包含一段定義與條件,來決定request是否符合條件
Rules Group:規則可以單獨使用或包含在群組裡面重複利用,你可以透過AWS託管這些規則群組

WAF Web Capacity Unit(WCU)
WAF 會透過WCU來計算和控制Web ACL、Rules和Rules Group所需的資源。當您配置Rules Group和 Web ACL 時,AWS WAF 會強制執行 WCU 限制。 WCU 不會影響 AWS WAF 檢查 Web 流量的方式。

WAF 價格
上面提到WAF的三個要素,Web ACL、Rules跟Rules Group計費也是以這三個部分下去算。Web ACL USD 5/月、每一條Rules USD 1/月、每一個Rules Group USD 1/月,每一百萬個request USD 0.6。
另外如果你啟用AWS託管規則機器人,會固定收USD 10/月、每一百萬個request USD 1。

What is Firewall Manager?
Firewall Manager 可以幫助你啟用AWS Organization後的跨帳號資安管理,包含AWS WAF rules、 Shield Advanced以及VPC security groups等。Firewall Manager能在你新增帳號後自動幫你附上你已經設定好的規則。

What is Sheild?
講到DDoS防護就不得不提Sheild,它能幫你組當掉L3、4、7的攻擊,又分為Standard以及Advanced。AWS自動會幫你啟用Standard,而且是免費的(佛心公司。如果啟用Advanced還多幫你保護EC2 instance、ELB、 CloudFront 、Route 53和AWS Global Accelerator accelerators,如果你有訂閱Business Support以上的支援方案,如果你正遭受DDoS攻擊你可以聯繫7X24的SRT(Sheild response team)團隊幫你解決,但你如果想要啟用Sheild Advanced口袋得要夠深才行,它需要付USD3000/月。

所以我該啟用哪個呢?
本間介紹一次講三個服務(超長,為什麼不像前幾篇的篇幅一樣每個服務單獨介紹呢?因為三個一起用你可以達到最好的綜效,你可以從加上WAF開始,如果有多個帳號可以透過Firewall Manager,在進一步想要進行DDoS防禦可啟用Sheild Advanced。簡介先到這邊,下篇開始實際佈建。


上一篇
Day21: Infrastructure Protection on AWS
下一篇
Day 23: WAF web ACL、rules group建立
系列文
你用雲端,還敢談資安?AWS資安服務佈署之路30

尚未有邦友留言

立即登入留言