Configurar la retención de IP en los conjuntos de IP de AWS WAF permitidos y denegados - Automatizaciones de seguridad para AWS WAF
FuncionamientoActive la retención de IP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar la retención de IP en los conjuntos de IP de AWS WAF permitidos y denegados

Puede configurar la retención de IP en los conjuntos de IP de AWS WAF permitidos y denegados que cree la solución. En las siguientes secciones se explica cómo funciona y se proporcionan los pasos para configurarlo.

Funcionamiento

Diagrama de arquitectura que muestra las listas de permitidos y denegados de AWS WAF y otros recursos de AWS

Retención de IP

  1. Cuando un usuario actualiza (añade o elimina una dirección IP) el conjunto de IP de WAF permitidas o denegadas, esta acción invoca una llamada a la API de AWS UpdateIPSet WAF y crea un evento.

  2. Una regla de EventBridge eventos de Amazon detecta los eventos en función de un patrón de eventos predefinido e invoca una función Lambda para establecer el período de retención de todas las direcciones IP que existen en el conjunto de IP después de la actualización.

  3. La función Lambda procesa los eventos, extrae los datos relevantes para la retención de IP (como el nombre del conjunto de IP, el ID, el alcance y las direcciones IP) y los inserta en una tabla de DynamoDB. También inserta un ExpirationTime atributo para cada elemento de DynamoDB. La solución calcula el tiempo de caducidad añadiendo un período de retención definido por el usuario a la hora del evento. La tabla tiene activados DynamoDB Streams y Time to Live (TTL). El atributo TTL es. ExpirationTime

  4. Cuando un elemento llega a su fecha de caducidad, se invoca el TTL y DynamoDB lo elimina de la tabla después de esa fecha. Tras la eliminación del elemento, el elemento eliminado se añade al flujo de DynamoDB, que invoca una función Lambda para el procesamiento posterior.

  5. La función Lambda obtiene la información sobre el elemento eliminado de la transmisión de DynamoDB y realiza una llamada a la API de AWS WAF para eliminar las direcciones IP caducadas incluidas en el elemento del conjunto de IP de AWS WAF de destino.

Active la retención de IP

Sigue estos pasos para activar la retención de IP:

  1. En la pila de Cloudformation que vaya a implementar o actualizar, introduzca el período de retención de IP (minutos) para el conjunto de IP permitido y el período de retención de IP (minutos) para el conjunto de IP denegado. El período mínimo de retención es de 15 minutos. La solución trata cualquier número comprendido entre 0 y 15 como15. Para obtener más información sobre la configuración de la implementación, consulte el paso 1. Lance la pila.

  2. Introduzca una dirección de correo electrónico si desea recibir una notificación por correo electrónico cuando se eliminen direcciones IP caducadas del conjunto de IP de AWS WAF. Si decide recibir una notificación por correo electrónico, debe confirmar la suscripción mediante el enlace que aparece en el correo electrónico que reciba una vez que la solución se haya implementado correctamente. Para obtener más información sobre la configuración de la implementación, consulte el paso 1. Lance la pila.

  3. Actualice el conjunto de IP de AWS WAF añadiendo o eliminando direcciones IP. Esto inicia el proceso de retención de IP y crea un elemento de DynamoDB, que incluye una lista de caducidad de IP. Esta lista de caducidad consta de las direcciones IP que existen en el conjunto de IP de AWS WAF después de actualizarlo.

  4. Una vez que el elemento de DynamoDB alcanza su fecha de caducidad y se elimina de la tabla, la solución elimina las direcciones IP incluidas en la lista de caducidad de IP del elemento del conjunto de direcciones IP del WAF.

nota

Según el momento en que DynamoDB elimine un elemento caducado por TTL, la operación de eliminación real de una dirección IP caducada del conjunto de IP de AWS WAF puede variar. La eliminación de TTL de DynamoDB depende principalmente del tamaño y el nivel de actividad de una tabla. Se espera un retraso en la operación de eliminación de AWS WAF debido a la posible demora en la operación de eliminación de DynamoDB. En general, la solución elimina las direcciones IP caducadas del conjunto de direcciones IP de AWS WAF poco después de eliminar el TTL de DynamoDB. Para obtener más información, consulte DynamoDB Time to Live (TTL) en la Guía para desarrolladores de Amazon DynamoDB.