Uso AWS WAF con Amazon CloudFront - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red
¿Cómo AWS WAF funciona con los distintos tipos de distribución

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso AWS WAF con Amazon CloudFront

Obtén información sobre cómo utilizarlas AWS WAF con CloudFront las funciones de Amazon.

Al crear un paquete de protección o una ACL web, puede especificar una o más CloudFront distribuciones que desee AWS WAF inspeccionar. CloudFront admite dos tipos de distribuciones: distribuciones estándar que protegen a usuarios individuales y distribuciones multiusuario que protegen a varios usuarios mediante una única plantilla de configuración compartida. AWS WAF inspecciona las solicitudes web para ambos tipos de distribución en función de las reglas que defina en su paquete de protección o web ACLs, con diferentes patrones de implementación para cada tipo.

Temas

¿Cómo AWS WAF funciona con los distintos tipos de distribución

Tipos de distribución

AWS WAF proporciona capacidades de firewall de aplicaciones web para distribuciones de distribución estándar y multiusuario. CloudFront

Distribuciones estándar

En el caso de las distribuciones estándar, AWS WAF añade protección mediante un único paquete de protección o ACL web para cada distribución. Puede habilitar esta protección asociando un paquete de protección o ACL web existente a una CloudFront distribución o utilizando la protección con un solo clic en la consola. CloudFront Esto le permite administrar los controles de seguridad de cada una de sus distribuciones de forma independiente, ya que cualquier cambio en un paquete de protección o ACL web solo afectará a la distribución asociada a él.

Este sencillo método de protección de CloudFront las distribuciones es óptimo para proporcionar a los dominios individuales protecciones específicas a partir de un único paquete de protección o ACL web.

Consideraciones sobre la distribución estándar

  • Los cambios en un paquete de protección o en una ACL web afectan únicamente a su distribución asociada

  • Cada distribución requiere un paquete de protección independiente o una configuración de ACL web

  • Las reglas y los grupos de reglas se administran por separado para cada distribución

Distribuciones de múltiples inquilinos

En el caso de las distribuciones con varios usuarios, AWS WAF añade protección en varios dominios mediante un único paquete de protección o ACL web. Los dominios que se administran mediante distribuciones de varios inquilinos se conocen como arrendatarios de distribución. Solo puede habilitar la AWS WAF protección de las distribuciones con varios inquilinos en la CloudFront consola, ya sea durante o después del proceso de creación de la distribución con varios inquilinos. Sin embargo, los cambios en un paquete de protección o en una ACL web se siguen gestionando a través de la AWS WAF consola o la API.

Las distribuciones multiusuario ofrecen la flexibilidad necesaria para habilitar AWS WAF las protecciones en dos niveles:

  • Nivel de distribución multiusuario: el paquete de protección asociado o la web ACLs proporcionan controles de seguridad básicos que se aplican a todas las aplicaciones que comparten esa distribución

  • Nivel de inquilino de distribución: los inquilinos individuales de una distribución con varios inquilinos pueden tener su propio paquete de protección o red ACLs para implementar controles de seguridad adicionales o anular la configuración de distribución con varios inquilinos

Estos dos niveles hacen que las distribuciones multiusuario sean óptimas para compartir AWS WAF protecciones en varios dominios sin perder la capacidad de personalizar la seguridad de una distribución individual.

Consideraciones sobre la distribución multiusuario

  • Los arrendatarios de distribución individuales heredan los cambios realizados en el paquete de protección o en la web ACLs que están asociados a distribuciones multiusuario relacionadas

  • El paquete de protección o la web ACLs asociados a arrendatarios de distribución específicos pueden anular los ajustes configurados a nivel del paquete de protección multiusuario o de la ACL web

  • Los grupos de reglas administrados se pueden implementar tanto en el nivel de distribución como en el de los inquilinos de distribución

  • Los identificadores de las aplicaciones se pueden ubicar en los registros para realizar un seguimiento de los eventos de seguridad por distribución

AWS WAF características por tipo de distribución

Compare las implementaciones de paquetes de protección o ACL web
AWS WAF Característica Distribuciones estándar Distribuciones multiarrendatario
Asociar un paquete de protección o una web ACLs Un paquete de protección o ACL web por distribución Puede compartir el paquete de protección o la web ACLs entre los inquilinos, con el paquete de protección específico para cada inquilino opcional o la web ACLs
Administración de reglas Las reglas afectan a una única distribución Las reglas de distribución para varios inquilinos afectan a todos los inquilinos asociados; las reglas de distribución específicas para cada inquilino afectan solo a ese inquilino
grupos de reglas administradas Se aplica a distribuciones individuales Se puede aplicar a nivel de distribución de múltiples inquilinos para todos los inquilinos o a nivel de inquilino para aplicaciones específicas
Registro Registros estándar AWS WAF Los registros incluyen identificadores de inquilinos para la atribución de eventos de seguridad