Migración de un paquete de protección (ACL web): consideraciones adicionales - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Migración de un paquete de protección (ACL web): consideraciones adicionales

Revise el nuevo paquete de protección (ACL web) y considere las opciones disponibles en el nuevo AWS WAF para asegurarse de que la configuración es lo más eficiente posible y que usa las últimas opciones de seguridad disponibles.

Reglas administradas de AWS adicionales

Considere la posibilidad de implementar Reglas administradas de AWS adicionales en su paquete de protección (ACL web) para aumentar la estrategia de seguridad de la aplicación. Se incluyen con AWS WAF sin ningún coste adicional. AWS Las reglas administradas incluyen los siguientes tipos de grupos de reglas:

  • Los grupos de reglas base proporcionan protección general contra una serie de amenazas comunes, como impedir que se realicen entradas incorrectas conocidas en la aplicación o impedir el acceso a la página de administración.

  • Los grupos de reglas específicos para los casos de uso proporcionan mayor protección para diversos y numerosos escenarios y entornos.

  • Las listas de reputación de IP proporcionan información sobre las amenazas en función de la IP de origen del cliente.

Para obtener más información, consulte Reglas administradas de AWS para AWS WAF.

Optimización y limpieza de reglas

Vuelva a revisar las reglas antiguas y considere la posibilidad de optimizarlas reescribiéndolas o eliminando las que estén obsoletas. Por ejemplo, si en el pasado implementó una plantilla de AWS CloudFormation procedente del documento técnico sobre las diez principales vulnerabilidades de aplicaciones web de OWASP, Prepare for the OWASP Top 10 Web Application Vulnerabilities UsingAWS WAF and Our New White Paper, debería considerar la posibilidad de sustituirla por las reglas administradas de AWS. Aunque el enfoque del documento sigue siendo aplicable y puede ayudarle a escribir sus propias reglas, las reglas creadas por la plantilla se han sustituido en buena parte por reglas administradas de AWS.

Alarmas y métricas de Amazon CloudWatch

Vuelva a consultar las métricas de Amazon CloudWatch y configure alarmas según sea necesario. La migración no incluye las alarmas de CloudWatch y es posible que los nombres de las métricas no sean los que desea.

Revisión con el equipo de aplicaciones

Trabaje con su equipo de aplicaciones y compruebe su enfoque en materia de seguridad. Averigüe qué campos analiza con frecuencia la aplicación y agregue reglas para limpiar la entrada como corresponda. Compruebe si hay casos perimetrales y agregue reglas para detectar estos casos si la lógica de negocio de la aplicación no puede procesarlos.

Planificación del cambio

Planifique el momento en que se va a realizar el cambio con el equipo de aplicaciones. El cambio de la antigua asociación del paquete de protección (ACL web) a la nueva puede tardar un poco en propagarse a todas las áreas en las que se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. Durante este tiempo, el antiguo paquete de protección (ACL web) procesará algunas solicitudes y el nuevo paquete de protección (ACL web) procesará otras. Sus recursos estarán protegidos durante todo el cambio, pero es posible que observe incoherencias en la gestión de las solicitudes mientras el cambio esté en marcha.

Cuando todo esté listo para realizar el cambio, siga el procedimiento que se indica en Migración de un paquete de protección (ACL web): transición.