Sécurité - Automatisations de sécurité pour AWS WAF
Rôles IAMDonnéesCapacités de protection

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité

Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce modèle de responsabilité partagée réduit votre charge opérationnelle car AWS exploite, gère et contrôle les composants, notamment le système d'exploitation hôte, la couche de virtualisation et la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécurité AWS, rendez-vous sur AWS Cloud Security.

Rôles IAM

Avec les rôles IAM, vous pouvez attribuer des accès, des politiques et des autorisations granulaires aux services et aux utilisateurs sur le cloud AWS. Cette solution crée des rôles IAM dotés de privilèges minimaux, et ces rôles accordent aux ressources de la solution les autorisations nécessaires.

Données

Toutes les données stockées dans les compartiments Amazon S3 et les tables DynamoDB sont cryptées au repos. Les données en transit avec Firehose sont également cryptées.

Capacités de protection

Les applications Web sont vulnérables à diverses attaques. Ces attaques incluent des requêtes spécialement conçues pour exploiter une vulnérabilité ou prendre le contrôle d'un serveur, des attaques volumétriques conçues pour détruire un site Web ou des robots malveillants et des scrapers programmés pour récupérer et voler du contenu Web.

Cette solution permet CloudFormation de configurer les règles AWS WAF, y compris les groupes de règles AWS Managed Rules et les règles personnalisées, afin de bloquer les attaques courantes suivantes :

  • Règles gérées par AWS : ce service géré fournit une protection contre les vulnérabilités courantes des applications ou contre tout autre trafic indésirable. Cette solution inclut des groupes de règles de réputation IP gérés par AWS, des groupes de règles de base gérés par AWS et des groupes de règles spécifiques à des cas d'utilisation gérés par AWS. Vous avez la possibilité de sélectionner un ou plusieurs groupes de règles pour votre ACL Web, dans la limite du quota d'unités de capacité maximale de l'ACL Web (WCU).

  • Injection SQL : les attaquants insèrent du code SQL malveillant dans des requêtes Web pour extraire des données de votre base de données. Nous avons conçu cette solution pour bloquer les requêtes Web contenant du code SQL potentiellement malveillant.

  • XSS - Les attaquants utilisent les vulnérabilités d'un site Web bénin pour injecter des scripts malveillants de site client dans le navigateur Web d'un utilisateur légitime. Nous l'avons conçu pour inspecter les éléments fréquemment explorés des demandes entrantes afin d'identifier et de bloquer les attaques XSS.

  • Inondations HTTP : les serveurs Web et autres ressources dorsales sont exposés au risque d'attaques DDo S, telles que les inondations HTTP. Cette solution invoque automatiquement une règle basée sur le taux lorsque les demandes Web d'un client dépassent un quota configurable. Vous pouvez également appliquer ce quota en traitant les journaux AWS WAF à l'aide d'une fonction Lambda ou d'une requête Athena.

  • Analyseurs et sondes : des sources malveillantes analysent et analysent les applications Web connectées à Internet pour détecter les vulnérabilités, en envoyant une série de requêtes qui génèrent des codes d'erreur HTTP 4xx. Vous pouvez utiliser cet historique pour identifier et bloquer les adresses IP sources malveillantes. Cette solution crée une fonction Lambda CloudFront ou une requête Athena qui analyse automatiquement les journaux d'accès ALB, compte le nombre de demandes erronées provenant d'adresses IP sources uniques par minute et met à jour AWS WAF pour bloquer les analyses ultérieures provenant d'adresses ayant atteint le quota d'erreur défini.

  • Origines connues des attaquants (listes de réputation IP) - De nombreuses entreprises tiennent à jour des listes de réputation d'adresses IP exploitées par des attaquants connus, tels que des spammeurs, des distributeurs de logiciels malveillants et des botnets. Cette solution exploite les informations contenues dans ces listes de réputation pour vous aider à bloquer les demandes provenant d'adresses IP malveillantes. En outre, cette solution bloque les attaquants identifiés par des groupes de règles de réputation IP sur la base des informations internes d'Amazon sur les menaces.

  • Bots et scrapers - Les opérateurs d'applications Web accessibles au public doivent être sûrs que les clients accédant à leur contenu s'identifient correctement et qu'ils utilisent les services comme prévu. Cependant, certains clients automatisés, tels que les scrapeurs de contenu ou les robots malveillants, se présentent sous un faux jour pour contourner les restrictions. Cette solution vous aide à identifier et à bloquer les robots malveillants et les scrapers.