View a markdown version of this page

Considerazioni per la gestione dell'ispezione degli organi in AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield direttore della sicurezza di rete

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Lavorare con la console.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni per la gestione dell'ispezione degli organi in AWS WAF

Il limite di dimensione del corpo sottoposto a ispezione è la dimensione massima del corpo richiesto che AWS WAF è possibile ispezionare. Quando il corpo di una richiesta Web supera il limite, il servizio host sottostante inoltra solo i contenuti che rientrano nel limite consentito AWS WAF per l'ispezione.

  • Per Application Load Balancer and AWS AppSync, il limite è fissato a 8 KB (8.192 byte).

  • Per CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, il limite predefinito è 16 KB (16.384 byte) e puoi aumentare il limite per qualsiasi tipo di risorsa con incrementi di 16 KB, fino a 64 KB. Le opzioni di impostazione sono 16 KB, 32 KB, 48 KB e 64 KB.

Importante

AWS WAF non supporta le regole di Request Body Inspection per il traffico gRPC. Se hai abilitato queste regole sul protection pack (web ACL) per una CloudFront distribuzione o Application Load Balancer, qualsiasi richiesta che utilizza gRPC ignorerà le regole di ispezione del corpo della richiesta. Tutte le altre AWS WAF regole rimarranno valide. Per ulteriori informazioni, consulta Enable AWS WAF for distribution nella Amazon CloudFront Developer Guide.

Manipolazione di corpi di grandi dimensioni

Se il traffico web include corpi che superano il limite, verrà applicata la gestione delle sovradimensionate configurata. Per informazioni sulle opzioni per la gestione delle dimensioni eccessive, consulta. Componenti di richiesta Web di grandi dimensioni in AWS WAF

Considerazioni sui prezzi per l'aumento dell'impostazione del limite

AWS WAF addebita una tariffa base per l'ispezione del traffico che rientra nel limite predefinito per il tipo di risorsa.

Per le CloudFront risorse API Gateway, Amazon Cognito, App Runner e Verified Access, se aumenti l'impostazione del limite, il traffico che AWS WAF puoi ispezionare include le dimensioni del corpo fino al nuovo limite. Ti viene addebitato un costo aggiuntivo solo per l'ispezione delle richieste con dimensioni corporee superiori ai 16 KB predefiniti. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS WAF.

Opzioni per modificare il limite di dimensioni per l'ispezione dell'organismo

Puoi configurare il limite di dimensione dell'ispezione corporea per CloudFront le risorse API Gateway, Amazon Cognito, App Runner o Verified Access.

Quando crei o modifichi un pacchetto di protezione (Web ACL), puoi modificare i limiti delle dimensioni di Body Inspection nella configurazione dell'associazione delle risorse. Per l'API, consulta la configurazione dell'associazione del protection pack (web ACL) all'indirizzo. AssociationConfig Per la console, vedi la configurazione nella pagina in cui specifichi le risorse associate al protection pack (web ACL). Per indicazioni sulla configurazione della console, consultaVisualizzazione delle metriche del traffico web in AWS WAF.

AWS WAF controlli di ispezione HTTP/2 del traffico su Application Load Balancer

È possibile configurare il modo in cui AWS WAF ispeziona i corpi delle HTTP/2 richieste sul proprio (Application Load Balancer) durante il routing HTTP/2 verso le destinazioni. La regolazione dei tempi di ispezione consente di bilanciare la copertura di sicurezza con i modelli di comunicazione dell'applicazione.

Per modificare questa impostazione, modifica gli attributi del gruppo target per l' HTTP/2 obiettivo. È possibile trovare questa impostazione nella console del gruppo target Application Load Balancer nella sezione Comportamento di ispezione HTTP/2del traffico WAF. Per ulteriori informazioni, consulta la documentazione ALB.

Gli attributi del comportamento di ispezione HTTP/2 del traffico WAF sono:

Ispeziona immediatamente (impostazione predefinita)

AWS WAF ispeziona immediatamente ogni HTTP/2 richiesta utilizzando i dati di richiesta disponibili.

Scegliete questa opzione per le applicazioni di streaming bidirezionale in cui i client si aspettano le risposte del server prima di completare la trasmissione della richiesta. In questo modo si evitano i timeout nelle applicazioni che richiedono comunicazioni bidirezionali in tempo reale.

Ispeziona dopo un numero sufficiente di dati

AWS WAF l'ispezione inizia solo dopo aver ricevuto un numero sufficiente di frame di HTTP/2 dati dal cliente, garantendo l'ispezione completa della richiesta per una maggiore sicurezza.

Scegliete questa opzione per le applicazioni standard di richiesta e risposta in cui i client inviano tutti i dati della richiesta prima di aspettarsi una risposta dal server. Questa è l'impostazione consigliata per la maggior parte dei casi d'uso.