Atualizar a solução - Automações de segurança para AWS WAF
Considerações sobre a atualização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualizar a solução

Se você implantou a solução anteriormente, siga este procedimento para atualizar a CloudFormation pilha da solução para obter a versão mais recente da estrutura da solução. Antes de atualizar a pilha, leia atentamente as considerações sobre a atualização.

  1. Faça login no CloudFormation console da AWS.

  2. Selecione Pilhas no menu de navegação à esquerda.

  3. Selecione sua aws-waf-security-automations CloudFormation pilha existente.

  4. Selecione Atualizar.

  5. Selecione Substituir modelo atual.

  6. Em Especificar modelo:

    1. Selecione Amazon S3 URL.

    2. Copie o link da aws-waf-security-automations.template AWS CloudFormation.

    3. Cole o link na caixa de URL do Amazon S3.

    4. Verifique se o URL do modelo correto aparece na caixa de texto URL do Amazon S3.

    5. Escolha Próximo.

    6. Escolha Avançar novamente.

  7. Em Parâmetros, revise os parâmetros do modelo e modifique-os conforme necessário. Consulte detalhes sobre os parâmetros na Etapa 1. Inicie a pilha.

  8. Escolha Avançar.

  9. Na página Configurar opções de pilha, selecione Avançar.

  10. Na página Revisar, verifique e confirme as configurações.

  11. Selecione a caixa reconhecendo que o modelo pode criar recursos do IAM.

  12. Escolha Exibir conjunto de alterações e verifique as alterações.

  13. Selecione Criar pilha para implantar a pilha.

Você pode ver o status da pilha no CloudFormation console da AWS na coluna Status. Você deve receber o status UPDATE_COMPLETE em cerca de 15 minutos.

Considerações sobre a atualização

As seções a seguir fornecem restrições e considerações para atualizar essa solução.

Atualização do tipo de recurso

Você deve implantar uma nova pilha para atualizar o parâmetro Endpoint depois de criar a pilha. Não altere o parâmetro Endpoint ao atualizar a pilha.

WAFV2 atualização

A partir da versão 3.0, essa solução é compatível com a AWS WAFV2. Substituímos todas as chamadas de API do AWS WAF Classic por chamadas de API WAFV2 da AWS. Isso remove as dependências do Node.js e usa a maior parte do tempo de execução do up-to-date Python. Para continuar usando essa solução com os recursos e melhorias mais recentes, você deve implantar a versão 3.0 ou superior como uma nova pilha.

Personalizações na atualização da pilha

A out-of-box solução implanta um conjunto de regras do AWS WAF com configurações padrão em sua conta da AWS com a pilha. CloudFormation Não recomendamos aplicar personalizações às regras implantadas pela solução. As atualizações do Stack substituem essas alterações. Se você precisar de regras personalizadas, recomendamos criar regras separadas fora da solução.

Atualização do Bad Bot Protection

Na versão 4.1.0, o Access Handler Lambda com API Gateway foi descontinuado e substituído pela funcionalidade de log aprimorada do recurso. Log parser - Bad bot Em vez de usar solicitações diretas por meio do API Gateway, a solução agora reutiliza o fluxo de log para detectar bots mal-intencionados.

Implementação anterior:

  1. Manipulador de acesso necessário Lambda e API Gateway.

  2. Endpoint honeypot usado para tratamento direto de solicitações.

  3. É necessário incorporar o endpoint honeypot em sites.

Nova implementação (4.1.0+): O analisador de log do Bad Bot Protection agora:

  1. Inspeciona as solicitações para o endpoint do honeypot por meio de registros.

  2. Processa solicitações quando o Bad Bot Protection é ativado.

  3. Usa o filtro WAF BadBotRuleFilterpara identificar solicitações de bots incorretas.

  4. Analisa os dados de registro para identificar endereços IP que excedem as cotas definidas.

  5. Atualiza as condições do conjunto de IP do AWS WAF para bloquear endereços identificados.

Essa mudança simplifica a arquitetura, eliminando a funcionalidade duplicada e aproveitando os recursos existentes de processamento de registros.

Atualização do CDK

A partir da versão v4.1.0, essa solução é suportada pelo CDK. Se estiver migrando de uma versão inferior à v4.1.0. Use o novo modelo e atualize a solução no Cloudformation. Em seguida, você pode começar a atualizar a solução localmente por meio de seu terminal usando cdk deploy (consulte o README para obter mais informações). Se você tentar usar o cdk deploy diretamente, poderá ver este erro: Recuo insuficiente na coleta de fluxo

A outra forma de atualizar a solução será usar o modelo fornecido pela solução e acessar a seção Cloudformation do console da AWS, clicar em atualizar a solução e colar o novo modelo lá.

nota

Se você estiver atualizando da versão 3.0 ou 3.1 para a versão 3.2 ou mais recente desta solução e tiver inserido manualmente os endereços IP no conjunto de IP permitido ou negado, correrá o risco de perder esses endereços IP. Para evitar que isso aconteça, faça uma cópia dos endereços IP no conjunto de IP permitido ou negado antes de atualizar a solução. Depois de concluir a atualização, adicione os endereços IP de volta ao conjunto de IPs, conforme necessário. Consulte os comandos get-ip-sete update-ip-setCLI. Se você já estiver usando a versão 3.2 ou mais recente, ignore essa etapa.