Como usar o AWS WAF com o Amazon CloudFront - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Como o AWS WAF funciona com diferentes tipos de distribuição

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como usar o AWS WAF com o Amazon CloudFront

Saiba como usar o AWS WAF com os atributos do Amazon CloudFront.

Quando você cria um pacote de proteção (ACL da Web), é possível especificar uma ou mais distribuições do CloudFront que você desejar que o AWS WAF inspecione. O CloudFront é compatível com dois tipos de distribuição: distribuições padrão que protegem locatários individuais e distribuições multilocatárias que protegem vários locatários com um único modelo de configuração compartilhado. O AWS WAF inspeciona as solicitações da Web para os dois tipos de distribuição com base nas regras definidas nos pacotes de proteção (ACLs da Web), com padrões de implementação diferentes para cada tipo.

Tópicos

Como o AWS WAF funciona com diferentes tipos de distribuição

Tipos de distribuição

O AWS WAF fornece recursos de firewall de aplicação Web para a distribuição padrão e a distribuição multilocatária do CloudFront.

Distribuições padrão

Para distribuições padrão, o AWS WAF adiciona proteção usando um único pacote de proteção (ACL da Web) para cada distribuição. Você pode habilitar essa proteção associando um pacote de proteção (ACL da Web) existente a uma distribuição do CloudFront ou usando a proteção de um clique no console do CloudFront. Isso permite que você gerencie os controles de segurança de cada distribuição de modo independente, pois qualquer alteração em um pacote de proteção (ACL da Web) afetará somente a distribuição associada a ele.

Esse método simples de proteger as distribuições do CloudFront é ideal para oferecer a domínios individuais proteções específicas de um único pacote de proteção (ACL da Web).

Considerações sobre a distribuição padrão

  • Alterações em um pacote de proteção (ACL da Web) afetam somente a distribuição a ele associada

  • Cada distribuição requer uma configuração de pacote de proteção independente (ACL da Web)

  • As regras e os grupos de regras são gerenciados separadamente para cada distribuição

Distribuições multilocatárias

Para distribuições multilocatárias, o AWS WAF adiciona proteção a vários domínios usando um único pacote de proteção (ACL da Web). Os domínios gerenciados por distribuições multilocatárias são conhecidos como locatários da distribuição. Você só pode habilitar a proteção do AWS WAF para distribuições multilocatárias no console do CloudFront, durante ou após o processo de criação da distribuição multilocatária. Porém, as alterações em um pacote de proteção (ACL da Web) ainda são gerenciadas no console ou na API do AWS WAF.

As distribuições multilocatárias oferecem a flexibilidade de habilitar as proteções do AWS WAF em dois níveis:

  • Nível da distribuição multilocatária: os pacotes de proteção (ACLs da Web) associados fornecem controles de segurança básicos que se aplicam a todas as aplicações que compartilham essa distribuição

  • Nível do locatário da distribuição: os locatários individuais de uma distribuição multilocatária podem ter seus próprios pacotes de proteção (ACLs da Web) para implementar controles de segurança adicionais ou substituir as configurações da distribuição multilocatária

Esses dois níveis tornam as distribuições multilocatárias ideais para compartilhar as proteções do AWS WAF em vários domínios sem perder a capacidade de personalizar a segurança de uma distribuição individual.

Considerações sobre a distribuição multilocatária

  • Os locatários individuais de uma distribuição herdam as alterações feitas nos pacotes de proteção (ACLs da Web) associados às distribuições multilocatárias relacionadas

  • Os pacotes de proteção (ACLs da Web) associados a locatários de distribuição específicos podem substituir as configurações definidas no nível do pacote da proteção multilocatária (ACL da Web)

  • Os grupos de regras gerenciados podem ser implementados no nível da distribuição e no nível do locatário da distribuição

  • É possível localizar nos logs os identificadores de aplicação para rastrear eventos de segurança por distribuição

Recursos do AWS WAF por tipo de distribuição

Comparar implementações de pacote de proteção (ACL da Web)
Recurso do AWS WAF Distribuições padrão Distribuições multilocatárias
Associar pacotes de proteção (ACLs da Web) Um único pacote de proteção (ACL da Web) por distribuição Você pode compartilhar os pacotes de proteção (ACLs da Web) entre os locatários, com pacotes de proteção opcionais específicos do locatário opcionais (ACLs da Web)
Gerenciamento de regras As regras afetam uma única distribuição As regras da distribuição multilocatária afetam todos os locatários associados; as regras da distribuição específica do locatário afetam apenas esse locatário
Grupos de regras gerenciadas Aplicados a distribuições individuais Podem ser aplicados no nível da distribuição multilocatária a todos os locatários ou no nível do locatário a aplicações específicas
Registro em log Logs padrão do AWS WAF Os logs incluem identificadores de locatários para atribuição de eventos de segurança