Usando AWS WAF com a Amazon CloudFront - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede
Como AWS WAF funciona com diferentes tipos de distribuiçãoUsando AWS WAF com planos CloudFront de preços

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte Trabalhando com o console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando AWS WAF com a Amazon CloudFront

Saiba como usar AWS WAF com os CloudFront recursos da Amazon.

Ao criar um pacote de proteção (web ACL), você pode especificar uma ou mais CloudFront distribuições que deseja AWS WAF inspecionar. CloudFront suporta dois tipos de distribuições: distribuições padrão que protegem locatários individuais e distribuições multilocatárias que protegem vários locatários por meio de um único modelo de configuração compartilhado. AWS WAF inspeciona solicitações da web para os dois tipos de distribuição com base nas regras que você define em seus pacotes de proteção (web ACLs), com padrões de implementação diferentes para cada tipo.

Tópicos

Como AWS WAF funciona com diferentes tipos de distribuição

Tipos de distribuição

AWS WAF fornece recursos de firewall de aplicativos web para distribuições de distribuição CloudFront padrão e multilocatário.

Distribuições padrão

Para distribuições padrão, AWS WAF adiciona proteção usando um único pacote de proteção (Web ACL) para cada distribuição. Você pode ativar essa proteção associando um pacote de proteção existente (web ACL) a uma CloudFront distribuição ou usando a proteção de um clique no console. CloudFront Isso possibilita gerenciar os controles de segurança de cada distribuição de modo independente, pois qualquer alteração em um pacote de proteção (ACL da Web) afetará somente a distribuição associada a ele.

Esse método simples de proteger CloudFront distribuições é ideal para fornecer proteções específicas a domínios individuais a partir de um único pacote de proteção (Web ACL).

Considerações sobre a distribuição padrão

  • Alterações em um pacote de proteção (ACL da Web) afetam somente a distribuição a ele associada

  • Cada distribuição requer uma configuração de pacote de proteção independente (ACL da Web)

  • As regras e os grupos de regras são gerenciados separadamente para cada distribuição

Distribuições multilocatário

Para distribuições multilocatárias, AWS WAF adiciona proteção em vários domínios usando um único pacote de proteção (Web ACL). Os domínios gerenciados por distribuições multilocatárias são conhecidos como locatários da distribuição. Você só pode ativar a AWS WAF proteção para distribuições multilocatárias no CloudFront console, durante ou após o processo de criação da distribuição multilocatária. No entanto, as alterações em um pacote de proteção (Web ACL) ainda são gerenciadas por meio do AWS WAF console ou da API.

As distribuições multilocatárias oferecem a flexibilidade de permitir AWS WAF proteções em dois níveis:

  • Nível de distribuição multilocatário — Os pacotes de proteção associados (web ACLs) fornecem controles de segurança básicos que se aplicam a todos os aplicativos que compartilham essa distribuição

  • Nível de locatário de distribuição — inquilinos individuais em uma distribuição multilocatária podem ter seus próprios pacotes de proteção (web ACLs) para implementar controles de segurança adicionais ou substituir as configurações de distribuição multilocatário

Esses dois níveis tornam as distribuições multilocatárias ideais para compartilhar AWS WAF proteções em vários domínios sem perder a capacidade de personalizar a segurança de uma distribuição individual.

Considerações sobre a distribuição multilocatária

  • Locatários de distribuição individuais herdam as alterações feitas nos pacotes de proteção (web ACLs) que estão associados a distribuições multilocatárias relacionadas

  • Os pacotes de proteção (web ACLs) associados a locatários de distribuição específicos podem substituir as configurações definidas no nível do pacote de proteção multilocatário (Web ACL)

  • Os grupos de regras gerenciados podem ser implementados no nível da distribuição e no nível do locatário da distribuição

  • É possível localizar nos logs os identificadores de aplicação para rastrear eventos de segurança por distribuição

AWS WAF recursos por tipo de distribuição

Comparar implementações de pacote de proteção (ACL da Web)
AWS WAF Característica Distribuições padrão Distribuições multilocatárias
Associando pacotes de proteção (web) ACLs Um único pacote de proteção (ACL da Web) por distribuição Você pode compartilhar pacotes de proteção (web ACLs) entre locatários, com pacotes de proteção opcionais específicos para inquilinos (web) ACLs
Gerenciamento de regras As regras afetam uma única distribuição As regras da distribuição multilocatária afetam todos os locatários associados; as regras da distribuição específica do locatário afetam apenas esse locatário
Grupos de regras gerenciadas Aplicados a distribuições individuais Podem ser utilizados no nível da distribuição multilocatária a todos os locatários ou no nível do locatário a aplicações específicas
Registro em log AWS WAF Registros padrão Os logs incluem identificadores de locatários para atribuição de eventos de segurança

Usando AWS WAF com CloudFront planos de preços fixos

CloudFront os planos de preços fixos combinam a rede CloudFront global de entrega de conteúdo (CDN) da Amazon com vários Serviços da AWS recursos em um preço mensal sem cobranças extras, independentemente de picos de tráfego ou ataques.

Os planos de preços fixos incluem o seguinte Serviços da AWS e os recursos por um preço mensal simples:

  • CloudFront CDN

  • AWS WAF e proteção DDo S

  • Gerenciamento e analytics de bots

  • DNS do Amazon Route 53

  • Ingestão CloudWatch de Amazon Logs

  • Certificado TLS

  • Computação de borda sem servidor

  • Créditos mensais de armazenamento do Amazon S3

Os planos estão disponíveis nos níveis Gratuito, Profissional, Negócios e Premium para atender às necessidades da sua aplicação. Os planos não precisam de um compromisso anual para obter as melhores tarifas disponíveis. Comece com o plano gratuito e faça a atualização para ter acesso a mais recursos e maiores limites de uso.

Para obter mais informações e uma lista completa de planos e recursos, consulte os planos CloudFront de preços fixos no Amazon CloudFront Developer Guide.

Importante

Um pacote de AWS WAF proteção válido (web ACL) deve permanecer associado à sua CloudFront distribuição ao usar qualquer plano de preços. Você não pode remover a associação do pacote de proteção (Web ACL), a menos que volte aos pay-as-you-go preços.

Embora uma ACL AWS WAF da web deva permanecer associada à sua distribuição, você mantém controle total sobre sua configuração de segurança. Você pode personalizar sua proteção ajustando quais regras estão ativadas ou desativadas na sua ACL da web e modificar as configurações das regras para que correspondam aos seus requisitos de segurança. Para obter informações sobre como gerenciar regras de ACL da web, consulte AWS WAF Regras.