Usando AWS WAF com a Amazon CloudFront - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede
Como AWS WAF funciona com diferentes tipos de distribuição

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando AWS WAF com a Amazon CloudFront

Saiba como usar AWS WAF com os CloudFront recursos da Amazon.

Ao criar um pacote de proteção ou Web ACL, você pode especificar uma ou mais CloudFront distribuições que deseja AWS WAF inspecionar. CloudFront suporta dois tipos de distribuições: distribuições padrão que protegem locatários individuais e distribuições multilocatárias que protegem vários locatários por meio de um único modelo de configuração compartilhado. AWS WAF inspeciona as solicitações da web para os dois tipos de distribuição com base nas regras definidas no pacote de proteção ou na web ACLs, com padrões de implementação diferentes para cada tipo.

Tópicos

Como AWS WAF funciona com diferentes tipos de distribuição

Tipos de distribuição

AWS WAF fornece recursos de firewall de aplicativos web para distribuições de distribuição CloudFront padrão e multilocatário.

Distribuições padrão

Para distribuições padrão, AWS WAF adiciona proteção usando um único pacote de proteção ou Web ACL para cada distribuição. Você pode ativar essa proteção associando um pacote de proteção existente ou uma Web ACL a uma CloudFront distribuição ou usando a proteção de um clique no console. CloudFront Isso permite que você gerencie os controles de segurança de cada uma de suas distribuições de forma independente, já que qualquer alteração em um pacote de proteção ou ACL da web afetará somente a distribuição associada a ele.

Esse método simples de proteger CloudFront distribuições é ideal para fornecer proteções específicas a domínios individuais a partir de um único pacote de proteção ou Web ACL.

Considerações sobre distribuição padrão

  • Alterações em um pacote de proteção ou ACL da web afetam somente sua distribuição associada

  • Cada distribuição requer um pacote de proteção independente ou uma configuração de ACL da web

  • As regras e os grupos de regras são gerenciados separadamente para cada distribuição

Distribuições multilocatárias

Para distribuições multilocatárias, AWS WAF adiciona proteção em vários domínios usando um único pacote de proteção ou Web ACL. Os domínios gerenciados por distribuições multilocatárias são conhecidos como locatários de distribuição. Você só pode ativar a AWS WAF proteção para distribuições multilocatárias no CloudFront console, durante ou após o processo de criação da distribuição multilocatária. No entanto, as alterações em um pacote de proteção ou ACL da web ainda são gerenciadas por meio do AWS WAF console ou da API.

As distribuições multilocatárias oferecem a flexibilidade de permitir AWS WAF proteções em dois níveis:

  • Nível de distribuição multilocatário — o pacote de proteção ou a web associados ACLs fornecem controles de segurança básicos que se aplicam a todos os aplicativos que compartilham essa distribuição

  • Nível de locatário de distribuição — inquilinos individuais em uma distribuição multilocatária podem ter seu próprio pacote de proteção ou web ACLs para implementar controles de segurança adicionais ou substituir as configurações de distribuição de vários locatários

Esses dois níveis tornam as distribuições multilocatárias ideais para compartilhar AWS WAF proteções em vários domínios sem perder a capacidade de personalizar a segurança de uma distribuição individual.

Considerações sobre distribuição multilocatária

  • Locatários de distribuição individuais herdam as alterações feitas no pacote de proteção ou na web ACLs que estão associadas a distribuições multilocatárias relacionadas

  • O pacote de proteção ou a web ACLs associado a locatários de distribuição específicos podem substituir as configurações definidas no nível do pacote de proteção multilocatário ou da Web ACL

  • Os grupos de regras gerenciados podem ser implementados nos níveis de distribuição e de locatários de distribuição

  • Os identificadores de aplicativos podem ser localizados em registros para rastrear eventos de segurança por distribuição

AWS WAF recursos por tipo de distribuição

Compare as implementações do pacote de proteção ou da Web ACL
AWS WAF Característica Distribuições padrão Distribuições multilocatárias
Associando pacote de proteção ou web ACLs Um pacote de proteção ou Web ACL por distribuição Você pode compartilhar o pacote de proteção ou a web ACLs entre os locatários, com o pacote de proteção ou a web opcionais específicos do inquilino ACLs
Gerenciamento de regras As regras afetam uma única distribuição As regras de distribuição de vários inquilinos afetam todos os inquilinos associados; as regras de distribuição específicas do inquilino afetam somente esse inquilino
Grupos de regras gerenciadas Aplicado a distribuições individuais Pode ser aplicado no nível de distribuição de vários inquilinos para todos os inquilinos ou no nível do inquilino para aplicações específicas
Registro em log AWS WAF Registros padrão Os registros incluem identificadores de inquilinos para atribuição de eventos de segurança