WAF, Firewall Manager, Shield

Question 1

AWS Shield
Для чего нужен этот сервис?
Какую проблему он НЕ умеет решать?
Как он может защитить от атаки “атака 100 запросов/сек”?

Answer 1

для защиты от DDoS атак
НЕ решает обычную проблему traffic spikes

Для защиты от “атака 100 запросов/сек” нужен WAF и rate-based rule

Question 2

WAF
Для чего нужен этот сервис?
Какую проблему он НЕ умеет решать?

Answer 2

для web exploits, SQL injections, cross-site scripting
НЕ решает проблему DDoS атак

Question 3

Какие виды API можно защитить через WAF?
То есть с какими сервисами WAF интегрируется?

Что такое локальные / региональные / глобальные WAF rules?

Answer 3

На любые виды API
- на ALB (локальные rules)
- на API Gateway (региональные rules)
- на CloudFront (глобальные rules)
- на AppSync (защита GraphQL API)

Question 4

Как по-другому называют Web ACLs в сервисе WAF?
На базе чего они могут быть построены?
Для стран, отдельных IP адресов, признаков HTTP запросов и т.п.

Answer 4

WAF Rules = WAF Web ACLs
Могут базироваться на
- HTTP header, body, request type, URI
- размер запроса
- geo-restrictions (заблокировать целую страну)
- rate-based rules (количество запросов в секунду)
- ip range (разрешить только конкретные IP адреса)
- защита от SQL injections, cross-site-scripting

Question 5

WAF предоставляет библиотеку Managed Rules
Они могут иметь типы
- BASELINE Rule Groups
- USE-CASE SPECIFIC Rule Groups
- IP REPUTATION Rule Groups
- BOT CONTROL Managed Rule Groups
Какое предназначение у этих групп?

Answer 5

• BASELINE Rule Groups
• USE-CASE SPECIFIC Rule Groups (SQLi, Windows, PHP, Wordpress)
• IP REPUTATION Rule Groups (блокировать известные malicious IP адреса, spammers)
• BOT CONTROL Managed Rule Groups (блокировать ботов)

Question 6

Что будет с запросами, которые нарушают WAF Rules?
Что будет с запросами, которые НЕ нарушают WAF Rules?

Answer 6

• “плохие” запросы будут сразу же получать 403 error или custom error page
• а “хорошие” запросы будут проходить дальше - на API Gateway или CloudFront

Question 7

Как WAF может разрешить сервису ALB принимать запросы только от сервиса CloudFront?
Перед чем будет расположен WAF?

Answer 7

Заголовок X-Origin-Verify содержит секретную строку.
Которую верифицирует WAF перед самим Load Balancer’ом.
WAF при этом расположен перед ALB и перед CloudFront?

Question 8

Firewall Manager
Для чего нужен этот сервис?
Что такое protection rules?

Что такое Auto Apply Rule?

Answer 8

Сервис для управления firewall rules во всех аккаунтах AWS организации.
Сам по себе он НЕ объявляет никакие protection rules.
Но он нужен, чтобы распространить protection rules других сервисов (WAF, Shield) по всем аккаунтам организации.

Если Firewall Rule создан для ALB, то при создании нового ALB этот rule будет автоматически к нему применён

Question 9

WAF или Firewall Manager
Когда использовать какой сервис?

Какой из них защищает от атак?
Какой из них защищает от unauthorized access?

Answer 9

• Для защиты единичного ресурса через ACLs используем WAF
• Для распространения этой защиты по аккаунтам AWS организации (и для auto apply rule) используем Firewall Manager в дополнение к WAF

От атак защищает WAF.
А Network Firewall защищает от unauthorised access

Question 10

Security Policy (в контексте Firewall Security Policy) - это повторно используемый набор rule’ов
Какие сервисы рассматриваются как Security Policy Rules?

Answer 10

• WAF rules (для ALB, CloudFront, API Gateway)
• Shield Advanced rules
• Security Groups (для EC2, ALB)
• AWS Network Firewall (для VPC)
• Route 53 Resolvers DNS Firewall
• NACL (с недавних пор)