Sissejuhatus AWS tulemüürihaldurisse
AWS tulemüürihalduri aspektid. Tänapäeval pole andmed kaitstud, eriti Internetiga seotud platvormidel. Nende andmete kaitsmiseks pakub Amazon Web Services tulemüüre, mida tuntakse AWS-i veebirakenduse tulemüüridena (WAF). Kui kasutaja või klient kasutab seda tulemüüri ühel või mitmel kontol või ressursil, tuleb seda tõhusalt hallata. Selle lahendusena loodi Amazon Web Services Firewall Manager. See on teenus, mis pakub peamiselt turbehaldust veebirakenduse tulemüüri reeglite haldamiseks ja konfigureerimiseks ning täpsemate kaitsete kaitsmiseks kasutaja kõigi rakenduste ja kontode kaudu.
AWS tulemüürihalduri eeltingimused
Enne tulemüürihalduri kasutamist veenduge, et järgmised sammud on juba tehtud:
1. Liituge Amazoni veebiteenuste organisatsioonidega
Tulemüürihalduri kasutamiseks peab kasutajakonto olema AWS-i organisatsioonis. Kui kasutaja konto on juba liige, saab II toimingu otse läbi viia. Kui kasutajakonto ei ole liige, looge organisatsioon, kuna kasutajakonto on põhikonto. Kui organisatsioon on loodud, lisage sellele muid kontosid ja lubage ka funktsioonid.
2. Seadistage AWS Firewall Manager administraatori konto
Tulemüürihaldurid tuleb siduda teie loodud organisatsiooni peakontoga. Seejärel tuntakse seda kontot kui AWS Firewall Manager administraatori kontot.
- Logige AWS-i konsooli sisse, kasutades AWS-i organisatsiooni peakontot. Kui mõnel teisel kontol on selleks luba, saab seda kasutada ka sisselogimiseks.
- Avage tulemüürihalduri konsool.
- Valige Alusta.
- Esitage konto ID, mis tuleb lüüa tulemüürihalduriga. Seejärel luuakse tulemüürihalduri administraatori konto.
- Valige Määra administraator.
3. Luba AWS-i konfigureerimine
AWS-i konfiguratsiooni konto peab olema lubatud iga AWS-i organisatsiooni konto jaoks. Konfiguratsiooni saab lubada käsitsi või mallide abil. Samuti tuleb täpsustada ressursid, mida peate tulemüüri kaitsma.
Kuidas kasutada AWS tulemüürihaldurit?
AWS Firewall Manager teostab peamiselt kahte toimingut.
- Luba veebirakenduse tulemüürireeglid.
- Luba kilbi täiustatud kaitse.
Vaatame järgmistes toimingutes, kuidas neid tehakse.
WAF-reeglite lubamise sammud AWS-i tulemüürihalduriga
WAF-reegleid saab lubada AWS Firewall Manager abil. Järgmised toimingud on sama toimimiseks.
1. samm: täitke ülaltoodud jaotises nimetatud eeltingimused.
2. samm: looge reeglid.
Selleks looge kasutaja nõudmistest lähtuvad tingimused.
Taotlused | Seisund |
Pahatahtlike skriptidega taotluste blokeerimiseks või lubamiseks | saidiülese skriptimise vaste tingimused |
IP-aadressidel põhinevate taotluste blokeerimiseks või lubamiseks | IP-vaste tingimused |
Taotluste blokeerimine või lubamine vastavalt riigile | geo mängu tingimused |
Taotluste blokeerimiseks või lubamiseks pikkuse alusel | suuruspiirangud |
Pahatahtlikul SQL-koodil põhinevate taotluste blokeerimiseks või lubamiseks | SQL-i süstimise vaste tingimused |
Stringide alusel taotluste blokeerimine või lubamine | stringide vaste tingimused |
Regex-mustril põhinevate taotluste blokeerimiseks või lubamiseks | regexi mängu tingimused |
Seejärel looge reeglid AWS-i veebirakenduse tulemüüri abil ja lisage sellele tingimused.
Reegli loomiseks toimige järgmiselt.
- Logige sisse AWS-i konsooli ja avage WAF-i konsool.
- Valige navigeerimispaanilt reeglid.
- Valige Loo reegel.
- Sisestage sellised väärtused nagu Nimi, Pilvevaatluse mõõdiku nimi, Reegli tüüp, Kiiruse piirang.
- Lisage tingimused, täpsustades, kas see tuleb blokeerida või mitte.
- Kui tuleb lisada mitu tingimust, valige Lisa veel üks tingimus ja korrake ülaltoodud sammu.
- Pärast ülaltoodud toimingute tegemist valige Loo.
3. samm: looge reeglistik
Reeglite kogumit, mis selgitab, milliseid toiminguid tuleb teha, kui eritingimused on täidetud, nimetatakse reeglirühmaks. Reeglirühmi on võimalik osta või käsitsi luua.
Reeglite rühma loomiseks tuleb läbi viia järgmised toimingud.
- Logige AWS-i konsooli sisse eeltingimustes loodud administraatori konto abil.
- Avage tulemüürihalduri konsool.
- Valige navigeerimispaanilt turvapoliitika.
- Kui kõik eeldused pole täidetud, juhendab konsool kasutajat selle parandama. Kui eeltingimused on täidetud, valige Vali
- Valige Loo poliitika.
- Valige Loo AWS-i tulemüürihalduri poliitika ja lisage uus reeglirühm.
- Pärast AWS-i piirkonna valimist valige Järgmine.
- Valige Järgmine, kuna reeglid ja tingimused on juba loodud.
- Valige Loo reegli rühm.
- Sisestage nimi.
- Valitseva rühmaga seostamiseks sisestage CloudWatchi mõõdiku nimi. Järgida tuleb nimetamistava. st nimes peaksid olema tähtnumbrilised märgid, näiteks AZ, az, 0-9 või erimärgid, näiteks _-! ”#` + *), . /. Valget ruumi ei tohiks olla.
- Valige reegel
- Valige Lisa reegel.
- Valige Loo.
4. samm: looge ja rakendage AWS WAF-i jaoks poliitika koos AWS-i tulemüürihalduriga.
AWS-i tulemüürihalduri jaoks poliitika loomiseks toimige järgmiselt.
- Kuna reegli rühmad on juba loodud, kuvatakse leht Reeglite rühma kokkuvõte. Valige Edasi.
- Sisestage nimi.
- Valige poliitika tüübi jaoks WAF.
- Valige AWS-i piirkond.
- Valige rühm Lisa reegel.
- Poliitikal on kaks toimingut. Reegrühma järgi määratud arv või toiming.
Valige arv, kui poliitikat ja reeglirühma tuleb veel testida, valige toiming, mis on seatud reeglirühma järgi. Nüüdsest valige demoesmärgil Count.
- Valige Edasi.
- Valige nõude alusel konto, mis tuleb reeglitesse lisada või välja jätta, ja valige OK.
- Valige ressursitüübid, mida tuleb kaitsta. Kui siltidega ressursse tuleb kaitsta, valige ressursside kaasamiseks / välistamiseks käsk Kasuta silte.
- Valige Loo ja rakendage seda poliitikat olemasolevatele ja uutele ressurssidele.
- Valige Edasi.
- Vaadake loodud eeskirju eelvaates ja vajadusel muutke neid.
- Valige Loo poliitika.
Kilbi täpsema kaitse lubamise sammud AWS-i tulemüürihalduriga
1. samm: täitke eeltingimused.
2. samm: looge ja rakendage kilbi täpsema kaitse poliitika AWS-i tulemüürihalduriga.
- Logige AWS-i konsooli sisse eeltingimustes loodud administraatori konto abil.
- Avage tulemüürihalduri konsool.
- Valige navigeerimispaanilt turvapoliitika.
- Valige Loo poliitika.
- Valige Shield Advanced.
- Sisestage nimi.
- Valige nõude alusel konto, mis tuleb reeglitesse lisada või välja jätta, ja valige OK.
- Valige ressursitüübid, mida tuleb kaitsta. Kui siltidega ressursse tuleb kaitsta, valige ressursside kaasamiseks / välistamiseks käsk Kasuta silte.
- Valige Loo ja rakendage seda poliitikat olemasolevatele ja uutele ressurssidele.
- Valige Edasi.
- Vaadake loodud eeskirju eelvaates ja vajadusel muutke neid.
- Valige Loo poliitika.
3. samm: DDoS-i meeskonna volitamine sõltub nõudest. See on valikuline samm.
4. samm: määrake AWS Cloud Watchi alarmid ja SNS-i teated.
5. samm: juurutage loodud reeglid ja jälgige globaalse ohukeskkonna juhtpaneeli.
AWS tulemüürihalduri eelised
Järgnevalt on toodud AWS tulemüürihalduri eelised
- Kilbi täiustatud kaitset saab kasutada CloudFront distributsioonide, rakenduste, klassikaliste elastsete koormusbalansside jaoks.
- Eelkonfigureeritud WAF-i reegleid on rakendustes lihtne kasutada, kuna tulemüürihaldur on ühenduses AWS-i WAF-i hallatavate reeglitega.
- Kilbi täiustatud kaitset ja AWS-i WAF-i reegleid saab lubada ühe või mitme kontoga samast kohast, kuna AWS-i tulemüürihaldur on ühenduses AWS-i organisatsioonidega.
- Turvameeskond saab ohuteavitusi AWS-i tulemüürihalduri abil ning meeskond saab reageerida ja rünnakut vältida.
AWS tulemüürihalduri hinnakujundus
AWS tulemüürihalduri hinnakujundus sõltub kasutaja ressurssidest. Kui kliendil on Amazon Web Services Shield Advanced, pakutakse tulemüürihaldurit ilma lisatasuta. Kui nad muudavad AWS-i konfiguratsioonireegleid, mida kasutatakse ressursside konfiguratsioonide muutuste jälgimiseks, võetakse tulemüürihaldurilt tasu. Kui kliendil on nii Amazoni veebiteenuste veebirakenduste tulemüür kui ka Shield Standard, kehtivad järgmised hinnakriteeriumid.
- Tulemüürihalduri kaitsepoliitika: igas piirkonnas on kuutasu.
- AWS-i veebirakenduse tulemüüri veebipääsu kontrollnimekiri või reeglid: neid loov tulemüürihaldur palutakse maksta vastavalt kehtivale hinnakujundusele.
- AWS-i konfigureerimiseeskirjad: neid loov tulemüürihaldur küsib makset vastavalt kehtivale hinnakujundusele.
Nagu me teame, toetab AWS 'maksa kasutamise eest'. Nii et mingit miinimumtasu ega hinnakujundust ei tule ja ettemaksukohustusi ka ei ole.
Proovime tabeli abil ülalnimetatud üksikasju mõista.
Põhiline võrdlus | AWS WAF
AWS-i kilpstandard | AWS Shield Advanced |
Kõik avalikud piirkonnad | 100, 00 dollarit poliisi kohta piirkonnas | Siia kuuluvad.
Piirkonna kohta poliisi eest tasu ei võeta |
Globaalne (Amazon CloudFront asukohad) | 100, 00 dollarit poliisi kohta piirkonnas | Siia kuuluvad.
Piirkonna kohta poliisi eest tasu ei võeta |
AWS WAF WebACL-id või reeglid | Põhineb praegusel Hinnakujundusel | Kaasas. Lisakulud puuduvad |
AWS-i konfiguratsiooni reeglid | Põhineb praegusel Hinnakujundusel | Põhineb praegusel Hinnakujundusel |
Järeldus
AWS Firewall Manager on turvahaldust pakkuv teenus, mis täidab peamiselt kahte ülesannet - veebirakenduse tulemüürireeglite lubamine reeglite haldamiseks ja konfigureerimiseks ning AWS Advanced Shieldi kaitse. See dokument selgitab selgelt Amazoni veebiteenuste tulemüürihalduri eeldusi, toimimist, hinnakujundust ja eeliseid.
Soovitatavad artiklid
See on AWS tulemüürihalduri juhend. Siin käsitleme eeltingimusi, AWS Firewall Manager'i kasutamist, selle eeliseid ja hinnakujundust. Lisateavet leiate ka meie muudest seotud artiklitest -
- AWS teenused
- AWS-i eelised
- Mis on AWS?
- AWS-i alternatiivid
- Tulemüüri seadmed
- AWS-i salvestusteenused
- 12 parimat Mac-i ja IP-aadresside võrdlust
- Regexi funktsioonid Pythonis (näide)
- AWS-i seitse parimat konkurenti
- Amazoni veebiteenuste funktsioonide loetelu täielik juhend