Hogyan védhetjük meg a webalkalmazásokat az AWS WAF használatával?

Ez a cikk elárulja, hogyan védheti a webalkalmazásokat az AWS WAF használatával, és ezt egy gyakorlati bemutatóval követheti.

Ez a cikk ismerteti, hogyan védheti meg a webalkalmazásokat WAF és gyakorlati bemutatóval kövesse. A következő hivatkozásokkal foglalkozunk ebben a cikkben,



Tehát kezdjük el,



Folytatás ezzel a cikkel: „Hogyan biztosítsuk a webalkalmazások biztonságát az AWS WAF segítségével?”

Első lépések néhány alapismerettel

Az AWS olyan szolgáltatásokat nyújt, mint EC2, ELB (Rugalmas terheléselosztó), S3 (Egyszerű tárolási szolgáltatás), EBS (Rugalmas blokk tárolás), hogy hasznos és divatos alkalmazásokat hozzon létre gyorsan és kevesebb CAPEX (CAPital EXpenditure) segítségével. Ezen alkalmazások létrehozása során ugyanolyan fontos az alkalmazás és az adatok védelme. Ha nincs megfelelően biztonságban, az alkalmazás adatai rossz kezekbe kerülhetnek, mint a legutóbbi esetében Capital One esemény .



A Capital One otthont adott egy webalkalmazásnak az EC2-n, és nem volt megfelelően védve. Egy volt AWS-alkalmazott kihasználhatta ezt a biztonsági rést és letölthette az ügyféladatokat az S3-ból. Később kiderült, hogy további 30 szervezet adatait is letöltötték az AWS-ről. Tehát, hogy még egyszer hangsúlyozzuk, nem csak egy alkalmazás megtervezése és megtervezése, hanem egy alkalmazás biztosítása is ugyanolyan fontos.

Capital One használt AWS WAF (webalkalmazás tűzfal) a webalkalmazás védelme érdekében, de nem volt megfelelően konfigurálva, ami miatt a hacker hozzáférhetett az S3-ban lévő adatokhoz, és letölthette azokat. Ebben a cikkben azt vizsgáljuk, hogyan lehet az AWS WAF-ot használni és konfigurálni az általános webes támadások elleni védelemre, mint például az SQL Injection, az XSS (Cross Site Scripting) stb. Az AWS WAF-ot a Alkalmazás Terheléselosztó , CloudFront vagy API Gateway. Ebben a forgatókönyvben az Alkalmazás-terheléselosztót fogjuk használni. Az ügyfél által a böngészőn keresztül küldött minden kérés az AWS WAF-on, majd az Alkalmazás-terheléselosztón és végül az EC2-n található webalkalmazáson megy keresztül. Az AWS WAF használható blokkolja a rosszindulatú kérést a hackerektől egy szabály és feltételrendszer használatával.

Kép - Biztonságos webalkalmazások AWS WAF használatával - Edureka

Folytatás ezzel a cikkel: „Hogyan biztosítsuk a webalkalmazások biztonságát az AWS WAF segítségével?”



Az AWS WAF használatának megkezdéséhez szükséges lépések sorrendje

1. lépés: Sebezhető webalkalmazás létrehozása,

Az első lépés egy olyan webalkalmazás létrehozása, amely sérülékeny az SSRF (Server Side Request Forgery) támadásokkal szemben Blog arról, hogy miként történt a fővárosi támadás. Ez a blog a következő lépéseket követi:

  1. Hozzon létre egy EC2-t
  2. Telepítse a szükséges szoftvert az SSRF sebezhetőségű webalkalmazás létrehozásához
  3. Létrehozás és IAM szerepkör S3 Csak olvasható engedélyekkel
  4. Csatolja az IAM szerepet az EC2-hez
  5. Végül használja ki az SSRF biztonsági rést az IAM szerepkörhöz kapcsolódó biztonsági hitelesítő adatok megszerzéséhez.

Miután befejezte a lépések sorozatát az említett blogban, cserélje ki az 5.6.7.8-at az EC2 nyilvános IP-címére az alábbi URL-ben, és nyissa meg a böngészőben. Az IAM szerepkörhöz társított biztonsági hitelesítő adatokat az alábbiak szerint kell megjeleníteni a böngészőben. Alapvetően így törték fel a Capital One-t. A biztonsági hitelesítő adatokkal a hacker hozzáférhetett más AWS-szolgáltatásokhoz, például az S3-hoz az adatok letöltéséhez.

http://5.6.7.8:80?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO

2. lépés: Az alkalmazás Terheléselosztó létrehozása

Az AWS WAF nem társítható közvetlenül egy webalkalmazáshoz. De csak az Application Load Balancerhez, a CloudFronthoz és az API Gateway-hez társítható. Ebben az oktatóanyagban létrehoznánk a Alkalmazás Terheléselosztó és az AWS WAF társítása ugyanazzal.

2a lépés: A célcsoport az EC2 példányok gyűjteménye, amelyet az alkalmazás terheléselosztójának létrehozása előtt létre kell hozni. Az EC2 felügyeleti konzolban kattintson a bal oldali ablaktáblán található Célcsoportra, majd a „Célcsoport létrehozása” elemre.

2b. Lépés: Írja be a célcsoport nevét, majd kattintson a „Létrehozás” gombra. A célcsoport sikeresen létrejön.

2c lépés: Győződjön meg arról, hogy a Célcsoport van kiválasztva, majd kattintson a Célok fülre, majd kattintson a Szerkesztés gombra az EC2 példányok regisztrálásához a Célcsoportnál.

2d lépés: Válassza ki az EC2 példányt, kattintson a „Hozzáadás regisztráltakhoz” elemre, majd kattintson a „Mentés” gombra.

különbség a túlterhelés és az felülbírálás között a java-ban

A példányokat az alábbiak szerint kell regisztrálni a célcsoportra.

2e. Lépés: Ideje létrehozni az alkalmazás Terheléselosztót. Kattintson az EC2 kezelő konzol bal oldali ablaktábláján található Terheléselosztóra, majd kattintson a „Terheléselosztó létrehozása” elemre.

Kattintson az „Alkalmazás-terheléselosztó” elemnél a „Létrehozás” elemre.

Folytatás ezzel a cikkel: „Hogyan biztosítsuk a webalkalmazások biztonságát az AWS WAF segítségével?”

2f lépés: Írja be az alkalmazás terheléselosztójának nevét. És ellenőrizze, hogy az összes elérhetőségi zóna ki van-e jelölve, majd kattintson a Tovább gombra.

2g lépés: A „Biztonsági beállítások konfigurálása” részben kattintson a Tovább gombra.

A „Biztonsági csoportok konfigurálása” részben hozzon létre egy új biztonsági csoportot, vagy válasszon egyet a meglévő biztonsági csoport közül. Győződjön meg arról, hogy a 80-as port nyitva van-e az EC2 weboldalának eléréséhez. Kattintson a Tovább gombra.

2h lépés: Az „Útválasztás konfigurálása” részben válassza a „Meglévő célcsoport” lehetőséget, és válassza ki azt, amelyet a korábbi lépésben hoztak létre. Kattintson a Tovább gombra.

2i lépés: A cél EC2 példányokat már regisztrálták a célcsoportok részeként. Tehát a „Cél regisztrálása” fülön változtatások nélkül kattintson a Tovább gombra.

2j lépés: Végül tekintse át az Application Load Balancer összes részletét, és kattintson a Create gombra. Az alkalmazás terheléselosztója az alábbiak szerint jön létre.

mi a különbség a felülbírálás és a túlterhelés között

2k lépés: Szerezze be az Application Load Balancer domain nevét, cserélje ki a kijelölt szöveget az alábbi URL-re, és nyissa meg ugyanezt a böngészőben. Ne feledje, hogy a webalkalmazást az Alkalmazás-terheléselosztón keresztül érjük el, és a biztonsági hitelesítő adatok az alábbiak szerint jelennek meg. Az alábbi URL blokkolható az AWS WAF használatával, amint az a következő lépésekben látható a biztonsági hitelesítő adatok szivárgásának megakadályozására.

MyALB-1929899948.us-east-1.elb.amazonaws.com ? url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO

3. lépés: Az AWS WAF (webalkalmazás tűzfal) létrehozása

3a lépés: Menjen az AWS WAF Management Console-ra, és kattintson a „Web ACL konfigurálása” elemre. Megjelenik az AWS WAF áttekintése. Itt található az AWS WAF hierarchiája. A Web ACL egy csomó szabályt tartalmaz, és a szabályoknak egy csomó Feltétele van, amelyeket a következő lépésekben hozunk létre. Kattintson a Tovább gombra.

3b. Lépés: Írja be a webes ACL nevet, a Régiót Észak-Virginiaként (vagy ahol az EC2 létrejött), az erőforrás típusát „Alkalmazásterhelés-kiegyenlítő” néven, végül válassza ki a korábbi lépésben létrehozott Alkalmazásterhelés-kiegyenlítőt. Kattintson a Tovább gombra.

3c lépés: Itt egy feltétel egy adott webalkalmazás-kérelem blokkolásához létre kell hozni. Görgessen lefelé, és kattintson a „Feltétel létrehozása” elemre a „Karakterlánc és regex egyezési feltételek” résznél.

3d lépés: Írja be a feltétel nevét, a Típust „Karakterlánc-egyezés” -ként, szűrje az „Összes lekérdezési paraméter” elemet, és a többi paramétert pontosan az alábbiak szerint. Kattintson a „Szűrő hozzáadása”, majd a Létrehozás gombra. Itt egy olyan feltételt próbálunk létrehozni, amely megegyezik az URL-lel, amely a lekérdezési paraméter 169.254.169.254 értékét tartalmazza. Ez az IP-cím a EC2 metaadatok .

3e. Lépés: Itt az ideje, hogy hozzon létre egy szabályt, amely a feltételek összessége. Kattintson a „Szabály létrehozása” elemre, és adja meg a paramétereket az alábbiak szerint. Kattintson a „Feltétel hozzáadása”, a Létrehozás és az „Ellenőrzés és létrehozás” elemre.

Folytatás ezzel a cikkel: „Hogyan biztosítsuk a webalkalmazások biztonságát az AWS WAF segítségével?”

3f lépés: Végül tekintse át az összes részletet, majd kattintson a „Megerősítés és létrehozás” gombra. A Web ACL (beléptetés-ellenőrzési lista) létrejön és társul az alkalmazás-terheléselosztóval az alábbiak szerint.

3g lépés: Most próbálja meg elérni az Application Load Balancer URL-t a böngészőn keresztül, ahogyan azt a 2k lépés . Ezúttal a „403 Tiltott” kódot kapnánk, mivel URL-jünk megegyezik a webes ACL feltételével, és blokkoljuk. A kérelem soha nem éri el az EC2-n lévő alkalmazás-terheléselosztót vagy webalkalmazást. Itt észrevesszük, hogy bár az alkalmazás engedélyezi a hozzáférést a biztonsági hitelesítő adatokhoz, a WAF blokkolja ugyanezt.

4. lépés: Az ebben az oktatóanyagban létrehozott AWS-erőforrások tisztítása. A takarítást pontosan az alábbiakban említett sorrendben kell elvégezni. Ennek célja annak biztosítása, hogy az AWS leállítsa az oktatóanyag részeként létrehozott társított erőforrások számlázását.

  • Feltétel törlése a szabályból
  • Törölje a szabályt a WebACL-ből
  • Válassza le az ALB-t a WebACL-ből
  • A WebACL törlése
  • Törölje a szabályt
  • Törölje a szűrőt a feltételből
  • Törölje a Feltételt
  • Törölje az ALB-t és a célcsoportot
  • Szüntesse meg az EC2-t
  • Törölje az IAM-szerepet

Következtetés

Mint korábban említettük, nagyon egyszerű és érdekes egy webalkalmazás létrehozása AWS használatával. De meg kell győződnünk arról is, hogy az alkalmazás biztonságos-e, és hogy az adatok nem kerülnek-e rossz kezekbe. A biztonság több rétegben alkalmazható. Ebben az oktatóanyagban láthattuk, hogy az AWS WAF (webalkalmazás tűzfal) használatával megvédheti a webalkalmazást olyan támadásoktól, mint az EC2 metaadatok IP-címével való egyeztetés. Használhattuk volna a WAF-ot is az olyan gyakori támadások elleni védelemre, mint az SQL Injection és az XSS (Cross Site Scripting).

Az AWS WAF vagy valójában bármely más biztonsági termék használata nem teszi biztonságossá az alkalmazást, de a terméket megfelelően kell konfigurálni. Ha nincs megfelelően konfigurálva, akkor az adatok rossz kezekbe kerülhetnek, mint a Capital One és más szervezetek esetében. A másik fontos szempont, amit figyelembe kell venni, hogy a Biztonságot már az első naptól kezdve át kell gondolni, és nem szabad később csatlakoztatni az alkalmazáshoz.

Ezzel a cikk végén olvashatunk arról, hogyan lehet webalkalmazásokat biztosítani az AWS WAF használatával. Kitaláltunk egy olyan tantervet is, amely pontosan lefedi a megoldási építész vizsga feltöltését! Megtekintheti a kurzus részleteit kiképzés.

Van egy kérdésünk? Kérjük, említse meg ennek a Mi az AWS blognak a megjegyzés rovatában, és mi kapcsolatba lépünk Önnel.