AWS WAF のアイコン

AWS WAF Popular2015年〜

Firewall de aplicaciones web que protege aplicaciones contra exploits web comunes

Unos 3 min de lectura

Qué hace

AWS WAF (Web Application Firewall) protege las aplicaciones web contra ataques comunes como inyección SQL, cross-site scripting (XSS) y DDoS. Se coloca frente a CloudFront, API Gateway y Application Load Balancer para bloquear solicitudes maliciosas. Las reglas personalizadas permiten filtrar por dirección IP, encabezados de solicitud, cuerpo de solicitud y más.

Casos de uso

Se utiliza para defender aplicaciones web contra exploits de vulnerabilidades, bloquear tráfico de bots, restringir acceso desde países o direcciones IP específicas, mitigación de DDoS basada en tasa y prevención de abuso de APIs.

Analogía cotidiana

Se puede comparar con un guardia de seguridad de un edificio. El guardia (WAF) revisa a los visitantes (solicitudes) en la entrada, denegando la entrada a individuos sospechosos (solicitudes maliciosas). Las personas en la lista negra (bloqueo de IP) son rechazadas inmediatamente, y aquellos que portan artículos peligrosos (código de ataque) encontrados durante la inspección (inspección del contenido de la solicitud) también son bloqueados.

¿Qué es WAF?

AWS WAF es un servicio de firewall gestionado que detecta y bloquea ataques contra aplicaciones web. Mientras que los firewalls de red tradicionales controlan el tráfico por dirección IP y número de puerto, WAF inspecciona el contenido de las solicitudes HTTP (URL, encabezados, cuerpo) para defender contra ataques en la capa de aplicación. Se integra con servicios de AWS y puede desplegarse en minutos.

Reglas y grupos de reglas

Las reglas de WAF combinan condiciones de inspección con acciones (permitir, bloquear, contar). Los grupos de reglas gestionados proporcionados por AWS incluyen reglas para vulnerabilidades OWASP Top 10, listas de direcciones IP maliciosas conocidas y mitigación de bots, permitiendo protección básica sin experiencia en seguridad. También puede crear reglas personalizadas para requisitos específicos de la aplicación.

Reglas basadas en tasa

Las reglas basadas en tasa bloquean automáticamente las direcciones IP que exceden un umbral de solicitudes. Por ejemplo, puede bloquear IPs que envían más de 2,000 solicitudes en 5 minutos. Esto mitiga ataques DDoS y ataques de fuerza bruta de contraseñas. Para conocimientos técnicos sobre reglas basadas en tasa, los libros relacionados (Amazon) son un recurso útil.

Cómo empezar

Cree una Web ACL (Lista de Control de Acceso) en la consola de WAF. Seleccione el recurso a proteger (CloudFront, ALB, API Gateway) y agregue grupos de reglas gestionados. Simplemente agregar el AWS Managed Rules Core Rule Set habilita protección básica contra ataques web comunes.

Aspectos a tener en cuenta

  • Las reglas de WAF se facturan por Web ACL, por lo que los costos aumentan al agregar más reglas
  • Las reglas gestionadas se actualizan regularmente pero pueden causar falsos positivos (bloquear solicitudes legítimas). Use el modo de conteo inicialmente para verificar el comportamiento
  • WAF solo no proporciona protección completa; implemente también medidas de seguridad a nivel de aplicación (validación de entrada, consultas parametrizadas, etc.)
共有するXB!

Servicios relacionados

Amazon CloudFront iconoAmazon CloudFrontUn servicio CDN que distribuye contenido a alta velocidad desde ubicaciones de borde en todo el mundoAmazon API Gateway iconoAmazon API GatewayUn servicio completamente administrado para crear, publicar, gestionar y monitorear APIsElastic Load Balancing iconoElastic Load BalancingUn servicio que distribuye automáticamente el tráfico entre múltiples servidores para alta disponibilidad y tolerancia a fallosAWS IAM iconoAWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWS

Artículos relacionados

Protección contra DDoS - Diseño y operación de defensa multicapa con AWS ShieldExplicamos la defensa contra DDoS con AWS Shield Standard y Shield Advanced. Presentamos de forma práctica la integración con CloudFront, Route 53 y ALB, la combinación con WAF y la función de protección de costos.Gestión centralizada de reglas de seguridad con AWS Firewall Manager - Despliegue organizacional de WAF y Security GroupsGestionamos centralizadamente las reglas WAF, Security Groups y políticas de Network Firewall en toda la organización, manteniendo la línea base de seguridad con aplicación automática a nuevas cuentas.Protección DDoS con AWS Shield - Elección entre Standard y AdvancedExplicamos las diferencias entre la protección gratuita L3/L4 de Standard y la protección avanzada L7 de Advanced con asistencia del SRT, la protección de costos y la integración con WAF.Bot Control y prevención de fraude en AWS WAF - Implementación de protección contra bots y prevención de apropiación de cuentasDetecta scrapers y herramientas de automatización con Bot Control, y previene credential stuffing con ATP. También presentamos el diseño de experiencia de usuario con challenges y CAPTCHA.

Más en esta categoría

IAM Access Analyzer iconoIAM Access Analyzer SpecializedUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS Certificate Manager iconoAWS Certificate Manager EssentialUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Artifact iconoAWS Artifact SpecializedUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS Audit Manager iconoAWS Audit Manager SpecializedUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAWS CloudHSM iconoAWS CloudHSM EspecializadoUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAmazon Cognito iconoAmazon Cognito PopularUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon Detective iconoAmazon Detective EspecializadoUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAWS Directory Service iconoAWS Directory Service EspecializadoUn servicio que proporciona Active Directory administrado en AWS

Artículos y servicios similares

AWS WAFFirewall de aplicaciones web que protege aplicaciones contra exploits web comunes mediante reglas personalizables que filtran tráfico HTTP/HTTPS maliciosoAWS Firewall ManagerServicio de gestión de seguridad que aplica y administra de forma centralizada reglas de WAF, Shield Advanced, Security Groups y Network Firewall en múltiples cuentas y recursos bajo OrganizationsProtección contra DDoS - Diseño y operación de defensa multicapa con AWS ShieldExplicamos la defensa contra DDoS con AWS Shield Standard y Shield Advanced. Presentamos de forma práctica la integración con CloudFront, Route 53 y ALB, la combinación con WAF y la función de protección de costos.Protección DDoS con AWS Shield - Elección entre Standard y AdvancedExplicamos las diferencias entre la protección gratuita L3/L4 de Standard y la protección avanzada L7 de Advanced con asistencia del SRT, la protección de costos y la integración con WAF.AWS Network FirewallServicio de firewall gestionado para el control granular del tráfico de red en VPC