¿Cómo protejo mi aplicación web de las amenazas web con CloudFront y AWS WAF?

Descripción corta

Los ataques comunes a la capa de aplicación incluyen la inyección de código SQL o el scripting entre sitios (XSS). Para proteger tu aplicación web de estos ataques, configura CloudFront con AWS WAF para inspeccionar las solicitudes HTTP/HTTPS en las ubicaciones periféricas. Luego, pueden bloquear el tráfico malintencionado antes de que llegue a tus servidores de origen. Para obtener más información, consulta Casos prácticos comunes para proteger las distribuciones de CloudFront con AWS WAF.

Resolución

Requisitos previos:

• Un equilibrador de carga de aplicación que dirige el tráfico a tu instancia de Amazon Elastic Compute Cloud (Amazon EC2) o a cualquier otro punto de enlace regional de AWS.
• El contenido de la aplicación está desplegado y en ejecución.
• Tienes los permisos necesarios para configurar CloudFront y AWS WAF.

Configuración de CloudFront

Para configurar CloudFront para que actúe como un Shield de seguridad, sigue estos pasos:

1. Abre la consola de CloudFront.
2. Crea una distribución.
3. En el campo Dominio de origen, introduce la dirección de tu sitio web.
4. En Directiva de protocolo de visor, elige Redirigir HTTP a HTTPS.
5. Elige Crear distribución.

Nota: Cuando almacenas en caché contenido estático y dinámico en la ubicación periférica, reduce la cantidad de solicitudes que llegan a tu origen. Esta acción reduce los costes y mejora el rendimiento.

Configuración de AWS WAF

Para configurar AWS WAF para que actúe como guardia de seguridad, sigue estos pasos:

1. Abre la consola de AWS WAF.
2. Crea una ACL web (lista de acceso web).
3. Elige tu región de AWS.
4. Ponle un nombre. Por ejemplo, "MyWebsiteProtection".
5. Selecciona Agregar reglas y, a continuación, elige Agregar regla basada en tasas.
   Introduce la siguiente regla de límite de tasa:
   Configúrala para bloquear las direcciones IP que envían demasiadas solicitudes. Por ejemplo, 2000 solicitudes cada 5 minutos.
6. Elige Agregar reglas y, a continuación, elige Agregar reglas administradas.
   Agrega un conjunto de reglas básicas (CRS) de reglas administradas de AWS. El CRS incluye protección contra ataques comunes como la inyección de código SQL y XSS.
   Nota: Las ubicaciones periféricas aplican las reglas de AWS WAF y detienen el tráfico malintencionado que se encuentra más cerca del origen.
7. Selecciona Siguiente y, a continuación, elige Crear ACL web.

Nota: Ahora puedes usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier lugar de la consola. Para obtener más información, consulta Introducción a AWS WAF con la experiencia de consola actualizada.

Conexión de AWS WAF a CloudFront

Para asegurarte de que AWS WAF y CloudFront funcionan en conjunto, sigue estos pasos:

1. Abre la consola de AWS WAF.
2. Selecciona la ACL web.
3. Elige los recursos de AWS asociados.
4. Selecciona Agregar recursos de AWS.
5. Selecciona tu distribución de CloudFront.
6. Elige Agregar. Para obtener más información, consulta Uso de AWS WAF con Amazon CloudFront.

Configuración de la supervisión

Nota: Si activas el registro, incurrirás en costes adicionales. CloudWatch ofrece un nivel gratuito, pero se aplican cargos si se superan sus límites. Para ver los precios actuales, consulta Precios de Amazon CloudWatch.

Para configurar la supervisión en CloudFront, sigue estos pasos:

1. Abre la consola de CloudFront.
2. Elige tu distribución.
3. Ve a Registros.
4. Activa el registro estándar.

Para configurar la supervisión en AWS WAF, sigue estos pasos:

1. Abre la consola de AWS WAF.
2. Abre tu ACL web.
3. Elige Registro y métricas.
4. Activa el registro. Para obtener más información, consulta Registro de funciones periféricas y de CloudFront.

Información relacionada

Automatización de la mitigación de DDoS en la capa de aplicación con Shield avanzado

Aceleración y protección de los sitios web con Amazon CloudFront y AWS WAF