Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso limitare il traffico diretto verso un Application Load Balancer e consentire il traffico solo tramite CloudFront?

6 minuti di lettura
0

Desidero limitare l'accesso diretto a un Application Load Balancer e consentire l'accesso solo tramite Amazon CloudFront.

Breve descrizione

Per limitare il traffico diretto verso un Application Load Balancer e consentire l'accesso solo tramite CloudFront, utilizza le regole del listener dell'Application Load Balancer. Se hai una lista di controllo degli accessi web (ACL web) di AWS WAF esistente, puoi utilizzare le regole dell'ACL web. Per limitare ulteriormente l'accesso all'Application Load Balancer, configura il gruppo di sicurezza in modo da limitare l'accesso alla tua origine. A tale scopo, utilizza l'elenco dei prefissi gestiti AWS. È consigliabile utilizzare una di queste soluzioni e configurare anche il gruppo di sicurezza.

Risoluzione

Regole del listener dell'Application Load Balancer

Per utilizzare le regole del listener dell'Application Load Balancer allo scopo di limitare il traffico, consulta Limita l'accesso agli Application Load Balancer.

AWS WAF

Nota: i costi di AWS WAF si basano sui seguenti fattori:

  • Numero di ACL web create
  • Numero di regole aggiunte a ogni ACL web
  • Numero di richieste web ricevute

Per ulteriori informazioni, consulta Prezzi di AWS WAF.

Per limitare il traffico utilizzando le regole ACL web personalizzate di AWS WAF, configura CloudFront per aggiungere un'intestazione HTTP personalizzata. Quindi crea una regola nell'ACL web di AWS WAF associata all'Application Load Balancer. Utilizza questa regola per bloccare le richieste che non contengono il valore segreto dell'intestazione HTTP personalizzata.

Configura CloudFront per aggiungere un'intestazione HTTP personalizzata

Completa i seguenti passaggi:

  1. Apri la console CloudFront.
  2. Nel pannello di navigazione, scegli Distributions (Distribuzioni), quindi seleziona l'ID della tua distribuzione.
  3. Scegli la scheda Origins (Origini).
  4. Seleziona l'Application Load Balancer, quindi scegli Edit (Modifica).
    Nota: se l'Application Load Balancer non è un'origine, aggiorna la distribuzione e quindi imposta Application Load Balancer come origine.
  5. Per Aggiungi intestazione personalizzata, inserisci Nome dell'intestazione e Valore.
    Importante: Header name (Nome intestazione) e Value (Valore) fungono da credenziali sicure, ad esempio nome utente e password. Annota i valori da utilizzare più avanti in questa procedura.
  6. Scegli Save changes (Salva modifiche).

Crea una regola nell'ACL web per bloccare le richieste senza intestazione

Completa i seguenti passaggi:

  1. Apri la console AWS WAF.
  2. Nel pannello di navigazione, scegli Resources & protection packs (Risorse e pacchetti di protezione).
  3. Scegli Create protection pack (Crea pacchetto di protezione).
  4. In Tell us about your app (Informazioni sull'app), per App category (Categoria app), seleziona una o più categorie di app.
  5. Per Traffic source (Origine traffico), scegli il tipo di traffico con cui interagisce l'applicazione, ad esempio API, Web o Both API and Web (API e web).
  6. In Resources to protect (Risorse da proteggere), scegli Add resources (Aggiungi risorse).
  7. In Global (Globale), scegli Add Cloud front or Amplify resources (Aggiungi risorse CloudFront o Amplify).
  8. Seleziona la distribuzione dall'elenco.
  9. In Choose protection pack (Scegli pacchetto di protezione), seleziona Build your own pack from all of the protections AWS WAF offers (Crea il tuo pacchetto tra tutte le protezioni offerte da AWS WAF).
  10. Nel pannello destro, scegli Custom rule (Regola personalizzata) e seleziona Nex (Avanti).
    Scegli nuovamente Custom rule (Regola personalizzata) e seleziona Next (Avanti).
  11. Imposta l'Azione della regola su BLOCK (BLOCCA).
  12. Inserisci il Rule name (Nome della regola).
  13. Per If a request (Se una richiesta), espandi l'elenco a discesa e scegli does not match the statement (NOT) (non corrisponde all'istruzione (NOT)).
  14. Per Inspect (Ispeziona), scegli Single header (Intestazione singola).
  15. In Statement (Istruzione), completa quanto segue:
    Per il nome del campo Intestazione, inserisci il Nome dell'intestazione che hai creato in CloudFront.
    Per Tipo di corrispondenza, scegli Corrisponde esattamente alla stringa.
    Per Stringa per la corrispondenza, inserisci il Valore che hai creato in CloudFront.
    (Facoltativo) Per Text transformation (Trasformazione del testo), scegli None (Nessuna).
  16. Scegli Create rule (Crea regola).
  17. (Facoltativo) Per impostare la priorità in caso di più regole, seleziona Edit Rule Order (Modifica ordine delle regole) nel pannello destro, quindi imposta questa regola sulla massima priorità.
  18. Scegli Save Rule order (Salva l'ordine delle regole).
  19. In Name and description (Nome e descrizione), inserisci un nome per il pacchetto di protezione.
  20. Fai clic su Create protection pack (Crea pacchetto di protezione).

Configura i gruppi di sicurezza

Per limitare ulteriormente il traffico verso un Application Load Balancer, utilizza un elenco di prefissi gestiti da AWS nei gruppi di sicurezza dell'Application Load Balancer.

Per aggiornare un gruppo di sicurezza esistente, consulta Update the associated security groups. Per associare l'Application Load Balancer a un gruppo di sicurezza, completa i seguenti passaggi:

  1. Apri la console Amazon Elastic Compute Cloud (Amazon EC2).
  2. Nel pannello di navigazione, in Bilanciamento del carico, scegli Bilanciatori del carico.
  3. Seleziona l'Application Load Balancer, quindi scegli Sicurezza.
  4. Seleziona il gruppo di sicurezza che desideri associare all'Application Load Balancer.
  5. Per modificare le regole in entrata, scegli Modifica le regole in entrata, quindi aggiorna le configurazioni in base al caso d'uso.
    Nota: se hai una regola che consente 0.0.0.0/0, devi aggiungere una nuova regola prima di eliminare la regola esistente.
  6. Per consentire protocolli specifici, seleziona il protocollo e scegli Personalizza.
  7. Per Tipo di origine, scegli CloudFront, quindi seleziona i prefissi dall'elenco dei prefissi gestiti da AWS.
  8. Scegli Salva.
    Nota: è consigliabile consentire le porte utilizzate solo dall'Application Load Balancer.

A causa del peso dell'elenco dei prefissi, puoi aggiungere l'elenco dei prefissi gestiti da CloudFront solo una volta per ogni gruppo di sicurezza nelle impostazioni predefinite. Per aggiungere un'altra regola con CloudFront come Tipo di origine nello stesso gruppo di sicurezza, richiedi un aumento della quota. In alternativa, utilizza due gruppi di sicurezza che fanno entrambi riferimento all'elenco dei prefissi gestiti di CloudFront.

Informazioni correlate

Limit access to your origins using the AWS-managed prefix list for Amazon CloudFront (Limitazione dell'accesso alle origini utilizzando l'elenco di prefissi gestiti da AWS per Amazon CloudFront)

Come faccio a impedire agli utenti di determinate località di accedere ai contenuti web forniti dalla mia distribuzione CloudFront?

Argomenti
Security, Identity, & Compliance
Tag
AWS WAF
Lingua
Italiano
AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente