Como faço para restringir o tráfego direto a um Application Load Balancer e permitir o tráfego somente pelo CloudFront?

Breve descrição

Para restringir o tráfego direto para um Application Load Balancer e permitir o acesso somente por meio do CloudFront, use as regras de ouvinte do Application Load Balancer. Se você tiver uma lista de controle de acesso à web (ACL) existente do AWS WAF, poderá usar as regras de ACL da web. Para restringir ainda mais o acesso ao seu Application Load Balancer, configure seu grupo de segurança para restringir o acesso à sua origem. Para fazer isso, use a lista de prefixos gerenciados pela AWS. É uma prática recomendada usar uma dessas soluções e também configurar seu grupo de segurança.

Resolução

Application Load Balancer

Para usar as regras de ouvinte do Application Load Balancer para restringir o tráfego, consulte Restringir acesso aos Application Load Balancers.

AWS WAF

Observação: as cobranças do AWS WAF são baseadas nos seguintes fatores:

• Quantidade de ACLs da web que você cria
• Quantidade de regras que você adiciona para cada ACL da web
• Quantidade de solicitações da web que você recebe

Para obter mais informações, consulte preços da AWS WAF.

Para usar as regras personalizadas de ACL web do AWS WAF para restringir o tráfego, realize as seguintes etapas:

1. Configure o CloudFront para adicionar um cabeçalho HTTP personalizado com um valor secreto nas solicitações que o CloudFront envia ao Application Load Balancer.
2. Crie uma regra na ACL web do AWS WAF associada ao Application Load Balancer. Use essa regra para bloquear solicitações que não contenham o valor secreto do cabeçalho HTTP personalizado.

Configurar o CloudFront para adicionar um cabeçalho HTTP personalizado

Conclua as seguintes etapas:

1. Abra o console do CloudFront.
2. No painel de navegação, escolha Distribuições.
3. Selecione sua ID de distribuição.
4. Escolha Origens.
5. Selecione seu Application Load Balancer e escolha Editar.
   Observação: se o Application Load Balancer não for uma origem, atualize sua distribuição e defina o Application Load Balancer como origem.
6. Em Adicionar cabeçalho personalizado, insira o Nome do cabeçalho e o Valor.
   Importante: o Nome do cabeçalho e o Valor atuam como credenciais seguras, como nome de usuário e senha. Copie esses valores em um arquivo de texto para usar posteriormente neste procedimento.
7. Escolha Salvar alterações.

Criar uma regra na sua ACL da web para bloquear solicitações sem o cabeçalho

Conclua as seguintes etapas:

1. Abra o console do AWS WAF.
2. No painel de navegação, em AWS WAF, escolha ACLs Web.
3. Em Região, selecione a região da AWS onde seu Application Load Balancer está localizado.
   Observação: se você tiver uma ACL da web existente associada ao seu Application Load Balancer, vá para a etapa 9.
4. Escolha Criar ACL da web e, em seguida, insira um Nome.
5. Para Recursos associados da AWS, selecione seu Application Load Balancer e escolha Avançar.
6. Em ** Ação padrão da ACL da web para solicitações que não correspondem a nenhuma regra**, escolha Permitir e escolha Avançar.
7. Em Opções de amostragem de solicitações, escolha Habilitar solicitações de amostra e, em seguida, escolha Avançar.
8. Escolha Criar ACL da web.
9. Abra o console do AWS WAF.
10. No painel de navegação, em AWS WAF, escolha ACLs Web.
11. Em Região, selecione a região em que seu Application Load Balancer está localizado.
12. Selecione a ACL da web associada ao seu Application Load Balancer.
13. Em Regras e escolha Adicionar regras e depois escolha Adicionar minhas próprias regras e grupos de regras.
14. Em Nome, insira o nome da regra.
15. Em Tipo, escolha Regra regular.
16. Em Se uma solicitação, escolha não corresponde à declaração (NOT).
17. Defina as seguintes configurações na Declaração 1:
    Em Inspecionar, escolha Cabeçalho único.
    Em nome do campo Cabeçalho, insira o nome do Cabeçalho que você criou no CloudFront.
    Em Tipo de correspondência, escolha Corresponde exatamente à string.
    Para String correspondente, insira o Valor que você criou no CloudFront.
    Para Transformação de texto, escolha Nenhuma.
18. Em Ação, escolha Bloquear.
19. Escolha Salvar regra.
20. Em Definir prioridade da regra, se você tiver várias regras, defina essa regra com a prioridade mais alta.
21. Escolha Salvar.

Grupos de segurança

Para restringir ainda mais o tráfego para um Application Load Balancer, use uma lista de prefixos gerenciada pela AWS em grupos de segurança no Application Load Balancer.

Para atualizar um grupo de segurança existente, consulte Atualizar os grupos de segurança associados. Para associar seu Application Load Balancer a um grupo de segurança, conclua as seguintes etapas:

1. Abra o console do Amazon Elastic Compute Cloud (Amazon EC2).
2. Selecione Balanceadores de carga e, em seguida, selecione seu Application Load Balancer.
3. Escolha Segurança.
4. Selecione o grupo de segurança que você deseja associar ao seu Application Load Balancer.
5. Para modificar as regras de entrada, selecione Editar regras de entrada e, em seguida, atualize as configurações para seu caso de uso.
   Observação: se você tiver uma regra que permita 0.0.0.0/0, deverá adicionar uma nova regra antes de excluir a regra existente.
6. Para permitir protocolos específicos, selecione o protocolo e escolha Personalizado.
7. Em Tipo de origem, escolha CloudFront e selecione seus prefixos na lista de prefixos gerenciados pela AWS.
8. Escolha Salvar.

Observação: é uma prática recomendada permitir somente portas usadas pelo seu Application Load Balancer.

A lista de prefixos gerenciados do CloudFront só pode ser adicionada uma vez para cada grupo de segurança nas configurações padrão devido ao peso da lista de prefixos. Para adicionar outra regra com o CloudFront como o Tipo de origem no mesmo grupo de segurança, solicite um aumento de cota. Ou use dois grupos de segurança que façam referência à lista de prefixos gerenciados do CloudFront.

Informações relacionadas

Grupos de segurança