Tento článok vám povie, ako môžete zabezpečiť webové aplikácie WAF a nadviazať na ňu praktickou ukážkou. V tomto článku sa budeme zaoberať nasledujúcimi ukazovateľmi,
ako vytvoriť pole objektov
Poďme teda do toho,
Ďalej v tomto článku o „Ako zabezpečiť webovú aplikáciu pomocou AWS WAF?“
Začíname s niektorými základmi
AWS poskytuje služby ako EC2, ELB (Elastic Load Balancer), S3 (Simple Storage Service), EBS (Elastic Block Storage) na rýchle a užitočné vytváranie užitočných a efektných aplikácií s menším CAPEX (CAPital EXpenditure). Pri vytváraní týchto aplikácií je rovnako dôležité zabezpečiť aplikáciu a chrániť dáta. Ak nebudú správne zabezpečené, údaje aplikácie sa môžu dostať do nesprávnych rúk, ako v prípade nedávnych Hlavný incident .
Capital One hostil webovú aplikáciu na EC2 a nebola správne zabezpečená. Bývalý zamestnanec AWS dokázal túto zraniteľnosť zneužiť a stiahnuť súbory zákazníckych údajov zo S3. Neskôr sa zistilo, že údaje z 30 ďalších organizácií boli stiahnuté aj z AWS. Aby sme to opäť zdôraznili, nestačí iba navrhnúť a navrhnúť aplikáciu, ale rovnako dôležité je ju zabezpečiť.
Capital One použité AWS WAF (brána firewall webových aplikácií) na ochranu webovej aplikácie, ale nebola správne nakonfigurovaná, kvôli čomu mohol hacker získať prístup k údajom v S3 a stiahnuť ich. V tomto článku sa budeme zaoberať tým, ako používať a konfigurovať AWS WAF na ochranu pred bežnými webovými útokmi, ako je SQL Injection, XSS (Cross Site Scripting) atď. AWS WAF musí byť nakonfigurovaný spolu s Vyrovnávač zaťaženia aplikácie , CloudFront alebo API Gateway. V tomto scenári použijeme Application Load Balancer. Akákoľvek požiadavka od zákazníka prostredníctvom prehliadača prejde cez AWS WAF a potom do aplikácie Load Load Balancer a nakoniec do webovej aplikácie na EC2. AWS WAF možno použiť na zablokovať škodlivú žiadosť od hackerov pomocou súboru pravidiel a podmienok.
Ďalej v tomto článku o „Ako zabezpečiť webovú aplikáciu pomocou AWS WAF?“
Postupnosť krokov, ako začať s AWS WAF
Krok 1: Vytváranie zraniteľnej webovej aplikácie,
Prvým krokom je vytvorenie webovej aplikácie, ktorá je zraniteľná voči útokom SSRF (Server Side Request Forgery), ako je uvedené v tomto Blog o tom, ako došlo k útoku hlavného mesta. Tento blog má postupnosť krokov k:
- Vytvorte EC2
- Nainštalujte požadovaný softvér na vytvorenie webovej aplikácie so zraniteľnosťou SSRF
- Vytvorte rolu a rolu IAM s povoleniami S3 iba na čítanie
- Pripojte úlohu IAM k EC2
- Nakoniec využite zraniteľnosť SSRF a získajte poverenia zabezpečenia súvisiace s úlohou IAM.
Po dokončení postupnosti krokov v spomínanom blogu nahraďte 5.6.7.8 verejnou IP adresou EC2 v nižšie uvedenej URL a otvorte ju v prehliadači. Bezpečnostné údaje spojené s úlohou IAM by sa mali zobraziť v prehliadači, ako je uvedené nižšie. Takto bol v podstate hacknutý program Capital One. S bezpečnostnými povereniami v ruke mohol hacker získať prístup k ďalším službám AWS, ako je S3, a sťahovať údaje.
http://5.6.7.8:80?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
Krok 2: Vytvorenie aplikácie Load Balancer
AWS WAF nemožno priamo spojiť s webovou aplikáciou. Ale je možné ich spojiť iba s Application Load Balancer, CloudFront a API Gateway. V tomto návode by sme vytvorili Application Load Balancer a priradenie AWS WAF s tým istým.
Krok 2a: Cieľová skupina je kolekcia inštancií EC2 a musí sa vytvoriť pred vytvorením aplikácie Load Load Balancer. V EC2 Management Console kliknite na cieľovú skupinu na ľavom paneli a kliknite na „Vytvoriť cieľovú skupinu“.
Krok 2b: Zadajte názov cieľovej skupiny a kliknite na „Vytvoriť“. Cieľová skupina bude úspešne vytvorená.
Krok 2c: Uistite sa, že je vybratá cieľová skupina, kliknite na kartu Ciele a kliknutím na úpravy zaregistrujte inštancie EC2 v cieľovej skupine.
Krok 2d: Vyberte inštanciu EC2 a kliknite na „Pridať do zaregistrovaného“ a potom na „Uložiť“.
Prípady by mali byť zaregistrované, ako je uvedené nižšie pre cieľovú skupinu.
Krok 2e: Čas na vytvorenie aplikácie Load Load Balancer. Kliknite na Load Balancer v ľavom paneli EC2 Management Console a kliknite na „Create Load Balancer“.
Kliknite na „Vytvoriť“ pre „Vyrovnávač zaťaženia aplikácie“.
Ďalej v tomto článku o „Ako zabezpečiť webovú aplikáciu pomocou AWS WAF?“
Krok 2f: Zadajte názov aplikácie Load Balancer. Uistite sa, že sú vybraté všetky zóny dostupnosti, a kliknite na Ďalej.
Krok 2g: V časti „Konfigurovať nastavenia zabezpečenia“ kliknite na Ďalej.
V časti „Konfigurovať skupiny zabezpečenia“ vytvorte novú skupinu zabezpečenia alebo vyberte niektorú z existujúcich skupín zabezpečenia. Uistite sa, že je otvorený port 80 pre prístup na webovú stránku na EC2. Kliknite na Ďalej.
Krok 2h: V časti „Konfigurovať smerovanie“ vyberte možnosť „Existujúca cieľová skupina“ a vyberte skupinu, ktorá bola vytvorená v predchádzajúcom kroku. Kliknite na Ďalej.
Krok 2i: Cieľové inštancie EC2 už boli zaregistrované ako súčasť cieľových skupín. Na karte „Registrovať cieľ“ teda bez akýchkoľvek zmien kliknite na Ďalej.
Krok 2j: Nakoniec skontrolujte všetky podrobnosti aplikácie Load Balancer a kliknite na tlačidlo Vytvoriť. Aplikácia Balancer záťaže by bola vytvorená tak, ako je to zobrazené nižšie.
Krok 2k: Získajte názov domény aplikácie Load Load Balancer, nahraďte ju zvýrazneným textom v adrese URL uvedenej nižšie a otvorte ju v prehliadači. Upozorňujeme, že k webovej aplikácii pristupujeme pomocou nástroja na vyrovnávanie zaťaženia aplikácie a bezpečnostné poverenia sa zobrazujú, ako je uvedené nižšie. Nižšie uvedenú adresu URL je možné zablokovať pomocou AWS WAF, ako je uvedené v ďalších krokoch na zastavenie úniku bezpečnostných údajov.
MyALB-1929899948.us-east-1.elb.amazonaws.com ? url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
Krok 3: Vytvorenie AWS WAF (Firewall webovej aplikácie)
Krok 3a: Prejdite na AWS WAF Management Console a kliknite na „Konfigurovať webový ACL“. Zobrazí sa prehľad AWS WAF. Tu je hierarchia AWS WAF. Web ACL má veľa pravidiel a pravidlá majú veľa podmienok, ktoré by sme vytvorili v ďalších krokoch. Kliknite na Ďalej.
Krok 3b: Zadajte názov ACL webu, oblasť ako Severná Virgínia (alebo kde bol vytvorený EC2), typ prostriedku ako „Application Load Balancer“ a nakoniec vyberte Application Load Balancer, ktorý bol vytvorený v predchádzajúcom kroku. Kliknite na Ďalej.
Krok 3c: Tu a podmienka blokovania konkrétnej žiadosti o webovú aplikáciu musí byť vytvorený. Posuňte sa nadol a kliknite na možnosť „Vytvoriť podmienku“ pre „Podmienky zhody reťazcov a regulárnych výrazov“.
Krok 3d: Zadajte názov podmienky, zadajte Typ ako „Zhoda reťazca“, filter na „Všetky parametre dopytu“ a ostatné parametre presne tak, ako je to zobrazené nižšie. A kliknite na „Pridať filter“ a potom na Vytvoriť. Tu sa pokúšame vytvoriť podmienku, ktorá sa zhoduje s adresou URL, ktorá obsahuje hodnotu parametra dopytu 169.254.169.254. Táto adresa IP súvisí s EC2 metadáta .
Krok 3e: Teraz je čas vytvoriť pravidlo, ktoré je súhrnom podmienok. Kliknite na „Vytvoriť pravidlo“ a špecifikujte parametre presne tak, ako je uvedené nižšie. Kliknite na „Pridať podmienku“, Vytvoriť a „Skontrolovať a vytvoriť“.
Ďalej v tomto článku o „Ako zabezpečiť webovú aplikáciu pomocou AWS WAF?“
Krok 3f: Nakoniec skontrolujte všetky podrobnosti a kliknite na „Potvrdiť a vytvoriť“. Vytvorí sa webový zoznam ACL (Access Control List), ktorý je asociovaný s nástrojom Load Load Balancer, ako je uvedené nižšie.
Krok 3g: Teraz sa pokúste získať prístup k adrese URL aplikácie Load Load Balancer pomocou prehľadávača, ako sa to robí v Krok 2k . Tentokrát by sme dostali „403 Forbidden“, pretože naša adresa URL sa zhoduje s podmienkou webového ACL a my ju blokujeme. Žiadosť sa nikdy nedostane do aplikácie Load Load Balancer alebo webovej aplikácie na EC2. Tu si všimneme, že hoci aplikácia umožňuje prístup k bezpečnostným údajom, WAF blokuje to isté.
Krok 4: Vyčistenie zdrojov AWS vytvorených v tomto návode. Čistenie sa musí vykonať v presne rovnakom poradí, ako je uvedené nižšie. To zaisťuje, že AWS zastaví fakturáciu za súvisiace zdroje vytvorené ako súčasť tohto tutoriálu.
rozdiel medzi hash mapou a hash tabuľkou
- Vymažte podmienku v pravidle
- Odstráňte pravidlo z WebACL
- Odpojte ALB vo WebACL
- Odstrániť WebACL
- Vymazať pravidlo
- Odstráňte filter v Podmienke
- Vymazať podmienku
- Odstráňte ALB a cieľovú skupinu
- Ukončite EC2
- Odstráňte úlohu IAM
Záver
Ako sme už spomínali, vytváranie webových aplikácií pomocou AWS je veľmi jednoduché a zaujímavé. Musíme sa však tiež ubezpečiť, že aplikácia je bezpečná a že údaje nevniknú do nesprávnych rúk. Zabezpečenie je možné použiť vo viacerých vrstvách. V tomto tutoriáli sme videli, ako používať AWS WAF (Web Application Firewall) na ochranu webovej aplikácie pred útokmi, ako je zhoda s IP adresou metadát EC2. Mohli sme tiež použiť WAF na ochranu pred bežnými útokmi ako SQL Injection a XSS (Cross Site Scripting).
Použitie AWS WAF alebo v skutočnosti žiadny iný bezpečnostný produkt nezabezpečuje bezpečnosť aplikácie, ale produkt musí byť správne nakonfigurovaný. Ak nebude správne nakonfigurované, dáta sa môžu dostať do nesprávnych rúk, ako sa to stalo s Capital One a inými organizáciami. Ďalšou dôležitou vecou, ktorú je potrebné vziať do úvahy, je to, že na bezpečnosť je potrebné myslieť od prvého dňa a neskôr ich zapojiť do aplikácie.
Týmto sa dostávame na koniec tohto článku o tom, ako zabezpečiť webové aplikácie pomocou AWS WAF. Tiež sme prišli s učebným plánom, ktorý obsahuje presne to, čo by ste potrebovali na absolvovanie skúšky Architect Architect! Môžete sa pozrieť na podrobnosti kurzu pre školenia.
Máte na nás otázku? Uveďte to prosím v sekcii komentárov tohto blogu Čo je AWS a my sa vám ozveme.