See artikkel ütleb teile, kuidas saate veebirakendusi turvaliselt kaitsta WAF ja järgige seda praktilise meeleavaldusega. Järgmisi näpunäiteid käsitletakse selles artiklis,
Alustagem siis
Selle artikliga 'Kuidas veebirakendusi AWS WAF-iga kaitsta?'
Mõne põhialusega alustamine
AWS pakub selliseid teenuseid nagu EC2, ELB (elastse koormuse tasakaalustaja), S3 (lihtne salvestusteenus), EBS (elastne plokihoidla), et luua kasulikke ja uhkeid rakendusi kiiresti ja vähem CAPEXiga (CAPital EXpenditure). Nende rakenduste loomisel on sama oluline kaitsta rakendust ja kaitsta andmeid. Kui need pole õigesti turvatud, võivad rakenduse andmed sattuda valedesse kätesse, nagu hiljutiste andmete korral Capital One juhtum .
Capital One hostis EC2-s veebirakendust ja see ei olnud korralikult turvatud. Endine AWS-i töötaja suutis seda haavatavust ära kasutada ja kliendiandmeid S3-st alla laadida. Hiljem leiti, et AWS-ist laaditi alla ka 30 teise organisatsiooni andmed. Nii et selle uuesti rõhutamiseks ei piisa ainult rakenduse arhitektuurist ja kujundusest, vaid sama oluline on ka rakenduse turvalisus.
Kasutatakse suurtähte AWS WAF (veebirakenduste tulemüür) Veebirakenduse kaitsmiseks, kuid seda ei olnud õigesti konfigureeritud, mistõttu häkkeril oli juurdepääs S3 andmetele ja see alla laadida. Selles artiklis uurime, kuidas AWS WAF-i kasutada ja konfigureerida, et kaitsta levinud veebirünnakute eest, nagu SQL Injection, XSS (Cross Site Scripting) jne. AWS WAF tuleb konfigureerida koos Rakenduse koormuse tasakaalustaja , CloudFront või API Gateway. Selles stsenaariumis kasutame rakenduste koormuse tasakaalustajat. Kõik kliendi taotlused brauseri kaudu läbivad AWS WAF-i, seejärel rakenduste koormuse tasakaalustaja ja lõpuks EC2-s asuva veebirakenduse. AWS WAF-i saab kasutada blokeerige pahatahtlik taotlus häkkerite käest, kasutades reegleid ja tingimusi.
Selle artikliga 'Kuidas veebirakendusi AWS WAF-iga kaitsta?'
teisendades topelt int java
AWS WAF-iga alustamiseks vajalike toimingute järjestus
Samm 1: Haavatava veebirakenduse loomine,
Esimene samm on luua selles rakenduses SSRF-i (Server Side Request Forgery) rünnakute suhtes haavatav veebirakendus. Ajaveeb selle kohta, kuidas Capital One rünnak juhtus. Sellel ajaveebil on järgmised toimingud:
- Looge EC2
- SSRF-i haavatavusega veebirakenduse loomiseks installige vajalik tarkvara
- Loo ja IAM-i roll S3 kirjutuskaitstud lubadega
- Manustage IAM-roll EC2-le
- Lõpuks kasutage SSRF-i haavatavust, et hankida IAM-i rolliga seotud turbekirja.
Kui mainitud ajaveebis on toimingute jada lõpetatud, asendage 5.6.7.8 allolevas URL-is EC2 avaliku IP-aadressiga ja avage see brauseris. IAM-i rolliga seotud turbekinnitused peaksid olema kuvatud brauseris, nagu allpool näidatud. Nii hakati põhimõtteliselt Capital One'i häkkima. Kui turvamandaadid olid käes, pääses häkker andmete allalaadimiseks juurde teistele AWS-i teenustele, näiteks S3.
http://5.6.7.8:80?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
2. samm: Rakenduse koormuse tasakaalustaja loomine
AWS WAF-i ei saa veebirakendusega otseselt seostada. Kuid seda saab seostada ainult rakenduste koormuse tasakaalustaja, CloudFronti ja API lüüsiga. Selles õpetuses loome Rakenduse koormuse tasakaalustaja ja AWS WAF-i seostamine samaga.
Samm 2a: Sihtrühm on EC2 eksemplaride kogu ja see tuleb luua enne rakenduse koormuse tasakaalustaja loomist. Klõpsake EC2 juhtimiskonsoolis vasakul paanil sihtrühma ja klõpsake nuppu 'Loo sihtrühm'.
Etapp 2b: Sisestage sihtrühma nimi ja klõpsake nuppu „Loo“. Sihtrühm luuakse edukalt.
2. samm: Veenduge, et sihtgrupp on valitud, klõpsake vahekaardil Sihtmärgid ja klõpsake käsku Muuda EC2 eksemplaride registreerimiseks sihtgrupis.
2.d samm: Valige EC2 eksemplar ja klõpsake nuppu 'Lisa registreeritud juurde' ja klõpsake nuppu 'Salvesta'.
Eksemplarid tuleks registreerida sihtrühma jaoks allpool näidatud viisil.
2. samm: Aeg luua rakenduse koormuse tasakaalustaja. Klõpsake EC2 juhtimiskonsooli vasakul paanil koormuse tasakaalustajal ja klõpsake nuppu 'Koosta koormuse tasakaalustaja'.
Klõpsake jaotises „Rakenduse koormuse tasakaalustaja” nuppu „Loo”.
Selle artikliga 'Kuidas veebirakendusi AWS WAF-iga kaitsta?'
Samm 2f: Sisestage rakenduse koormuse tasakaalustaja nimi. Ja veenduge, et kõik kättesaadavustsoonid on valitud ja klõpsake nuppu Edasi.
2. samm: Klõpsake jaotises „Turvaseadete konfigureerimine” nuppu Edasi.
Looge jaotises „Turvagruppide konfigureerimine” uus turbegrupp või valige üks olemasolevatest turbegruppidest. Veenduge, et EC2 veebisaidile pääsemiseks on port 80 avatud. Klõpsake nuppu Edasi.
2. samm: Valige jaotises „Marsruudi seadistamine” „Olemasolev sihtgrupp” ja valige see, mis on loodud varasemas etapis. Klõpsake nuppu Edasi.
2. samm: EC2 sihteksemplarid on juba sihtrühmade koosseisus registreeritud. Niisiis klõpsake vahekaardil „Registreeru sihtmärk“ ilma muudatusteta nupul Edasi.
Samm 2j: Lõpuks vaadake üle kõik rakenduse koormuse tasakaalustaja üksikasjad ja klõpsake nuppu Loo. Rakenduse koormuse tasakaalustaja luuakse nagu allpool näidatud.
2. samm: Hankige rakenduse koormuse tasakaalustaja domeeninimi ja asendage esiletõstetud tekst allolevas URL-is ning avage see brauseris. Pange tähele, et me pääseme veebirakendusele juurde rakenduse koormuse tasakaalustaja kaudu ja turvakood kuvatakse allpool näidatud viisil. Alloleva URL-i saab blokeerida, kasutades AWS WAF-i, nagu on näidatud järgmistes toimingutes, et peatada turvamandaatide leke.
MyALB-1929899948.us-east-1.elb.amazonaws.com ? url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
3. samm: AWS WAF-i (veebirakenduste tulemüüri) loomine
Samm 3a: Minge AWS WAF-i juhtimiskonsoolile ja klõpsake nuppu „Konfigureeri veebi ACL-i”. Kuvatakse AWS WAF-i ülevaade. Siin on AWS WAF-i hierarhia. Veebi ACL-is on hulgaliselt reegleid ja reeglitel on hulk tingimusi, mille loome järgmistes toimingutes. Klõpsake nuppu Edasi.
Samm 3b: Sisestage veebi ACL-i nimi, piirkond kui Põhja-Virginia (või kus EC2 loodi), ressursitüübiks „Application Load Balancer” ja lõpuks valige eelmises etapis loodud rakenduse Load Balancer. Klõpsake nuppu Edasi.
3. samm: Siin a konkreetse veebirakenduse päringu blokeerimiseks tuleb luua. Kerige alla ja klõpsake nuppu „Loo tingimus” jaotise „Stringi ja regexi vaste tingimused” jaoks.
3d samm: Sisestage tingimuse nimi, tüüp „String match”, filtreerige jaotises „Kõik päringu parameetrid” ja ülejäänud parameetrid täpselt nii, nagu allpool näidatud. Ja klõpsake nuppu „Lisa filter” ja seejärel käsku Loo. Siin proovime luua tingimuse, mis sobib URL-iga, mis sisaldab päringuparameetri väärtust 169.254.169.254. See IP-aadress on seotud EC2 metaandmed .
3. samm: Nüüd on aeg luua reegel, mis on tingimuste kogum. Klõpsake nuppu „Loo reegel“ ja määrake parameetrid, nagu allpool täpselt näidatud. Klõpsake nuppu „Lisa tingimus“, Loo ja „Vaadake üle ja looge“.
Selle artikliga 'Kuidas veebirakendusi AWS WAF-iga kaitsta?'
Samm 3f: Lõpuks vaadake kõik üksikasjad üle ja klõpsake nuppu 'Kinnita ja loo'. Veebi ACL (pääsukontrolli loend) luuakse ja seostatakse rakenduse koormuse tasakaalustajaga, nagu allpool näidatud.
3. samm: Nüüd proovige brauseri kaudu pääseda juurde rakenduse koormuse tasakaalustaja URL-ile, nagu on tehtud 2. samm . Seekord oleks meil 403 keelatud, kuna meie URL vastab veebi ACL-i tingimusele ja blokeerime selle. Taotlus ei jõua kunagi EC2 rakenduse koormuse tasakaalustaja või veebirakenduse juurde. Siinkohal märkame, et kuigi rakendus lubab juurdepääsu turvakirjadele, blokeerib WAF sama.
4. samm: Selles õpetuses loodud AWS-ressursside puhastamine. Puhastus tuleb teha täpselt samas järjekorras, nagu allpool mainitud. Selle eesmärk on tagada, et AWS peataks selle õpetuse osana loodud seotud ressursside arveldamise.
- Kustuta reeglist tingimus
- Kustutage reegel WebACL-ist
- Lahutage WebACL-is ALB
- Kustuta WebACL
- Kustutage reegel
- Kustutage tingimusest filter
- Kustutage tingimus
- Kustutage ALB ja sihtrühm
- Lõpetage EC2
- Kustutage IAM-i roll
Järeldus
Nagu varem mainitud, on veebirakenduse loomine AWS-i abil väga lihtne ja huvitav. Kuid peame ka tagama, et rakendus oleks turvaline ja et andmeid ei valetataks valedesse kätesse. Turvalisust saab rakendada mitmel kihil. Selles õpetuses oleme näinud, kuidas AWS WAF-i (veebirakenduste tulemüür) kasutada veebirakenduse kaitsmiseks rünnakute eest, näiteks sobitamine EC2 metaandmete IP-aadressidega. Samuti oleksime võinud kasutada WAF-i, et kaitsta selliseid levinud rünnakuid nagu SQL Injection ja XSS (Cross Site Scripting).
AWS WAF-i või tegelikult mõne muu turbetoode kasutamine ei muuda rakendust turvaliseks, kuid toode peab olema korralikult konfigureeritud. Kui neid pole õigesti konfigureeritud, võivad andmed sattuda valedesse kätesse, nagu juhtus Capital One'i ja teiste organisatsioonidega. Teine oluline asi, mida tuleb arvestada, on see, et turvalisust tuleb mõelda juba esimesest päevast alates ja mitte hilisemas etapis rakendusse ühendada.
See viib meid selle artikli lõppu, kuidas veebirakendusi AWS WAF-iga kaitsta. Oleme välja pakkunud ka õppekava, mis hõlmab täpselt seda, mida vajate lahenduse arhitekti eksami purustamiseks! Saate vaadata kursuse üksikasju koolitus.
Kas teil on meile küsimus? Palun mainige seda selle Mis on AWS-i ajaveebi kommentaaride osas ja me võtame teiega ühendust.