Tento článek vám řekne, jak můžete zabezpečit webové aplikace WAF a navázat na něj praktickou ukázkou. V tomto článku se budeme zabývat následujícími ukazateli,
java se vymanila z metody
Pojďme tedy začít,
Pokračujeme v tomto článku o „Jak zabezpečit webovou aplikaci pomocí AWS WAF?“
Začínáme s některými základy
AWS poskytuje služby jako EC2, ELB (Elastic Load Balancer), S3 (Simple Storage Service), EBS (Elastic Block Storage) k rychlému vytváření užitečných a efektních aplikací as menším CAPEX (CAPital EXpenditure). Při vytváření těchto aplikací je stejně důležité zabezpečit aplikaci a chránit data. Pokud nejsou řádně zabezpečeny, data aplikace se mohou dostat do nesprávných rukou, jako v případě nedávné Incident hlavního města .
Capital One hostil webovou aplikaci na EC2 a nebyla správně zabezpečena. Bývalý zaměstnanec AWS dokázal tuto chybu zabezpečení zneužít a stáhnout si hromady zákaznických dat ze S3. Později bylo zjištěno, že data z 30 dalších organizací byla také stažena z AWS. Znovu zdůraznit, že nestačí pouze navrhnout a navrhnout aplikaci, ale stejně důležité je aplikaci zabezpečit.
Capital One použito AWS WAF (firewall webových aplikací) k ochraně webové aplikace, ale nebyla správně nakonfigurována, kvůli čemuž mohl hacker získat přístup k datům v S3 a stáhnout je. V tomto článku prozkoumáme, jak používat a konfigurovat AWS WAF k ochraně před běžnými webovými útoky, jako je SQL Injection, XSS (Cross Site Scripting) atd. AWS WAF musí být nakonfigurován spolu s Vyrovnávač zatížení aplikace , CloudFront nebo API Gateway. V tomto scénáři použijeme Application Load Balancer. Jakýkoli požadavek od zákazníka prostřednictvím prohlížeče projde AWS WAF a poté do aplikace Load Load Balancer a nakonec do webové aplikace na EC2. AWS WAF lze použít zablokovat škodlivý požadavek od hackerů pomocí souboru pravidel a podmínek.
Pokračujeme v tomto článku o „Jak zabezpečit webovou aplikaci pomocí AWS WAF?“
Pořadí kroků, jak začít s AWS WAF
Krok 1: Vytvoření zranitelné webové aplikace,
Prvním krokem je vytvoření webové aplikace, která je zranitelná vůči útokům SSRF (Server Side Request Forgery), jak je uvedeno v tomto Blog o tom, jak došlo k útoku hlavního města. Tento blog má posloupnost kroků k:
- Vytvořte EC2
- Nainstalujte požadovaný software pro vytvoření webové aplikace se zranitelností SSRF
- Vytvořte roli a roli IAM s oprávněními S3 jen pro čtení
- Připojte roli IAM k EC2
- Nakonec využijte chybu zabezpečení SSRF a získejte pověření zabezpečení související s rolí IAM.
Po dokončení kroků v uvedeném blogu nahraďte 5.6.7.8 veřejnou IP adresou EC2 v níže uvedené adrese URL a otevřete ji v prohlížeči. Pověření zabezpečení spojená s rolí IAM by se měla zobrazit v prohlížeči, jak je znázorněno níže. Takto byl v zásadě hacknut Capital One. S bezpečnostními pověřeními v ruce mohl hacker získat přístup k dalším službám AWS, jako je S3, ke stahování dat.
http://5.6.7.8:80?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
Krok 2: Vytváření aplikace Load Balancer
AWS WAF nelze přímo spojit s webovou aplikací. Lze jej ale přidružit pouze k Application Load Balancer, CloudFront a API Gateway. V tomto kurzu bychom vytvářeli Application Load Balancer a přidružení AWS WAF se stejným.
Krok 2a: Cílová skupina je kolekce instancí EC2 a musí být vytvořena před vytvořením aplikace Load Load Balancer. V EC2 Management Console klikněte na Cílovou skupinu v levém podokně a klikněte na „Vytvořit cílovou skupinu“.
Krok 2b: Zadejte název cílové skupiny a klikněte na „Vytvořit“. Cílová skupina bude úspěšně vytvořena.
Krok 2c: Ujistěte se, že je vybrána Cílová skupina, klikněte na kartu Cíle a kliknutím na Upravit zaregistrujte instance EC2 s Cílovou skupinou.
Krok 2d: Vyberte instanci EC2 a klikněte na „Přidat do registrované“ a poté na „Uložit“.
Instance by měly být zaregistrovány, jak je uvedeno níže pro cílovou skupinu.
Krok 2e: Čas na vytvoření nástroje pro vyrovnávání zatížení aplikace. Klikněte na Load Balancer v levém podokně EC2 Management Console a klikněte na „Vytvořit Load Balancer“.
Klikněte na „Vytvořit“ pro „Vyrovnávač zatížení aplikace“.
Pokračujeme v tomto článku o „Jak zabezpečit webovou aplikaci pomocí AWS WAF?“
Krok 2f: Zadejte název nástroje pro vyrovnávání zatížení aplikace. Ujistěte se, že jsou vybrány všechny zóny dostupnosti, a klikněte na Další.
Krok 2g: V části „Konfigurovat nastavení zabezpečení“ klikněte na Další.
V části „Konfigurovat skupiny zabezpečení“ vytvořte novou skupinu zabezpečení nebo vyberte jednu ze stávajících skupin zabezpečení. Ujistěte se, že je port 80 otevřen pro přístup k webové stránce na EC2. Klikněte na Další.
Krok 2h: V části „Konfigurovat směrování“ vyberte možnost „Existující cílová skupina“ a vyberte skupinu, která byla vytvořena v předchozím kroku. Klikněte na Další.
Krok 2i: Cílové instance EC2 již byly zaregistrovány jako součást cílových skupin. Na kartě „Zaregistrovat cíl“ tedy bez jakýchkoli změn klikněte na Další.
Krok 2j: Nakonec zkontrolujte všechny podrobnosti nástroje Load Balancer a klikněte na Vytvořit. Vyrovnávač zatížení aplikace by byl vytvořen, jak je znázorněno níže.
Krok 2k: Získejte název domény nástroje pro vyrovnávání zatížení aplikace a nahraďte jej zvýrazněný text v níže uvedené adrese URL a otevřete jej v prohlížeči. Všimněte si, že přistupujeme k webové aplikaci pomocí nástroje pro vyrovnávání zatížení aplikace a bezpečnostní pověření se zobrazí, jak je znázorněno níže. Níže uvedená adresa URL může být blokována pomocí AWS WAF, jak je znázorněno v následujících krocích k zastavení úniku bezpečnostních údajů.
MyALB-1929899948.us-east-1.elb.amazonaws.com ? url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
Krok 3: Vytvoření AWS WAF (Firewall webové aplikace)
Krok 3a: Přejděte na konzolu pro správu AWS WAF a klikněte na „Konfigurovat webový ACL“. Zobrazí se přehled AWS WAF. Zde je hierarchie AWS WAF. Web ACL má spoustu pravidel a pravidla mají spoustu podmínek, které bychom vytvořili v následujících krocích. Klikněte na Další.
Krok 3b: Zadejte název ACL webu, Region jako Severní Virginie (nebo kde byl vytvořen EC2), typ zdroje jako „Application Load Balancer“ a nakonec vyberte Application Load Balancer, který byl vytvořen v předchozím kroku. Klikněte na Další.
Krok 3c: Tady a podmínka blokování konkrétního požadavku webové aplikace musí být vytvořen. Přejděte dolů a klikněte na „Vytvořit podmínku“ pro „Podmínky shody řetězců a regulárních výrazů“.
Krok 3d: Zadejte název podmínky, zadejte jako „shoda řetězce“, filtr na „všechny parametry dotazu“ a zbytek parametrů přesně tak, jak je uvedeno níže. A klikněte na „Přidat filtr“ a poté na Vytvořit. Zde se pokoušíme vytvořit podmínku, která odpovídá adrese URL obsahující hodnotu parametru dotazu jako 169.254.169.254. Tato IP adresa souvisí s EC2 metadata .
Krok 3e: Nyní je čas vytvořit pravidlo, které je souborem podmínek. Klikněte na „Vytvořit pravidlo“ a níže specifikujte parametry přesně. Klikněte na „Přidat podmínku“, Vytvořit a „Zkontrolovat a vytvořit“.
Pokračujeme v tomto článku o „Jak zabezpečit webovou aplikaci pomocí AWS WAF?“
Krok 3f: Nakonec zkontrolujte všechny podrobnosti a klikněte na „Potvrdit a vytvořit“. Bude vytvořen webový seznam ACL (seznam řízení přístupu) a přidružen k nástroji pro vyrovnávání zatížení aplikace, jak je uvedeno níže.
Krok 3g: Nyní zkuste získat přístup k URL Load Balancer aplikace prostřednictvím prohlížeče, jak je provedeno v Krok 2k . Tentokrát bychom dostali „403 Forbidden“, protože naše URL odpovídá podmínce Web ACL a my ji blokujeme. Požadavek nikdy nedosáhne Vyrovnávače zatížení aplikace nebo webové aplikace na EC2. Zde si všimneme, že ačkoli aplikace umožňuje přístup k pověření zabezpečení, WAF blokuje to samé.
Krok 4: Vyčištění zdrojů AWS vytvořených v tomto kurzu. Vyčištění musí být provedeno v přesně stejném pořadí, jak je uvedeno níže. Tím se zajistí, že AWS zastaví fakturaci za přidružené prostředky vytvořené jako součást tohoto kurzu.
jak nastavit php
- Smažte podmínku v pravidle
- Odstraňte pravidlo z WebACL
- Zrušte přidružení ALB ve WebACL
- Odstranit WebACL
- Odstranit pravidlo
- Odstraňte filtr v Podmínce
- Smazat podmínku
- Odstraňte ALB a cílovou skupinu
- Ukončete EC2
- Odstraňte roli IAM
Závěr
Jak již bylo zmíněno dříve, vytváření webové aplikace pomocí AWS je velmi snadné a zajímavé. Musíme se ale také ujistit, že je aplikace bezpečná a že data neuniknou do nesprávných rukou. Zabezpečení lze použít ve více vrstvách. V tomto tutoriálu jsme viděli, jak používat AWS WAF (Web Application Firewall) k ochraně webové aplikace před útoky, jako je shoda s IP adresou metadat EC2. Mohli jsme také použít WAF k ochraně před běžnými útoky, jako je SQL Injection a XSS (Cross Site Scripting).
Použití AWS WAF nebo ve skutečnosti žádný jiný produkt zabezpečení nezabezpečuje zabezpečení aplikace, ale produkt musí být správně nakonfigurován. Pokud nebudou správně nakonfigurovány, data se mohou dostat do nesprávných rukou, jak se to stalo s Capital One a dalšími organizacemi. Další důležitou věcí, kterou je třeba vzít v úvahu, je, že na zabezpečení je třeba myslet od prvního dne, a nikoli zapojit se do aplikace v pozdější fázi.
Tím se dostáváme na konec tohoto článku o tom, jak zabezpečit webové aplikace pomocí AWS WAF. Také jsme přišli s osnovami, které pokrývají přesně to, co byste potřebovali ke zvládnutí zkoušky Architect Architect! Můžete se podívat na podrobnosti kurzu pro výcvik.
Máte na nás dotaz? Uveďte to prosím v sekci komentářů tohoto blogu Co je AWS a my se vám ozveme.