logo

Cum să securizați aplicațiile web cu AWS WAF?

Principal Cloud Computing Cum să securizați aplicațiile web cu AWS WAF?



Acest articol vă va spune cum puteți securiza aplicațiile web cu AWS WAF și să îl urmăriți cu o demonstrație practică.

Acest articol vă va spune cum puteți securiza aplicațiile web WAF și urmăriți-l cu o demonstrație practică. Următoarele indicații vor fi tratate în acest articol,

Deci, hai să începem atunci,





Continuăm cu acest articol despre „Cum să securizați aplicația web cu AWS WAF?”

Noțiuni de bază cu unele elemente de bază

AWS oferă servicii precum EC2, ELB (Elastic Load Balancer), S3 (Simple Storage Service), EBS (Elastic Block Storage) pentru a crea aplicații utile și fanteziste rapid și cu mai puține CAPEX (CAPital EXpenditure). În timp ce creați aceste aplicații, este la fel de important să securizați aplicația și să protejați datele. Dacă nu sunt securizate corespunzător, datele aplicației ar putea ajunge pe mâini greșite ca în cazul celor recente Incident Capital One .



Capital One a găzduit o aplicație web pe EC2 și nu a fost securizată corespunzător. Un fost angajat AWS a reușit să exploateze această vulnerabilitate și să descarce reamuri de date despre clienți din S3. Ulterior s-a constatat că datele de la alte 30 de organizații au fost descărcate și de pe AWS. Așadar, pentru a sublinia din nou, nu este suficient doar să arhitectați și să proiectați o aplicație, dar este la fel de important să securizați o aplicație.

Capital One folosit AWS WAF (Firewall pentru aplicații web) pentru a proteja aplicația web, dar nu a fost configurată corect din cauza căreia hackerul a reușit să obțină accesul la datele din S3 și să îl descarce. În acest articol vom explora cum să utilizați și să configurați AWS WAF pentru a vă proteja împotriva atacurilor web obișnuite precum SQL Injection, XSS (Cross Site Scripting) etc. AWS WAF trebuie configurat împreună cu Aplicația Balans de încărcare , CloudFront sau API Gateway. În acest scenariu, vom utiliza aplicația Balans de încărcare. Orice solicitare din partea clientului prin intermediul browserului va trece prin AWS WAF și apoi către aplicația de echilibrare a încărcării și în cele din urmă către aplicația web de pe EC2. AWS WAF poate fi folosit pentru blocați solicitarea rău intenționată de la hackeri folosind un set de reguli și condiții.

Imagine - Aplicații web sigure cu AWS WAF - Edureka

Continuăm cu acest articol despre „Cum să securizați aplicația web cu AWS WAF?”



Secvența pașilor pentru a începe cu AWS WAF

Pasul 1: Crearea unei aplicații web vulnerabile,

Primul pas este crearea unei aplicații web vulnerabile la atacurile SSRF (Server Side Request Forgery), așa cum se menționează în acest document. Blog despre cum s-a întâmplat atacul Capital One. Acest blog are secvența de pași pentru:

  1. Creați un EC2
  2. Instalați software-ul necesar pentru a crea aplicația web cu vulnerabilitate SSRF
  3. Creați și rol IAM cu permisiunile S3 Read Only
  4. Atașați rolul IAM la EC2
  5. În cele din urmă, exploatați vulnerabilitatea SSRF pentru a obține acreditările de securitate legate de rolul IAM.

Odată ce secvența de pași este finalizată în blogul menționat, înlocuiți 5.6.7.8 cu adresa IP publică a EC2 în URL-ul de mai jos și deschideți-l în browser. Acreditările de securitate asociate cu rolul IAM ar trebui afișate în browser așa cum se arată mai jos. Așa a fost practic Capital One piratat. Cu acreditările de securitate în mână, hackerul a putut accesa alte servicii AWS precum S3 pentru a descărca datele.

http://5.6.7.8:80?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO

Pasul 2: Crearea aplicației Balancer de încărcare

cum se închide un program în java

AWS WAF nu poate fi asociat direct cu o aplicație web. Dar, poate fi asociat doar cu Application Load Balancer, CloudFront și API Gateway. În acest tutorial, vom crea fișierul Application Load Balancer și asocierea AWS WAF cu acelasi.

Pasul 2a: Un grup țintă este o colecție de instanțe EC2 și trebuie creată înainte de a crea aplicația de echilibrare a încărcării. În consola de management EC2, faceți clic pe grupul țintă din panoul din stânga și faceți clic pe „Creați grup țintă”.

Pasul 2b: Introduceți numele grupului țintă și faceți clic pe „Creați”. Grupul țintă va fi creat cu succes.

Pasul 2c: Asigurați-vă că grupul țintă este selectat și faceți clic pe fila Ținte și faceți clic pe editare pentru a înregistra instanțele EC2 la grupul țintă.

Pasul 2d: Selectați instanța EC2 și faceți clic pe „Adăugați la înregistrat” și faceți clic pe „Salvare”.

Instanțele trebuie înregistrate așa cum se arată mai jos pentru grupul țintă.

Pasul 2e: Este timpul să creați aplicația de echilibrare a încărcării. Faceți clic pe Load Balancer în panoul din stânga al consolei de management EC2 și faceți clic pe „Create Load Balancer”.

Faceți clic pe „Create” pentru „Application Load Balancer”.

Continuăm cu acest articol despre „Cum să securizați aplicația web cu AWS WAF?”

Pasul 2f: Introduceți numele aplicației de echilibrare a încărcării. Și asigurați-vă că toate zonele de disponibilitate sunt selectate și faceți clic pe Următorul.

Pasul 2g: În „Configurare setări de securitate” faceți clic pe Următorul.

În „Configurarea grupurilor de securitate” creați un nou grup de securitate sau selectați unul dintre grupurile de securitate existente. Asigurați-vă că portul 80 este deschis pentru accesarea paginii web de pe EC2. Faceți clic pe Următorul.

Pasul 2h: În „Configurare rutare” selectați „Grup țintă existent” și selectați-l pe cel care a fost creat în pasul anterior. Faceți clic pe Următorul.

diferența dintre hashmap și hashtable în java

Pasul 2i: Instanțele EC2 țintă au fost deja înregistrate ca parte a grupurilor țintă. Deci, în fila „Înregistrare țintă”, fără modificări, faceți clic pe Următorul.

Pasul 2j: În cele din urmă, revedeți toate detaliile aplicației Balans de încărcare a aplicației și faceți clic pe Creare. Echilibrul de încărcare a aplicației va fi creat așa cum se arată mai jos.

Pasul 2k: Obțineți numele de domeniu al aplicației Balance Load Balance și înlocuiți textul evidențiat în URL-ul de mai jos și deschideți-l în browser. Rețineți că accesăm aplicația Web prin intermediul aplicației de încărcare a echilibrului, iar acreditările de securitate sunt afișate așa cum se arată mai jos. Adresa URL de mai jos poate fi blocată utilizând AWS WAF așa cum se arată în pașii următori pentru a opri scurgerea acreditării de securitate.

MyALB-1929899948.us-east-1.elb.amazonaws.com ? url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO

Pasul 3: Crearea AWS WAF (Firewall pentru aplicații web)

Pasul 3a: Accesați AWS WAF Management Console și faceți clic pe „Configurare ACL web”. Este prezentată prezentarea AWS WAF. Iată ierarhia AWS WAF. Web ACL are o grămadă de reguli, iar regulile au o grămadă de condiții pe care le-am crea în pașii următori. Faceți clic pe Următorul.

Pasul 3b: Introduceți numele ACL Web, regiunea ca Virginia de Nord (sau unde a fost creat EC2), tipul de resursă ca „Aplicație de echilibrare a încărcării” și selectați în cele din urmă aplicația de încărcare a echilibrului care a fost creată în pasul anterior. Faceți clic pe Următorul.

Pasul 3c: Aici un condiție pentru a bloca o anumită cerere de aplicație web trebuie creat. Derulați în jos și faceți clic pe „Creare condiție” pentru „Condiții de potrivire șir și regex”.

Pasul 3d: Introduceți numele condiției, tastați ca „potrivire șir”, filtrați „Toți parametrii de interogare” și restul parametrilor exact așa cum se arată mai jos. Și faceți clic pe „Adăugați filtru” și apoi pe Creați. Aici încercăm să creăm o condiție care se potrivește cu adresa URL care conține valoarea parametrului de interogare 169.254.169.254. Această adresă IP este legată de Metadate EC2 .

Pasul 3e: Acum este momentul pentru a crea o regulă care este o colecție de condiții. Faceți clic pe „Creați regulă” și specificați parametrii așa cum se arată mai jos. Faceți clic pe „Adăugați o condiție”, creați și „Examinați și creați”.

Continuăm cu acest articol despre „Cum să securizați aplicația web cu AWS WAF?”

Pasul 3f: Revedeți în cele din urmă toate detaliile și faceți clic pe „Confirmați și creați”. Web ACL (Access Control List) va fi creat și asociat cu Application Load Balancer așa cum se arată mai jos.

java așteptați și notificați exemplul

Pasul 3g: Acum, încercați să accesați URL-ul aplicației de echilibrare a încărcării prin browser, așa cum se efectuează în Pasul 2k . De data aceasta, vom primi „403 Interzis”, deoarece adresa noastră URL corespunde condiției ACL Web și o blocăm. Solicitarea nu ajunge niciodată la aplicația de echilibrare a încărcării sau la aplicația web de pe EC2. Aici observăm că, deși aplicația permite accesul la acreditările de securitate, WAF blochează același lucru.

Pasul 4: Curățarea resurselor AWS create în acest tutorial. Curățarea trebuie făcută exact în aceeași ordine ca cea menționată mai jos. Aceasta este pentru a vă asigura că AWS oprește facturarea resurselor asociate create ca parte a acestui tutorial.

  • Ștergeți condiția din regulă
  • Ștergeți regula din WebACL
  • Deconectați ALB în WebACL
  • Ștergeți WebACL
  • Ștergeți regula
  • Ștergeți filtrul din Condiție
  • Ștergeți condiția
  • Ștergeți ALB și grupul țintă
  • Terminați EC2
  • Ștergeți rolul IAM

Concluzie

După cum sa menționat mai devreme, crearea unei aplicații web utilizând AWS este foarte ușoară și interesantă. Dar trebuie, de asemenea, să ne asigurăm că aplicația este sigură și că datele nu sunt scurs în mâinile greșite. Securitatea poate fi aplicată pe mai multe straturi. În acest tutorial am văzut cum se folosește AWS WAF (Web Application Firewall) pentru a proteja aplicația Web împotriva atacurilor precum potrivirea cu adresa IP a metadatelor EC2. Am fi putut folosi și WAF pentru a ne proteja împotriva atacurilor obișnuite precum SQL Injection și XSS (Cross Site Scripting).

Utilizarea AWS WAF sau, de fapt, orice alt produs de securitate nu face aplicația sigură, dar produsul trebuie configurat corect. Dacă nu sunt configurate corect, datele ar putea ajunge în mâinile greșite, așa cum sa întâmplat cu Capital One și alte organizații. De asemenea, celălalt lucru important de luat în considerare este că securitatea trebuie gândită încă din prima zi și nu conectată la aplicație într-o etapă ulterioară.

Acest lucru ne duce la sfârșitul acestui articol despre Cum să securizați aplicațiile web cu AWS WAF. De asemenea, am venit cu un curriculum care acoperă exact ceea ce ai avea nevoie pentru a sparge examenul Solution Architect! Puteți arunca o privire la detaliile cursului pentru Instruire.

Ai o întrebare pentru noi? Vă rugăm să o menționați în secțiunea de comentarii a acestui blog Ce este AWS și vă vom răspunde.

Cloud Computing

Categorii

Popular Articles

De ce ar trebui să alegeți Python pentru Big Data

Obiecte și clase Java - Aflați cum să creați și să implementați

Tot ce trebuie să știți despre variabile în Java

Tot ce trebuie să știți despre HTML interior în JavaScript

Ce este clonarea în Java și tipurile sale?

Tot ce trebuie să știți despre eticheta Span în HTML

#IndiaITRepublic - Top 10 fapte despre Infosys

Diferența dintre aruncări și aruncări în Java

Cum se implementează ascunderea metodelor în Java

Matricea confuziei în învățarea automată: soluția dvs. unică