logo

כיצד לאבטח יישומי אינטרנט באמצעות AWS WAF?

עיקרי מחשוב ענן כיצד לאבטח יישומי אינטרנט באמצעות AWS WAF?



מאמר זה יספר לכם כיצד תוכלו לאבטח יישומי אינטרנט באמצעות AWS WAF ולבצע מעקב אחר הדגמה מעשית.

מאמר זה יספר לכם כיצד תוכלו לאבטח יישומי אינטרנט באמצעותם WAF ועקוב אחריו בהפגנה מעשית. המצביעים הבאים יוסקרו במאמר זה,

אז בואו נתחיל אז,





ממשיכים במאמר זה בנושא 'כיצד לאבטח יישום אינטרנט באמצעות AWS WAF?'

תחילת העבודה עם כמה יסודות

AWS מספקת שירותים כמו EC2, ELB (Elastic Load Balancer), S3 (Simple Storage Service), EBS (Elastic Block Storage) ליצירת יישומים שימושיים ומהודרים במהירות ועם פחות CAPEX (הוצאות הון). בעת יצירת יישומים אלה, חשוב באותה מידה לאבטח את היישום ולהגן על הנתונים. אם לא מאובטחים כראוי, נתוני היישום עלולים להגיע לידיים הלא נכונות כמו במקרה האחרון תקרית הון וואן .



Capital One אירחה אפליקציית אינטרנט ב- EC2 והיא לא מאובטחת כראוי. עובד AWS לשעבר הצליח לנצל את הפגיעות הזו ולהוריד מקורות נתונים של לקוחות מ- S3. מאוחר יותר נמצא כי הנתונים של 30 ארגונים אחרים הורדו גם מ- AWS. לכן, כדי להדגיש את זה שוב זה לא מספיק רק לארכיטקטורה ולעצב יישום, אלא לא פחות חשוב לאבטח יישום.

הון אחד בשימוש AWS WAF (חומת אש של יישומי אינטרנט) כדי להגן על יישום האינטרנט, אך הוא לא הוגדר כהלכה ובגללו האקר הצליח לקבל את הגישה לנתונים ב- S3 ולהוריד אותם. במאמר זה נחקור כיצד להשתמש ולהגדיר את התצורה של AWS WAF להגנה מפני התקפות רשת נפוצות כמו הזרקת SQL, XSS (Scripting Cross Site) וכו 'יש להגדיר AWS WAF יחד עם איזון עומס יישומים , CloudFront או API Gateway. בתרחיש זה נשתמש במאזן העומסים של היישומים. כל בקשה מהלקוח דרך הדפדפן תעבור דרך AWS WAF ואז למאזן העומסים של היישומים ולבסוף ליישום האינטרנט ב- EC2. ניתן להשתמש ב- AWS WAF לחסום את הבקשה הזדונית מהאקרים המשתמשים במערכת כללים ותנאים.

תמונה - יישומי אינטרנט מאובטחים עם AWS WAF - אדוריקה

ממשיכים במאמר זה בנושא 'כיצד לאבטח יישום אינטרנט באמצעות AWS WAF?'



רצף השלבים להתחלה עם AWS WAF

שלב 1: יצירת יישום אינטרנט פגיע,

השלב הראשון הוא ליצור יישום אינטרנט הפגיע להתקפות SSRF (Server Side Request Forgery) כאמור בזאת. בלוג על האופן שבו התרחשה מתקפת ההון וואן. בבלוג זה יש רצף שלבים:

  1. צור EC2
  2. התקן את התוכנה הנדרשת ליצירת יישום האינטרנט עם פגיעות SSRF
  3. צור תפקיד ו- IAM עם הרשאות קריאה בלבד של S3
  4. צרף את תפקיד ה- IAM ל- EC2
  5. לבסוף, נצל את הפגיעות של SSRF כדי לקבל את אישורי האבטחה הקשורים לתפקיד IAM.

לאחר השלמת רצף השלבים בבלוג המוזכר, החלף את 5.6.7.8 בכתובת ה- IP הציבורית של ה- EC2 בכתובת האתר שלהלן ופתח אותה בדפדפן. אישורי האבטחה המשויכים לתפקיד IAM צריכים להיות מוצגים בדפדפן כמוצג להלן. כך בעצם פרצו את Capital One. עם אישורי האבטחה ביד, האקר הצליח לגשת לשירותי AWS אחרים כמו S3 כדי להוריד את הנתונים.

http://5.6.7.8:80?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO

מחרוזת Java java עד כה

שלב 2: יצירת איזון עומס היישומים

לא ניתן לקשר ישירות ל- AWS WAF ליישום אינטרנט. אבל, ניתן לשייך רק לאיזון עומסי יישומים, CloudFront ו- API Gateway. במדריך זה, אנו יוצרים את איזון עומס יישומים ושיוך AWS WAF עם אותו הדבר.

שלב 2 א: קבוצת יעד היא אוסף של מופעי EC2 ויש ליצור אותה לפני יצירת איזון עומס היישומים. במסוף הניהול EC2, לחץ על קבוצת היעד בחלונית השמאלית ולחץ על 'צור קבוצת יעד'.

שלב 2b: הזן את שם קבוצת היעד ולחץ על 'צור'. קבוצת היעד תיווצר בהצלחה.

שלב 2 ג: וודא כי קבוצת היעד נבחרה ולחץ על הכרטיסייה יעדים ולחץ על ערוך כדי לרשום מופעי EC2 בקבוצת היעד.

שלב 2d: בחר את מופע EC2 ולחץ על 'הוסף לרשום' ולחץ על 'שמור'.

יש לרשום את המקרים כפי שמוצג להלן עבור קבוצת היעד.

שלב 2e: הגיע הזמן ליצור איזון עומס יישומים. לחץ על מאזן העומסים בחלונית השמאלית של מסוף הניהול EC2 ולחץ על 'צור איזון עומסים'.

לחץ על 'צור' עבור 'איזון עומס היישומים'.

ממשיכים במאמר זה בנושא 'כיצד לאבטח יישום אינטרנט באמצעות AWS WAF?'

שלב 2 ו: הזן את השם של איזון עומסי היישומים. וודא שכל אזורי הזמינות נבחרים ולחץ על הבא.

שלב 2 גרם: ב 'הגדר הגדרות אבטחה' לחץ על הבא.

מיזוג דוגמת c ++

ב 'הגדר קבוצות אבטחה' צור קבוצת אבטחה חדשה או בחר אחת מקבוצת האבטחה הקיימת. וודא כי יציאה 80 פתוחה לגישה לדף האינטרנט ב- EC2. לחץ על הבא.

שלב 2h: ב 'הגדר ניתוב' בחר 'קבוצת יעד קיימת' ובחר את זו שנוצרה בשלב הקודם. לחץ על הבא.

שלב 2i: מופעי היעד EC2 כבר נרשמו כחלק מקבוצות היעד. לכן, בכרטיסיה 'הירשם יעד', ללא כל שינוי לחץ על הבא.

שלב 2j: לבסוף, עיין בכל הפרטים של איזון עומסי היישומים ולחץ על צור. איזון עומסי היישומים ייווצר כמוצג להלן.

שלב 2k: קבל את שם הדומיין של איזון העומס של היישומים והחלף את הטקסט המודגש בכתובת האתר שלהלן ופתח אותו בדפדפן. שים לב כי אנו ניגשים ליישום האינטרנט באמצעות איזון עומסי היישומים ותעודות האבטחה מוצגות כמוצג להלן. ניתן לחסום את כתובת האתר שלהלן באמצעות AWS WAF כפי שמוצג בשלבים הבאים כדי לעצור את הדליפה של אישורי האבטחה.

MyALB-1929899948.us-east-1.elb.amazonaws.com ? url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO

שלב 3: יצירת ה- AWS WAF (חומת האש של יישום האינטרנט)

שלב 3 א: עבור למסוף הניהול של AWS WAF ולחץ על 'הגדר ACL באינטרנט'. סקירה כללית של AWS WAF מוצגת. הנה ההיררכיה של AWS WAF. לרשת ACL יש חבורה של כללים ולכללים יש חבורה של תנאים שהיינו יוצרים בשלבים הבאים. לחץ על הבא.

שלב 3b: הזן את שם ה- ACL באינטרנט, האזור כצפון וירג'יניה (או במקום בו נוצר EC2), סוג המשאב כ- 'איזון עומס יישומים' ולבסוף בחר באיזון עומסי היישומים שנוצר בשלב הקודם. לחץ על הבא.

שלב 3 ג: הנה א תנאי לחסימת בקשת יישום אינטרנט ספציפית חייבים ליצור. גלול מטה ולחץ על 'צור תנאי' לתנאים 'מחרוזת והתאמת regex'.

שלב 3: הזן את שם התנאי, הקלד כ'התאמת מחרוזות ', סנן ב'כל פרמטרי השאילתה' ושאר הפרמטרים בדיוק כפי שמוצג להלן. ולחץ על 'הוסף מסנן' ואז על צור. כאן אנו מנסים ליצור תנאי התואם את כתובת ה- URL המכילה את ערך פרמטר השאילתה כ- 169.254.169.254. כתובת IP זו קשורה ל- מטה-נתונים EC2 .

שלב 3e: זה הזמן ליצור כלל שהוא אוסף של תנאים. לחץ על 'צור כלל' וציין את הפרמטרים כפי שמוצג בדיוק למטה. לחץ על 'הוסף תנאי', צור ו'סקור וצור '.

ממשיכים במאמר זה בנושא 'כיצד לאבטח יישום אינטרנט באמצעות AWS WAF?'

התקשר לפי סימוכין c ++

שלב 3 ו: לבסוף עיין בכל הפרטים ולחץ על 'אשר וצור'. רשת ה- ACL (רשימת בקרת גישה) תיווצר ותשויך למאזנת עומסי היישומים כמוצג להלן.

שלב 3 גרם: כעת נסה לגשת לכתובת האתר של איזון עומסים באמצעות הדפדפן כפי שמבוצע ב- שלב 2k . הפעם היינו מקבלים את '403 אסור' מכיוון שכתובת האתר שלנו תואמת למצב ACL באינטרנט ואנחנו חוסמים אותו. הבקשה לעולם לא מגיעה למאזן העומס של היישומים או ליישום האינטרנט ב- EC2. כאן אנו מבחינים שלמרות שהיישום מאפשר גישה לאישורי האבטחה, ה- WAF חוסם את אותו הדבר.

שלב 4: ניקוי משאבי AWS שנוצרו במדריך זה. הניקוי חייב להיעשות באותו סדר בדיוק כפי שצוין בהמשך. זאת על מנת להבטיח ש- AWS תפסיק את החיוב עבור המשאבים המשויכים שנוצרו במסגרת הדרכה זו.

  • מחק תנאי בכלל
  • מחק את הכלל ב- WebACL
  • התנתק מה- ALB ב- WebACL
  • מחק את WebACL
  • מחק את הכלל
  • מחק את המסנן בתנאי
  • מחק את התנאי
  • מחק את ה- ALB ואת קבוצת היעד
  • הפסק את ה- EC2
  • מחק את תפקיד ה- IAM

סיכום

כפי שצוין קודם לכן, יצירת יישום אינטרנט באמצעות AWS היא קלה ומעניינת מאוד. אבל עלינו לוודא שהיישום מאובטח ושהנתונים לא יידלפו לידיים הלא נכונות. ניתן ליישם את האבטחה במספר שכבות. במדריך זה ראינו כיצד להשתמש ב- AWS WAF (חומת האש של יישום האינטרנט) כדי להגן על יישום האינטרנט מפני התקפות כמו התאמה עם כתובת ה- IP של מטה-נתונים EC2. יכולנו להשתמש גם ב- WAF כדי להגן מפני התקפות נפוצות כמו SQL Injection ו- XSS (Cross Site Scripting).

שימוש ב- AWS WAF או למעשה בכל מוצר אבטחה אחר אינו הופך את היישום לאבטח, אך יש להגדיר את המוצר כהלכה. אם הם לא מוגדרים כראוי, הנתונים עשויים להגיע לידיים הלא נכונות כפי שקרה עם Capital One וארגונים אחרים. כמו כן, הדבר החשוב הנוסף שיש לקחת בחשבון הוא שיש לחשוב על אבטחה מהיום הראשון ולא לחבר אותה ליישום בשלב מאוחר יותר.

זה מביא אותנו לסוף מאמר זה בנושא אבטחת יישומי אינטרנט באמצעות AWS WAF. הגענו גם לתכנית לימודים המכסה בדיוק את מה שתצטרך לפצח את בחינת אדריכל הפתרונות! אתה יכול להעיף מבט על פרטי הקורס עבור הַדְרָכָה.

יש לך שאלה עבורנו? אנא הזכיר זאת בסעיף ההערות בבלוג מה זה AWS ונחזור אליך.

מחשוב ענן

קטגוריות

Popular Articles

מה זה נסה למעט בפייתון ואיך זה עובד?

כיצד ליישם שיטות JavaScript תאריך?

כיצד ליישם תוספת של שני מספרים בג'אווה?

מדריך סוויפט: תחילת העבודה עם פיתוח iOS באמצעות סוויפט

איך להיות מפתח טבלו?

כיצד לקרוא ולנתח קובץ XML בג'אווה?

10 המיומנויות המובילות להפוך למהנדס למידת מכונה

מדריך מלא לבדיקות ידניות: כל מה שאתה צריך לדעת

איך אתה צריך לסנן את הנתונים שלך ב- Tableau?

מדריך Maven: כל מה שאתה צריך לדעת כדי להתחיל