Ovaj će vam članak objasniti kako možete zaštititi web programe WAF i pratite ga praktičnom demonstracijom. U ovom će članku biti obrađeni sljedeći smjerovi,
Pa krenimo onda,
Nastavljamo s ovim člankom o 'Kako osigurati web aplikaciju s AWS WAF?'
Početak rada s nekim osnovama
AWS pruža usluge poput EC2, ELB (Elastic Load Balancer), S3 (Simple Storage Service), EBS (Elastic Block Storage) za stvaranje korisnih i otmjenih aplikacija brzo i s manje CAPEX-a (KAPITALNI RASHOD). Tijekom stvaranja ovih aplikacija jednako je važno osigurati aplikaciju i zaštititi podatke. Ako nisu pravilno osigurani, podaci aplikacije mogu doći u pogrešne ruke kao u slučaju nedavnih Kapitalni incident .
Capital One bio je domaćin web aplikaciji na EC2 i nije bila pravilno osigurana. Bivši zaposlenik AWS-a uspio je iskoristiti ovu ranjivost i preuzeti hrpe korisničkih podataka sa S3. Kasnije je utvrđeno da su podaci s 30 drugih organizacija također preuzeti s AWS-a. Dakle, da opet naglasimo, nije dovoljno samo dizajnirati i dizajnirati aplikaciju, već je jednako važno osigurati aplikaciju.
Kapital Jedan korišten AWS WAF (vatrozid web aplikacija) za zaštitu web aplikacije, ali nije bila ispravno konfigurirana zbog čega je haker uspio dobiti pristup podacima u S3 i preuzeti ga. U ovom ćemo članku istražiti kako koristiti i konfigurirati AWS WAF za zaštitu od uobičajenih web napada poput SQL Injection, XSS (Cross Site Scripting) itd. AWS WAF mora biti konfiguriran zajedno s Uravnoteživač opterećenja aplikacije , CloudFront ili API Gateway. U ovom ćemo scenariju koristiti Application Load Balancer. Svaki zahtjev kupca putem preglednika proći će kroz AWS WAF, a zatim do Balancera učitavanja aplikacija i na kraju do web aplikacije na EC2. AWS WAF se može koristiti za blokirati zlonamjerni zahtjev od hakera koristeći skup pravila i uvjeta.
Nastavljamo s ovim člankom o 'Kako osigurati web aplikaciju s AWS WAF?'
Slijed koraka za započinjanje rada s AWS WAF
Korak 1: Izrada ranjive web aplikacije,
Prvi korak je stvaranje web aplikacije koja je ranjiva na SSRF (Server Side Request Forgery) napade kao što je spomenuto u ovom Blog o tome kako se dogodio napad Capital One. Ovaj blog ima slijed koraka za:
- Stvorite EC2
- Instalirajte potreban softver za stvaranje web aplikacije s ranjivošću SSRF
- Stvaranje i IAM uloga s dozvolama S3 samo za čitanje
- Priložite ulogu IAM na EC2
- Napokon, iskoristite ranjivost SSRF da biste dobili sigurnosne vjerodajnice povezane s ulogom IAM-a.
Nakon što je slijed koraka završen u spomenutom blogu, zamijenite 5.6.7.8 javnom IP adresom EC2 u donjem URL-u i otvorite ga u pregledniku. Sigurnosne vjerodajnice povezane s ulogom IAM-a trebale bi biti prikazane u pregledniku kao što je prikazano u nastavku. Tako je u osnovi hakiran Capital One. S sigurnosnim vjerodajnicama u rukama, haker je mogao pristupiti drugim AWS uslugama poput S3 za preuzimanje podataka.
http://5.6.7.8:80?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
Korak 2: Izrada uravnoteživača opterećenja aplikacije
AWS WAF ne može se izravno povezati s web aplikacijom. Ali, može se povezati samo s Application Load Balancerom, CloudFrontom i API Gatewayom. U ovom uputstvu kreirali bismo Aplikacija za uravnoteženje opterećenja i pridruživanje AWS WAF s istim.
Korak 2a: Ciljna grupa je zbirka EC2 primjeraka i mora se stvoriti prije stvaranja Balancera opterećenja aplikacija. U upravljačkoj konzoli EC2 kliknite ciljnu skupinu u lijevom oknu i kliknite na 'Stvori ciljnu skupinu'.
Korak 2b: Unesite naziv ciljne grupe i kliknite na 'Stvori'. Ciljna grupa bit će uspješno stvorena.
java parse string do danas
Korak 2c: Provjerite je li odabrana ciljna skupina i kliknite karticu Ciljevi i kliknite Uredi da biste registrirali EC2 instance s ciljnom skupinom.
Korak 2d: Odaberite instancu EC2 i kliknite na „Dodaj registriranom“ i kliknite na „Spremi“.
Primjerke treba registrirati kao što je prikazano dolje za ciljnu skupinu.
Korak 2e: Vrijeme je za stvaranje Balancera opterećenja aplikacije. Kliknite Load Load Balancer u lijevom oknu konzole za upravljanje EC2 i kliknite na 'Create Load Balancer'.
Kliknite 'Izradi' za 'Balancer opterećenja aplikacija'.
Nastavljamo s ovim člankom o 'Kako osigurati web aplikaciju s AWS WAF?'
Korak 2f: Unesite ime Application Balancera. Provjerite jesu li odabrane sve zone dostupnosti i kliknite Dalje.
Korak 2g: U 'Konfiguriranje sigurnosnih postavki' kliknite Dalje.
U “Konfiguriranje sigurnosnih grupa” stvorite novu Sigurnosnu grupu ili odaberite jednu od postojećih Sigurnosnih grupa. Provjerite je li ulaz 80 otvoren za pristup web stranici na EC2. Kliknite Dalje.
Korak 2h: U “Konfiguriranje usmjeravanja” odaberite “Postojeća ciljna skupina” i odaberite onu koja je kreirana u prethodnom koraku. Kliknite Dalje.
Korak 2i: Ciljani EC2 primjerci već su registrirani kao dio ciljnih skupina. Dakle, na kartici 'Registriraj cilj', bez ikakvih promjena kliknite Dalje.
Korak 2j: Na kraju, pregledajte sve detalje Balancera učitavanja aplikacija i kliknite Stvori. Izrađivač uravnoteženja opterećenja aplikacije kreirao bi se kao što je prikazano u nastavku.
duboko i plitko kloniranje u javi
Korak 2k: Dohvatite naziv domene Application Load Balancera i zamijenite ga istaknutim tekstom u donjem URL-u i otvorite isti u pregledniku. Imajte na umu da web-aplikaciji pristupamo putem Application Load Balancera i sigurnosne vjerodajnice su prikazane kao što je prikazano u nastavku. URL u nastavku može se blokirati upotrebom AWS WAF-a kako je prikazano u sljedećim koracima kako bi se zaustavilo curenje sigurnosnih vjerodajnica.
MyALB-1929899948.us-east-1.elb.amazonaws.com ? url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
Korak 3: Stvaranje AWS WAF (vatrozid web aplikacija)
Korak 3a: Idite na AWS WAF Management Console i kliknite 'Konfiguriranje web ACL-a'. Prikazuje se pregled AWS WAF. Evo hijerarhije AWS WAF. Web ACL ima hrpu pravila i pravila imaju hrpu uvjeta koje bismo stvorili u sljedećim koracima. Kliknite Dalje.
Korak 3b: Unesite naziv web ACL-a, Regija kao Sjeverna Virginia (ili gdje je stvoren EC2), vrstu resursa kao „Application Load Balancer“ i na kraju odaberite Application Load Balancer koji je stvoren u prethodnom koraku. Kliknite Dalje.
Korak 3c: Ovdje a uvjet za blokiranje određenog zahtjeva web aplikacije mora se stvoriti. Pomaknite se prema dolje i kliknite na 'Stvori uvjet' za 'Uvjeti podudaranja niza i regularnih izraza'.
Korak 3d: Unesite naziv uvjeta, tip kao 'String match', filtrirajte 'All query parameters' i ostale parametre točno kako je prikazano u nastavku. I kliknite na 'Dodaj filtar', a zatim na Stvori. Ovdje pokušavamo stvoriti uvjet koji odgovara URL-u koji sadrži vrijednost parametra upita kao 169.254.169.254. Ova se IP adresa odnosi na EC2 metapodaci .
Korak 3e: Sada je vrijeme za stvaranje pravila koje je skup uvjeta. Kliknite 'Stvori pravilo' i navedite parametre kako je točno prikazano u nastavku. Kliknite 'Dodaj uvjet', Stvori i 'Pregledaj i izradi'.
Nastavljamo s ovim člankom o 'Kako osigurati web aplikaciju s AWS WAF?'
Korak 3f: Na kraju pregledajte sve detalje i kliknite na 'Potvrdi i izradi'. Web ACL (Popis kontrole pristupa) će se stvoriti i povezati s Balancerom opterećenja aplikacija, kao što je prikazano u nastavku.
funkcija sortiranja u c ++
Korak 3g: Sada pokušajte pristupiti URL-u Balancera učitavanja aplikacija putem preglednika kako je izvedeno u Korak 2k . Ovoga puta dobivali bismo '403 zabranjeno' jer se naš URL podudara s uvjetima web ACL-a i mi ga blokiramo. Zahtjev nikada ne dolazi do Balancera opterećenja aplikacija ili web aplikacije na EC2. Ovdje primjećujemo da, iako aplikacija dopušta pristup sigurnosnim vjerodajnicama, WAF to isto blokira.
Korak 4: Čišćenje resursa AWS stvorenih u ovom vodiču. Čišćenje se mora obaviti potpuno istim redoslijedom kao što je spomenuto u nastavku. To je osiguravanje da AWS zaustavi naplatu za povezane resurse stvorene kao dio ovog vodiča.
- Izbriši uvjet u pravilu
- Izbrišite pravilo u WebACL-u
- Prekinite udruživanje ALB-a s WebACL-om
- Izbrišite WebACL
- Izbriši pravilo
- Izbrišite filtar iz stanja
- Izbrišite uvjet
- Izbrišite ALB i ciljnu skupinu
- Završite EC2
- Izbrišite IAM ulogu
Zaključak
Kao što je ranije spomenuto, stvaranje web aplikacije pomoću AWS-a vrlo je jednostavno i zanimljivo. Ali također moramo osigurati da je aplikacija sigurna i da podaci ne propuštaju u pogrešne ruke. Sigurnost se može primijeniti na više slojeva. U ovom uputstvu vidjeli smo kako se koristi AWS WAF (vatrozid web aplikacije) za zaštitu web aplikacije od napada poput podudaranja s IP adresom EC2 metapodataka. Mogli smo koristiti i WAF za zaštitu od uobičajenih napada poput SQL Injection i XSS (Cross Site Scripting).
Korištenje AWS WAF ili zapravo bilo kojeg drugog sigurnosnog proizvoda ne čini aplikaciju sigurnom, ali proizvod mora biti pravilno konfiguriran. Ako nisu ispravno konfigurirani, podaci bi mogli doći u pogrešne ruke kao što se dogodilo s Capital One i drugim organizacijama. Također, druga važna stvar koju treba uzeti u obzir jest da se o sigurnosti mora razmišljati od prvog dana, a ne da se kasnije uključuje u aplikaciju.
Ovo nas dovodi do kraja ovog članka o Kako osigurati web aplikacije s AWS WAF. Također smo osmislili nastavni plan i program koji pokriva točno ono što vam treba za polaganje ispita Solution Architect! Možete pogledati detalje tečaja za trening.
Imate pitanje za nas? Molimo vas da ga spominjete u odjeljku za komentare ovog bloga Što je AWS, a mi ćemo vam se javiti.