Artikel ini akan memberitahu anda bagaimana anda dapat Menggunakan Aplikasi Web Selamat WAF dan ikuti dengan demonstrasi praktikal. Petunjuk berikut akan dibahas dalam artikel ini,
Oleh itu, mari kita mulakan,
Melanjutkan dengan artikel ini mengenai 'Bagaimana Melindungi Aplikasi Web Dengan AWS WAF?'
Bermula Dengan Beberapa Asas
AWS menyediakan perkhidmatan seperti EC2, ELB (Elastic Load Balancer), S3 (Simple Storage Service), EBS (Elastic Block Storage) untuk membuat aplikasi yang berguna dan mewah dengan cepat dan kurang CAPEX (CAPital EXpenditure). Semasa membuat aplikasi ini, sama pentingnya untuk melindungi aplikasi dan melindungi data. Jika tidak diamankan dengan benar, data aplikasi mungkin tersalah tangan seperti yang berlaku baru-baru ini Kejadian Capital One .
Capital One menghoskan Aplikasi Web di EC2 dan tidak dilindungi dengan betul. Seorang bekas pekerja AWS dapat memanfaatkan kerentanan ini dan memuat turun data pelanggan dari S3. Kemudian didapati bahawa data dari 30 organisasi lain juga dimuat turun dari AWS. Oleh itu, untuk menekankannya lagi, tidak hanya cukup untuk membuat arkitek dan merancang aplikasi, tetapi juga penting untuk melindungi aplikasi.
Modal Satu digunakan AWS WAF (Firewall Aplikasi Web) untuk melindungi Aplikasi Web, tetapi tidak dikonfigurasi dengan betul kerana yang mana peretas dapat memperoleh akses ke data di S3 dan memuat turunnya. Dalam artikel ini kita akan meneroka cara menggunakan dan mengkonfigurasi AWS WAF untuk melindungi daripada serangan web biasa seperti SQL Injection, XSS (Cross Site Scripting) dll. AWS WAF mesti dikonfigurasi bersama dengan Pengimbang Beban Aplikasi , CloudFront atau API Gateway. Dalam senario ini, kita akan menggunakan Pengimbang Beban Aplikasi. Sebarang permintaan dari pelanggan melalui penyemak imbas akan melalui AWS WAF dan kemudian ke Application Load Balancer dan akhirnya ke Aplikasi Web di EC2. AWS WAF boleh digunakan untuk sekat permintaan jahat dari penggodam menggunakan sekumpulan peraturan dan syarat.
Melanjutkan dengan artikel ini mengenai 'Bagaimana Melindungi Aplikasi Web Dengan AWS WAF?'
Urutan langkah untuk memulakan AWS WAF
Langkah 1: Membuat aplikasi web yang rentan,
Langkah pertama adalah membuat aplikasi web yang rentan terhadap serangan SSRF (Server Side Request Forgery) seperti yang disebutkan dalam ini Blog bagaimana serangan Capital One berlaku. Blog ini mempunyai urutan langkah untuk:
- Buat EC2
- Pasang perisian yang diperlukan untuk membuat aplikasi web dengan kerentanan SSRF
- Buat dan peranan IAM dengan kebenaran S3 Baca Sahaja
- Lampirkan peranan IAM ke EC2
- Akhirnya, manfaatkan kerentanan SSRF untuk mendapatkan Kredensial Keselamatan yang berkaitan dengan peranan IAM.
Setelah urutan langkah selesai di blog yang disebutkan, ganti 5.6.7.8 dengan alamat IP Umum EC2 di URL di bawah dan buka di penyemak imbas. Kelayakan Keselamatan yang berkaitan dengan Peranan IAM harus dipaparkan di penyemak imbas seperti yang ditunjukkan di bawah. Ini adalah bagaimana pada dasarnya Capital One digodam. Dengan adanya Kredensial Keselamatan, penggodam dapat mengakses perkhidmatan AWS lain seperti S3 untuk memuat turun data.
http://5.6.7.8:80?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
struktur data dan algoritma dalam tutorial java
Langkah 2: Membuat Pengimbang Beban Aplikasi
AWS WAF tidak boleh dikaitkan secara langsung dengan Aplikasi Web. Tetapi, hanya dapat dikaitkan dengan Application Load Balancer, CloudFront dan API Gateway. Dalam tutorial ini, kita akan membuat Pengimbang Beban Aplikasi dan mengaitkan AWS WAF dengan yang sama.
Langkah 2a: Kumpulan Sasaran adalah kumpulan contoh EC2 dan mesti dibuat sebelum membuat Pengimbang Beban Aplikasi. Di Konsol Pengurusan EC2, klik pada Kumpulan Sasaran di panel kiri dan klik pada 'Buat kumpulan sasaran'.
Langkah 2b: Masukkan nama Kumpulan Sasaran dan klik 'Buat'. Kumpulan Sasaran akan berjaya dibuat.
Langkah 2c: Pastikan Kumpulan Sasaran dipilih dan klik pada tab Sasaran dan klik pada edit untuk mendaftarkan kejadian EC2 dengan Kumpulan Sasaran.
Langkah 2d: Pilih contoh EC2 dan klik 'Tambah ke yang terdaftar' dan klik 'Simpan'.
Contohnya harus didaftarkan seperti yang ditunjukkan di bawah ini untuk Kumpulan Sasaran.
Langkah 2e: Masa untuk membuat Pengimbang Beban Aplikasi. Klik pada Load Balancer di panel kiri EC2 Management Console dan klik pada 'Create Load Balancer'.
Klik 'Buat' untuk 'Pengimbang Beban Aplikasi'.
Melanjutkan dengan artikel ini mengenai 'Bagaimana Melindungi Aplikasi Web Dengan AWS WAF?'
Langkah 2f: Masukkan nama Pengimbang Beban Aplikasi. Dan pastikan semua Zon Ketersediaan dipilih dan klik Seterusnya.
Langkah 2g: Dalam 'Konfigurasi Tetapan Keselamatan' klik Next.
Dalam 'Konfigurasi Kumpulan Keselamatan' buat Kumpulan Keselamatan baru atau pilih salah satu Kumpulan Keselamatan yang ada. Pastikan port 80 terbuka untuk mengakses halaman web di EC2. Klik Seterusnya.
Langkah 2h: Dalam 'Configure Routing' pilih 'Kumpulan sasaran yang ada' dan pilih yang telah dibuat pada langkah sebelumnya. Klik Seterusnya.
Langkah 2i: Contoh sasaran EC2 telah didaftarkan sebagai sebahagian daripada Kumpulan Sasaran. Jadi, di tab 'Daftar Sasaran', tanpa perubahan klik pada Seterusnya.
Langkah 2j: Akhirnya, kaji semua butiran Pengimbang Beban Aplikasi dan klik Buat. Pengimbang Beban Aplikasi akan dibuat seperti gambar di bawah.
Langkah 2k: Dapatkan nama domain Pengimbang Beban Aplikasi dan ganti teks yang diserlahkan di URL di bawah dan buka yang sama di penyemak imbas. Perhatikan bahawa kami mengakses Aplikasi Web melalui Pengimbang Beban Aplikasi dan Kredensial Keselamatan ditunjukkan seperti yang ditunjukkan di bawah. URL di bawah boleh disekat dengan menggunakan AWS WAF seperti yang ditunjukkan pada langkah-langkah berikutnya untuk menghentikan kebocoran Surat Kepercayaan Keselamatan.
MyALB-1929899948.us-east-1.elb.amazonaws.com ? url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
Langkah 3: Membuat AWS WAF (Firewall Aplikasi Web)
Langkah 3a: Pergi ke AWS WAF Management Console dan klik pada “Configure web ACL”. Gambaran keseluruhan AWS WAF ditunjukkan. Inilah hierarki AWS WAF. Web ACL mempunyai banyak Peraturan dan Peraturan mempunyai banyak Syarat yang akan kami buat pada langkah-langkah berikutnya. Klik Seterusnya.
apa itu jit compiler di java
Langkah 3b: Masukkan nama Web ACL, Wilayah sebagai Virginia Utara (atau tempat EC2 dibuat), jenis sumber sebagai 'Application Load Balancer' dan akhirnya pilih Application Load Balancer yang dibuat pada langkah sebelumnya. Klik Seterusnya.
Langkah 3c: Di sini a syarat untuk menyekat permintaan aplikasi web tertentu mesti dibuat. Tatal ke bawah dan klik 'Buat syarat' untuk 'Ketentuan rentetan dan padanan regex'.
Langkah 3d: Masukkan nama kondisi, Jenis sebagai 'String match', saring pada 'Semua parameter pertanyaan' dan sisa parameter seperti yang ditunjukkan di bawah. Dan klik 'Tambah penapis' dan kemudian Buat. Di sini kita cuba membuat keadaan yang sepadan dengan URL yang mengandungi nilai parameter pertanyaan sebagai 169.254.169.254. Alamat IP ini berkaitan dengan Metadata EC2 .
Langkah 3e: Sekarang adalah masa untuk membuat peraturan yang merupakan kumpulan syarat. Klik pada 'Buat aturan' dan tentukan parameter seperti yang ditunjukkan di bawah ini. Klik pada 'Tambah Kondisi', Buat dan 'Tinjau dan buat'.
Melanjutkan dengan artikel ini mengenai 'Bagaimana Melindungi Aplikasi Web Dengan AWS WAF?'
Langkah 3f: Akhirnya tinjau semua butiran dan klik pada “Confirm and create”. Web ACL (Daftar Kawalan Akses) akan dibuat dan dikaitkan dengan Penyeimbang Beban Aplikasi seperti yang ditunjukkan di bawah.
Langkah 3g: Sekarang cuba untuk mengakses URL Load Load Balancer melalui penyemak imbas seperti yang dilakukan di Langkah 2k . Kali ini kita akan mendapat '403 Dilarang' kerana URL kita sesuai dengan syarat ACL Web dan kita menyekatnya. Permintaan tidak pernah sampai ke Pengimbang Beban Aplikasi atau Aplikasi Web di EC2. Di sini kita perhatikan bahawa walaupun aplikasi membenarkan akses ke Kredensial Keselamatan, WAF juga menyekat.
Langkah 4: Membersihkan sumber AWS yang dibuat dalam tutorial ini. Pembersihan mesti dilakukan dengan urutan yang sama seperti yang disebutkan di bawah. Ini untuk memastikan bahawa AWS menghentikan penagihan untuk sumber berkaitan yang dibuat sebagai sebahagian daripada tutorial ini.
- Padamkan Keadaan dalam Peraturan
- Padamkan Peraturan di WebACL
- Putuskan hubungan ALB di WebACL
- Padamkan WebACL
- Padamkan Peraturan
- Padamkan penapis dalam Keadaan
- Padamkan Keadaan
- Padamkan ALB dan Kumpulan Sasaran
- Tamatkan EC2
- Padamkan Peranan IAM
Kesimpulannya
Seperti disebutkan sebelumnya, membuat Aplikasi Web menggunakan AWS sangat mudah dan menarik. Tetapi kita juga harus memastikan bahawa aplikasinya selamat dan data tidak bocor ke tangan yang salah. Keselamatan dapat diterapkan pada beberapa lapisan. Dalam tutorial ini kita telah melihat bagaimana menggunakan AWS WAF (Firewall Aplikasi Web) untuk melindungi Aplikasi Web daripada serangan seperti pemadanan dengan alamat IP Metadata EC2. Kita juga dapat menggunakan WAF untuk melindungi dari serangan umum seperti SQL Injection dan XSS (Cross Site Scripting).
Menggunakan AWS WAF atau sebenarnya produk keselamatan lain tidak menjadikan aplikasi selamat, tetapi produk mesti dikonfigurasikan dengan betul. Sekiranya tidak dikonfigurasi dengan betul, data mungkin tersalah tangan seperti yang berlaku dengan Capital One dan Organisasi lain. Selain itu, perkara penting lain yang perlu dipertimbangkan adalah bahawa Keselamatan mesti difikirkan dari hari pertama dan tidak disambungkan ke aplikasi di peringkat kemudian.
Ini membawa kita ke akhir artikel ini mengenai Cara Melindungi Aplikasi Web Dengan AWS WAF. Kami juga telah menyediakan kurikulum yang merangkumi apa yang anda perlukan untuk menyelesaikan Ujian Arkitek Penyelesaian! Anda boleh melihat perincian kursus untuk latihan.
Ada soalan untuk kami? Sila sebutkan di bahagian komen di blog What is AWS ini dan kami akan menghubungi anda.