Download - Adicionando segurança web: AWS WAF
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Adicionando Segurança Web
AWS WAF
Heitor Vital, Arquiteto de Soluções - AWS Brasil
Gleicon Moraes, Gerente de Infraestrutura & Big Data - Magazine Luiza
Junho 2016
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
Website sem AWS WAF
Usuários
Atacantes
WebsiteExploit
Website com AWS WAF
WebsiteExploit
Usuários
Atacantes
O que é AWS WAF?
Firewall de aplicativo da web (WAF) permite
criar mecanismos de controle que ajudam a
decidir quais requisições podem ou não
acessar seu website
• Full-feature API
• Regras de segurança customizáveis
• Integrado com Amazon CloudFront – proteção na
borda
• Casos de uso: proteção contra exploits, abuso e DDoS
na aplicação
O que é AWS Lambda?
O AWS Lambda permite que você execute
códigos sem provisionar ou gerenciar
servidores.
• “Server-less” scripting; Ações baseadas em eventos
• Possui integração com outros serviços da AWS
• Casos de uso: ação em resposta a eventos,
agendamento de tarefa, server-less backend etc.
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
• Fontes de ataques são persistentes e adaptáveis
• Melhor proteção
• Análises customizadas mais elaboradas e levando em
consideração especificidade de cada aplicação
• Integração com fonte de dados públicas
Por que criar automação de proteção?
Automação de Proteção
Usuários
Logs Análises de Ameaças
Atualizador de regras
Web siteRegrasExploit
Atacantes
Automação de Proteção – modelo tradicional
LogsWeb siteExploit
Usuários
Atacantes
Regras Análises de Ameaças
Atualizador de regras
Automação de Proteção – AWS
LogsWeb siteExploit
Atualizador de regras
Atacantes
Usuários
Regras Análises de Ameaças
Outros serviços que também usaremos
Amazon CloudFront Amazon CloudWatch AWS CloudFormation
Amazon S3 Amazon API Gateway
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
IP reputation lists
Coleção de IPs com histórico de problemas ou
fontes conhecidas de ataques
• Open proxies ou hosts conhecidos por enviar
spam/trojans/virus
• Lista constantemente mudando e sendo atualizada
• Solução: configurar função agendada que consulta
listas públicas (ex: Emerging Threats, Spamhause, Tor
Node list) e atualiza automaticamente as regras de
bloqueio no WAF
IP reputation lists (cont’d)
IP reputation lists (cont’d)
<Demo>
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
HTTP floods
Requisições válidas em uma quantidade que
comprometem os recursos do servidor
• Requisições direcionadas a serviços/páginas de algo
consumo de recursos. (ex: login, busca de produtos
etc)
• Diferentemente de outros ataques de flood, aqui as
requisições são válidas
• Problema para diferenciar requisições de usuários
válidos de atacantes
• Solução: analisar logs de acesso para identificar
origens com número de acesso acima do
considerado normal.
Atacantes
HTTP floods (cont’d)
HTTP floods (cont’d)
<Demo>
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
Scans & probes
Sistemas que analisam aplicações web em
busca de vulnerabilidades
• Seus scans – excelente; executados por fonte não
autorizada/desconhecida – mau sinal.
• Algo ou alguém mal intencionado
• Consomem recuros ao acessar URLs que não
existem
• Solução: analisar logs de acesso para identificar
origens com alto número de requisições que
geraram erro 40x
Scans & probes (cont’d)
HTTP 4xx error codes
Scans & probes (cont’d)
<Demo>
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
Bots & scrappers
Aplicações que executam busca automática
através da internet
• Good bots (engines de busca, inteligência/comparador
de preço …) vs bad bots (cópia de conteúdo, roubo de
dados, malware …)
• Constantemente evoluindo/adaptando-se
• Solução: usar robots.txt e um “honeypot” para
identificar (e bloquear) ofensores
Bots & scrappers (cont’d)
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
“Equilibrar a segurança com o
desempenho, custo e escalabilidade”
“Com os controles que
o AWS WAF e
CloudFront,
implementamos uma
arquitetura escalavel e
simples. O beneficio
imediato foi custo e
disponibilidade, sem
aumento de equipe.”
Gleicon Moraes
• Uma das maiores redes de
varejo do Brasil
• Números
• +700 Lojas
• +24.000 Pessoas
• 8 CDs
• Plataforma de e-commerce
Desafio
• WAFs tradicionais:1. Perfis de aplicações tradicionais
2. Difíceis de escalar na nuvem - limitação de banda e CPU
3. Automação requer banda e hardware para processamento de logs
• Bloquear Bots e Crawlers mal intencionados (com base
em IP) sem afetar a navegação e experiência do cliente
• Ter uma solução em tempo para Black Friday
Arquitetura Anterior
Arquitetura Atual
Marcos Antes do Black Friday
• Setembro
• Confirmado nova arquitetura
• Início desenvolvimento
• Outubro
• Nova estrutura pronta para entrar em produção
• Novembro
• Virada de todo o tráfego para nova estrutura
Lições Aprendidas
• Identifique o que necessita de proteção
• Comece pequeno e evolua incrementalmente
• Use a ferramenta adequada para o trabalho
• Python
• Libs
• Considere o tempo entre receber arquivo de logs e processá-lo
• Defesa em camadas
• Regras simples na borda
• Regras complexas perto da aplicação ou assíncrono
Material de Apoio
Security Blogs
• HTTP Floods Heitor Vital <[email protected]>
• Scans & Probes Ben Potter <[email protected]>
• Bots & Scrappers Vlad Vlasceanu <[email protected]>
• IP Reputation Lists Lee Atkinson <[email protected]>
Tutorials Page
• aws.amazon.com/waf/preconfiguredrules/
Obrigado!