- Seguridad, identidad y conformidad›
- AWS WAF›
- Preguntas frecuentes
Preguntas frecuentes sobre AWS WAF
Aspectos generales
¿Qué es AWS WAF?
AWS WAF es un firewall para aplicaciones web que ayuda a proteger aplicaciones web contra ataques al permitirle configurar reglas que habilitan, bloquean o monitorean (cuentan) las solicitudes web a partir de las condiciones que usted defina. Las condiciones incluyen direcciones IP, encabezados HTTP, cadenas URI, inyección de código SQL y scripts entre sitios.
¿De qué manera AWS WAF bloquea o habilita el tráfico?
Cuando el servicio subyacente recibe solicitudes para sus sitios web, las envía a AWS WAF para que las inspeccione de acuerdo con sus normas. Cuando la solicitud cumple una de las condiciones definidas en las reglas, AWS WAF ordena al servicio subyacente que bloquee o habilite la solicitud dependiendo de la acción que haya definido.
¿De qué manera AWS WAF protege mi sitio web o aplicación?
AWS WAF está muy integrado con Amazon CloudFront y el balanceador de carga de aplicaciones (ALB), Amazon API Gateway y AWS AppSync, servicios que los clientes de AWS utilizan con frecuencia a fin de ofrecer contenido para sus sitios web y aplicaciones. Cuando utiliza AWS WAF en Amazon CloudFront, sus reglas se ejecutan en todas las ubicaciones de borde de AWS, distribuidas en todo el mundo, cerca de sus usuarios finales. Por lo tanto, no se sacrifica el rendimiento en favor de la seguridad. Las solicitudes bloqueadas se detienen antes de llegar a los servidores web. Al utilizar AWS WAF en servicios regionales, como el balanceador de carga de aplicaciones, Amazon API Gateway y AWS AppSync, las reglas se ejecutan en la región y se pueden utilizar para proteger tanto a los recursos con conexión a Internet como a los recursos internos.
¿Puedo usar AWS WAF para proteger sitios web que no estén alojados en AWS?
Sí, AWS WAF se integra con Amazon CloudFront, que admite los orígenes personalizados ajenos a AWS.
¿Qué tipos de ataque puede ayudar a detener AWS WAF?
AWS WAF lo ayuda a proteger su sitio web de técnicas comunes de ataque, como la inyección de código SQL y el scripting entre sitios (XSS). Además, puede crear reglas que puedan bloquear o limitar el tráfico de agentes de usuario específicos, de direcciones IP específicas o que contengan encabezados de solicitud particulares. Consulte la Guía para desarrolladores de AWS WAF si desea ver ejemplos.
¿Qué capacidades de mitigación de bots están disponibles con AWS WAF?
AWS WAF Bot Control brinda visibilidad y control sobre el tráfico de bots común y generalizado hacia sus aplicaciones. Con Bot Control, puede controlar, bloquear o limitar fácilmente los bots generales, como raspadores, arañas y rastreadores y puede permitir bots comunes, como monitores de estado y motores de búsqueda. Puede usar el grupo de reglas administradas de Bot Control junto con otras reglas administradas para WAF o con sus propias reglas personalizadas de WAF para proteger sus aplicaciones. Consulte la sección AWS WAF Bot Control en la guía para desarrolladores.
¿Puedo obtener el historial de todas las llamadas a la API de AWS WAF realizadas en mi cuenta a fin de realizar auditorías operativas, de conformidad o seguridad?
Sí. Para recibir un historial de todas las llamadas a la API de AWS WAF realizadas en la cuenta, solo tiene que activar AWS CloudTrail en la Consola de administración de AWS de CloudTrail. Para obtener más información, visite la página de inicio de AWS CloudTrail o la Guía para desarrolladores de AWS WAF.
¿AWS WAF es compatible con IPv6?
Sí, la compatibilidad con IPv6 permite a AWS WAF inspeccionar las solicitudes HTTP/S provenientes de direcciones IPv4 e IPv6.
¿La condición de emparejamiento IPSet para una regla de AWS WAF es compatible con IPv6?
Sí, puede configurar nuevas condiciones de emparejamiento IPv6 para WebACL nuevas y existentes, tal y como se describe en la documentación.
¿Aparecerán direcciones IPv6 en las solicitudes de muestra de AWS WAF cuando corresponda?
Sí. Las solicitudes de muestra mostrarán las direcciones IPv6 cuando proceda.
¿Puedo utilizar IPv6 con todas las características de AWS WAF?
Sí. Podrá utilizar todas las características existentes para el tráfico a través de IPv4 e IPv6 sin que se produzcan cambios perceptibles en el desempeño, la escalabilidad o la disponibilidad del servicio.
¿Qué servicios admite AWS WAF?
AWS WAF puede implementarse en Amazon CloudFront, el balanceador de carga de aplicaciones (ALB), Amazon API Gateway y AWS AppSync. Como parte de Amazon CloudFront, puede integrar su Content Distribution Network (CDN, red de distribución de contenido) y proteger los recursos y el contenido en las ubicaciones de borde. Como parte del Application Load Balancer, puede proteger los servidores web de origen detrás del ALB. Como parte de Amazon API Gateway, puede ayudar a proteger las API REST. Como parte de AWS AppSync, puede ayudar a asegurar y proteger las API de GraphQL.
¿En qué regiones de AWS está disponible AWS WAF?
Consulte la tabla de servicios de las regiones de AWS.
¿AWS WAF es compatible con HIPAA?
Sí, AWS amplió su programa de conformidad con HIPAA para incluir AWS WAF como un servicio elegible para HIPAA. Si tiene un Acuerdo de Asociado de Negocios (BAA) con AWS, puede usar AWS WAF para proteger aplicaciones web de vulnerabilidades web comunes. Para obtener más información, consulte Conformidad con HIPAA.
¿Cómo se aplican los precios de AWS WAF? ¿Existen costos iniciales?
AWS WAF cobra por el número de listas de control de acceso web (ACL web) que se crean, el número de reglas que se añaden por ACL web y el número de solicitudes web que se reciben. No se requiere ningún compromiso inicial. Los cargos de AWS WAF son adicionales a los precios de Amazon CloudFront, el equilibrador de carga de aplicación (ALB), Amazon API Gateway o AWS AppSync.
¿Qué es la regla basada en la tasa de AWS WAF?
Las reglas basadas en tasas son el tipo de reglas que se pueden configurar en AWS WAF, lo que permite que pueda especificar la cantidad de solicitudes web admitidas por una IP de cliente en un punto final de 5 minutos, actualizado constantemente. Si una dirección IP supera el límite configurado, se bloquearán las nuevas solicitudes hasta que la tasa de solicitudes sea inferior al umbral configurado.
¿En qué se diferencia una regla basada en tasas de una regla de AWS WAF convencional?
Las reglas basadas en tasas son parecidas a las reglas convencionales, con una diferencia: la capacidad de configurar un umbral basado en tasas. Si, por ejemplo, el umbral de la regla basada en la tasa se configura en, por ejemplo, 2000, la regla bloqueará todas las direcciones IP que hayan tenido más de 2000 solicitudes en el último intervalo de 5 minutos. Una regla basada en tarifa también puede incluir cualquier otra condición de AWS WAF disponible para una regla normal.
¿Cuánto cuesta una regla basada en tasas?
Una regla basada en la tasa cuesta lo mismo que una regla de AWS WAF convencional, es decir, 1 USD por regla por WebACL por mes.
¿Cuáles son los casos de uso de las reglas basada en tasas?
Estos son algunos de los casos de uso populares para los que los clientes pueden utilizar las reglas basadas en la tasa:
- Quiero bloquear o contar una dirección IP cuando esta exceda la tasa de umbral configurada (configurable en solicitudes web por punto final de 5 minutos).
- Quiero saber qué direcciones IP se bloquean actualmente porque exceden la tasa de umbral configurada.
- Quiero que las direcciones IP agregadas a la lista de bloqueo se eliminen automáticamente cuando ya no infrinjan la tasa de umbral configurada.
- Quiero impedir que mis reglas basadas en tasas agreguen ciertos rangos de IP de origen de tráfico elevado para que sean bloqueados.
¿Las condiciones de emparejamiento existentes son compatibles con las reglas basadas en tasas?
Sí. Las reglas basadas en la tasa son compatibles con las condiciones de emparejamiento de AWS WAF existentes. Eso le permite refinar todavía más sus criterios de emparejamiento y limitar las migraciones basadas en la tasa a URL específicas de su sitio web o el tráfico procedente de orígenes de referencia específicos (o agentes de usuario) o añadir otros criterios de emparejamiento personalizados.
¿Puedo usar la regla basada en tasas para mitigar ataques DDoS en la capa web?
Sí. Este nuevo tipo de regla está diseñado para protegerle de casos de uso como los ataques DDoS en la capa web, los intentos de inicio de sesión por fuerza bruta y los bots dañinos.
¿Qué características de visibilidad ofrecen las reglas basadas en tasas?
Las reglas basadas en tasas admiten todas las características de visibilidad disponibles actualmente en las reglas de AWS WAF convencionales. Además, dispondrá de visibilidad de las direcciones IP bloqueadas como consecuencia de la regla basada en la tasa.
¿Puedo usar la regla basada en tasas para limitar el acceso a ciertas partes de mi página web?
Sí. Aquí tiene un ejemplo. Suponga que quiere limitar las solicitudes en la página de inicio de sesión de su sitio web. Para ello, podría añadir la siguiente condición de emparejamiento de cadenas en una regla basada en la tasa:
- La parte de la solicitud que se filtrará es “URI”.
- El tipo de emparejamiento es “Starts with”.
- Un valor a emparejar es “/login” (tiene que ser aquello que identifique a la página de inicio de sesión en la porción URI de la solicitud web).
Además, debe especificar un límite de la tasa de, por ejemplo, 15 000 solicitudes cada 5 minutos. Añadir esta regla basada en la tasa a la ACL de una web limita las solicitudes en la página de inicio de sesión por dirección IP sin afectar al resto del sitio web.
¿Puedo impedir que mi regla basada en tasas agregue ciertos rangos de IP de origen de tráfico elevado para que sean bloqueados?
Sí. Puede hacerlo al tener una condición de emparejamiento de IP separada que permita la solicitud dentro de la regla basada en tasas.
¿Qué grado de precisión ofrece la base de datos GeoIP?
La precisión de la dirección IP de la base de datos de búsqueda de países varía según la región. Según unas pruebas recientes, nuestra precisión global del mapeo de la dirección IP a un país es del 99,8%.
Reglas gestionadas para AWS WAF
¿Qué son las reglas administradas de AWS WAF?
Las reglas administradas son un método sencillo de implementar reglas preconfiguradas a fin de lograr protección contra amenazas habituales derivadas de las vulnerabilidades de las aplicaciones, como OWASP, bots o Common Vulnerabilities and Exposures (CVE, vulnerabilidades y exposiciones habituales). AWS gestiona las reglas administradas de AWS para AWS WAF, mientras que los vendedores de seguridad de terceros gestionan las reglas administradas de AWS Marketplace.
¿Cómo puedo suscribirme a las reglas administradas mediante AWS Marketplace?
Puede suscribirse a una regla administrada suministrada por un distribuidor de seguridad de Marketplace a través de la consola de AWS WAF o de AWS Marketplace. Todas las reglas gestionadas suscritas estarán a su disposición para poder añadirlas a una ACL web de AWS WAF.
¿Puedo utilizar las reglas administradas junto con mis reglas de AWS WAF actuales?
Sí, puede utilizar las reglas administradas junto con sus reglas personalizadas de AWS WAF. Puede añadir reglas gestionadas a su ACL web de AWS WAF existente donde ya esté utilizando sus propias reglas.
¿Las reglas administradas se agregarán a mi límite existente de reglas de AWS WAF?
La cantidad de reglas incluidas en una regla administrada no cuenta para sus límites. No obstante, cada regla administrada que se agregue a su ACL web se cuenta como una regla.
¿Cómo puedo deshabilitar una regla administrada?
Puede agregar una regla administrada a una ACL web o eliminarla de la ACL web en cualquier momento. Las reglas gestionadas se deshabilitan al disociar una regla gestionada de cualquier ACL web.
¿Cómo puedo probar una regla administrada?
AWS WAF permite configurar una acción de “recuento” para una regla administrada, que determina el número de solicitudes web que cumplen las condiciones de las reglas incluidas en la regla administrada. Puede consultar la cantidad de solicitudes web contadas para estimar cuántas solicitudes web se bloquearían o habilitarían activara la regla gestionada.
Configuración de AWS WAF
¿Puedo configurar páginas de error personalizadas?
Sí, puede configurar CloudFront de manera que presente una página de error personalizada cuando se bloqueen solicitudes. Para obtener más información, consulte la Guía para desarrolladores de CloudFront
¿Cuánto tarda AWS WAF en propagar las reglas?
Tras la configuración inicial, la agregación o modificación de las reglas suele tardar un minuto en propagarse a todo el mundo.
¿Cómo puedo comprobar que las reglas funcionan?
AWS WAF incluye dos maneras distintas de comprobar que su sitio web esté protegido: existen métricas que se registran una vez por minuto y se encuentran disponibles en CloudWatch y solicitudes web de muestra en la API de AWS WAF o en la consola de administración. De ese modo, puede ver las solicitudes bloqueadas, habilitadas o contadas y qué regla se aplicó para una solicitud determinada (es decir, si la solicitud web se bloqueó debido a una condición de la dirección IP, etc.). Para obtener más información, consulte la Guía para desarrolladores de AWS WAF.
¿Cómo puedo probar las reglas?
AWS WAF permite configurar una acción de “recuento” que determina la cantidad de solicitudes web que cumplen las condiciones de sus reglas. Puede consultar la cantidad de solicitudes web contadas para estimar cuántas solicitudes web se bloquearían o habilitarían si activara la regla.
¿Durante cuánto tiempo se almacenan las métricas en tiempo real y las solicitudes web de muestra?
Las métricas en tiempo real se almacenan en Amazon CloudWatch. Con Amazon CloudWatch puede configurar el tiempo después del cual desea que los eventos expiren. Las solicitudes web de muestra se almacenan durante un máximo de 3 horas.
¿AWS WAF puede inspeccionar el tráfico HTTPS?
Sí. AWS WAF ayuda a proteger aplicaciones y puede inspeccionar solicitudes web transmitidas mediante HTTP o HTTPS.
Control de fraude de AWS WAF: Account Takeover Prevention
¿Qué es Account Takeover Prevention?
Account Takeover Prevention (ATP) es un grupo de reglas administrado que supervisa el tráfico a la página de inicio de sesión de la aplicación para detectar el acceso no autorizado a las cuentas de usuario que usan credenciales comprometidas. Puede usar ATP para evitar ataques de relleno de credenciales, intentos de inicio de sesión de fuerza bruta y otras actividades de inicio de sesión anómalas. A medida que se realizan intentos de inicio de sesión en su aplicación, ATP verifica en tiempo real si los nombres de usuario y las contraseñas que se enviaron se han visto comprometidos en otra parte de la web. Al verificar los intentos de inicio de sesión anómalos provenientes de actores maliciosos, ATP correlaciona las solicitudes vistas a lo largo del tiempo para ayudarlo a detectar y mitigar los intentos de fuerza bruta y los ataques de relleno de credenciales. ATP también ofrece JavaScript y SDK de iOS o Android opcionales que se pueden integrar en su aplicación para brindarle telemetría adicional en los dispositivos de los usuarios que intentan iniciar sesión en su aplicación para proteger mejor su aplicación contra intentos de inicio de sesión automatizados por parte de bots.
¿Cómo protege Account Takeover Prevention la credencial bajo inspección?
El tráfico entre los dispositivos de los usuarios y su aplicación está protegido por el protocolo SSL/TLS que configura para el servicio de AWS que utiliza para presentar la aplicación, como Amazon CloudFront, Application Load Balancer, Amazon API Gateway o AWS AppSync. Una vez que una credencial de usuario llega a AWS WAF, AWS WAF la inspecciona y luego la procesa y descarta de inmediato, y la credencial nunca sale de la red de AWS. Cualquier comunicación entre los servicios de AWS que utiliza en la aplicación y AWS WAF se cifra en tránsito y en reposo.
¿Cómo se compara Account Takeover Prevention con Bot Control?
Bot Control le brinda visibilidad y control sobre el tráfico de bots común y generalizado que puede consumir recursos, sesgar métricas, causar tiempo de inactividad y realizar otras actividades no deseadas. Bot Control verifica varios campos de encabezado y solicita propiedades contra firmas de bots conocidas para detectar y categorizar bots automatizados, como raspadores, escáneres y rastreadores.
Account Takeover Prevention (ATP) brinda visibilidad y control sobre los intentos de inicio de sesión anómalos de los malos actores que utilizan credenciales comprometidas, lo que lo ayuda a prevenir el acceso no autorizado que puede conducir a actividades fraudulentas. ATP se utiliza para proteger la página de inicio de sesión de la aplicación.
Bot Control y ATP se pueden usar de forma independiente o juntos. Al igual que con los grupos de reglas administrados de Bot Control, puede usar la acción de regla predeterminada de ATP para bloquear solicitudes coincidentes, o puede personalizar el comportamiento de ATP mediante la funcionalidad de mitigación de AWS WAF.
¿Cómo empiezo con Account Takeover Prevention y AWS WAF?
En la consola de AWS WAF, cree una ACL web nueva o modifique una ACL web existente si ya utiliza AWS WAF. Puede usar el asistente si necesita ayuda para configurar los ajustes básicos, como qué recurso desea proteger y qué reglas agregar. Cuando se le solicite agregar reglas, seleccione Add Managed Rules (Agregar reglas administradas) y luego seleccione Account Creation Fraud Prevention (Prevención del fraude en la creación de cuentas) de la lista de reglas administradas. Para configurar ATP, ingrese la URL de la página de inicio de sesión de su aplicación e indique dónde se encuentran los campos del formulario de nombre de usuario y contraseña dentro del cuerpo de la solicitud.
¿Qué beneficio ofrece JavaScript SDK o Mobile SDK?
JavaScript y SDK para dispositivos móviles brindan telemetría adicional en los dispositivos de los usuarios que intentan iniciar sesión en su aplicación para protegerla mejor contra intentos de inicio de sesión automatizados por parte de bots. No necesita usar uno de los SDK, pero le recomendamos que lo haga para obtener protección adicional.
¿Cómo personalizo el comportamiento predeterminado de Account Takeover Prevention?
Cuando ATP determina que la credencial de un usuario se ha visto comprometida, genera una etiqueta para indicar una coincidencia. De forma predeterminada, AWS WAF bloquea automáticamente los intentos de inicio de sesión que se determina que son maliciosos o anómalos (por ejemplo, niveles anormales de intentos de inicio de sesión fallidos, reincidentes e intentos de inicio de sesión de bots). Puede cambiar la forma en que AWS WAF responde a las coincidencias al escribir las reglas de AWS WAF que actúan en la etiqueta.
Control de fraude de AWS WAF: Account Creation Fraud Prevention
¿Qué es Account Creation Fraud Prevention?
Account Creation Fraud Prevention (ACFP) es un grupo de reglas administrado y de pago que le permite detectar y mitigar los ataques de creación de cuentas falsas contra su página de registro o registro. Puedes utilizar el ACFP para evitar el uso abusivo de promociones o suscripciones, el uso indebido de fidelización o recompensas y la suplantación de identidad. A medida que se registran nuevas cuentas, ACFP verifica en tiempo real cada credencial (es decir, el nombre de usuario y la contraseña) enviada, los dominios de correo electrónico utilizados y otra información, como números de teléfono y campos de dirección introducidos, y bloquea el intento de registro si parte de esta información se considera robada o tiene mala reputación. Además, ACFP incluye predicciones de riesgo de fraude que puede utilizar sin necesidad de tener un conocimiento profundo de los modelos de detección basados en ML. ACFP también ofrece SDK recomendados para JavaScript e iOS y Android que se pueden integrar en su aplicación para proporcionarle telemetría adicional sobre el usuario y proteger mejor su aplicación contra los intentos de inicio de sesión automatizados por parte de los bots.
¿Qué relación tiene ACFP con la Account Takeover Protection (ATP)?
La apropiación de cuentas ataca la página de inicio de sesión de una aplicación con el objetivo de obtener acceso no autorizado a una cuenta existente, mientras que el fraude de creación de cuentas se dirige a la página de registro de la aplicación con el objetivo de cometer fraude a través de estas cuentas falsas. ATP se centra en prevenir el uso excesivo de credenciales y los ataques de fuerza bruta, en los que los atacantes automatizan cientos de intentos de inicio de sesión y prueban las credenciales robadas en varios sitios. En cambio, ACFP se centra en prevenir el fraude automatizado, como el abuso de promociones o suscripciones, el abuso de fidelización o recompensas y la suplantación de identidad. ACFP y ATP se pueden usar juntos o de forma independiente.
¿Cómo puedo empezar a utilizar Account Creation Fraud Control y AWS WAF?
En la consola de AWS WAF, cree una ACL web nueva o modifique una ACL web existente si ya utiliza AWS WAF. Puede usar el asistente si necesita ayuda para configurar los ajustes básicos, como qué recurso desea proteger y qué reglas agregar. Cuando se le solicite agregar reglas, seleccione Add Managed Rules (Agregar reglas administradas) y luego seleccione Account Takeover Prevention (Prevención de la apropiación de cuentas) de la lista de reglas administradas. Para configurar ACFP, introduzca la URL de la página de creación y registro de cuentas de su aplicación. Además, también puede indicar dónde se encuentran los campos del formulario de nombre de usuario, contraseña, dirección y número de teléfono en el cuerpo de la solicitud.
¿ACFP requiere la integración del SDK?
Es opcional pero muy recomendable. La integración de SDK proporciona información adicional, como las versiones del navegador, los complementos y los datos de Canvas, lo que aumenta la eficacia de las reglas de ACP. Si no se utiliza la integración de SDK, forzamos esta información mediante la acción Challenge. La acción Challenge no funciona bien con las aplicaciones de una sola página (SPA) y las aplicaciones móviles nativas, por lo que, para estas aplicaciones, la integración de SDK es obligatoria. Para otras aplicaciones que pueden soportar una actualización de página, como las páginas HTML, la integración de SDK es opcional. Admitimos JS SDK para aplicaciones web y SDK para Android e iOS para aplicaciones móviles nativas.
¿Cómo puedo obtener visibilidad del desempeño de ACFP?
Puede observar cómo ACFP protege su aplicación al consultar el panel de control de fraude de la consola, el registro completo de WAF y las métricas de CloudWatch.
Panel: un panel centralizado para supervisar las solicitudes analizadas por la Métricas de CloudWatch ACFP y ATP. Todas las acciones de reglas con el grupo de reglas ACFP emitirán métricas de CloudWatch que los clientes pueden utilizar para crear alertas y notificaciones.
Registro de WAF: todas las solicitudes analizadas por ACFP se registrarán en los registros de WAF, por lo que puede utilizar las soluciones de registro existentes para consultar y analizar los registros de la regla administrada de ACFP. ACFP registrará detalles como las acciones de las reglas, la información de las etiquetas y la puntuación del riesgo, que se pueden utilizar para hacer un seguimiento de la eficacia de ACFP.