AWS WAF e Lambda para Automação de Proteção

AWS WAF e Lambda para Automação de Proteção
Técnicas, scripts e um case real
Heitor Vital, Arquiteto de Soluções - AWS Brasil
Luiz Gois, Desenvolvedor Full Stack - LuizaLabs
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates
Estudo de caso
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates
Estudo de caso
Website sem AWS WAF
Usuários
Exploit
Atacantes
Website
Website com AWS WAF
Usuários
Exploit
Atacantes
Website
O que é AWS WAF?
Firewall de aplicativo da web (WAF) permite
criar mecanismos de controle que ajudam a
decidir quais requisições podem ou não
acessar seu website
•
•
•
•
Full-feature API
Regras de segurança customizáveis
Integrado com Amazon CloudFront – proteção na
borda
Casos de uso: proteção contra exploits, abuso e DDoS
na aplicação
O que é AWS Lambda?
O AWS Lambda permite que você execute
códigos sem provisionar ou gerenciar
servidores.
•
•
•
“Server-less” scripting; Ações baseadas em eventos
Possui integração com outros serviços da AWS
Casos de uso: ação em resposta a eventos,
agendamento de tarefa, server-less backend etc.
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates
Estudo de caso
Por que criar automação de proteção?
•
•
Fontes de ataques são persistentes e adaptáveis
Melhor proteção
•
•
Análises customizadas mais elaboradas e levando em
consideração especificidade de cada aplicação
Integração com fonte de dados públicas
Automação de Proteção
Usuários
Exploit
Regras
Web site
Logs
Atacantes
Atualizador de regras
Análises de Ameaças
Automação de Proteção – modelo tradicional
Usuários
Exploit
Regras
Web site
Logs
Atacantes
Atualizador de regras
Análises de Ameaças
Automação de Proteção – AWS
Usuários
Exploit
Regras
Web site
Logs
Atacantes
Atualizador de regras
Análises de Ameaças
Outros serviços que também usaremos
Amazon CloudWatch
Amazon CloudFront
Amazon S3
AWS CloudFormation
Amazon API Gateway
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates
Estudo de caso
Tipos de ataques que requerem automação
Atacantes
IP reputation lists
HTTP floods
Scans & probes
Bots & scrapers
IP reputation lists
Coleção de IPs com histórico de problemas ou
fontes conhecidas de ataques
•
•
•
Open proxies ou hosts conhecidos por enviar
spam/trojans/virus
Lista constantemente mudando e sendo atualizada
Solução: configurar função agendada que consulta
listas públicas (ex: Emerging Threats, Spamhause, Tor
Node list) e atualiza automaticamente as regras de
bloqueio no WAF
IP reputation lists (cont’d)
IP reputation lists (cont’d)
<Demo>
HTTP floods
Requisições válidas em uma quantidade que
comprometem os recursos do servidor
•
•
•
•
Requisições direcionadas a serviços/páginas de algo
consumo de recursos. (ex: login, busca de produtos
etc)
Diferentemente de outros ataques de flood, aqui as
Atacantes
requisições são válidas
Problema para diferenciar requisições de usuários
válidos de atacantes
Solução: analisar logs de acesso para identificar
origens com número de acesso acima do
considerado normal.
HTTP floods (cont’d)
HTTP floods (cont’d)
<Demo>
Scans & probes
Sistemas que analisam aplicações web em
busca de vulnerabilidades
•
•
•
•
Seus scans – excelente; executados por fonte não
autorizada/desconhecida – mau sinal.
Algo ou alguém mal intencionado
Consomem recuros ao acessar URLs que não
existem
Solução: analisar logs de acesso para identificar
origens com alto número de requisições que
geraram erro 40x
Scans & probes (cont’d)
<Demo>
Bots & scrappers
Aplicações que executam busca automátiva
através da internet
•
•
•
Good bots (engines de busca, inteligência/comparador
de preço …) vs bad bots (cópia de conteúdo, roudo de
dados, malware …)
Contantemente evoluindo/adaptando-se
Solução: usar robots.txt e um “honeypot” para
identificar (e bloquear) ofensores
Bots & scrappers (cont’d)
Bots & scrappers (cont’d)
<Demo>
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates
Estudo de caso
Estudo de Caso
Magazine Luiza
•
•
•
•
Uma das maiores redes de
varejo do Brasil
Mais de 700 lojas, 24k
pessoas e 8 centros de
distribuição
Plataforma de e-commerce
Mudamos “all in” para AWS
no últimos 2~3 anos
Estudo de Caso (cont’d)
Desafios
•
•
Equilibrar a segurança com o desempenho, custo e escalabilidade
WAFs tradicionais:
1. Perfis de aplicações tradicionais
2. Dificeis de escalar na nuvem - limitação de banda e CPU
3. Automação requer banda e hardware para processamento de logs
•
•
Bloquear Bots e Crawlers mal intencionados (com base em IP) sem
afetar a navegação e experiência do cliente
Ter uma solução em tempo para Black Friday
Estudo de Caso (cont’d)
Arquitetura Anterior
Estudo de Caso (cont’d)
Arquitetura Atual
Estudo de Caso (cont’d)
Antes da Black Friday
•
•
•
Setembro - Outubro: confirmada nova arquitetura e começamos o
desenvolvimento.
Outubro – nova arquitetura finalizada e pronta para produção.
Novembro – começamos a contagem regressiva e movemos todo o
tráfego de produção.
Estudo de Caso (cont’d)
Black Friday
•
•
•
•
26/Novembro: pulamos de 4 – 28.9 milhões de page views/dia
26/Novembro: todos reúnidos em uma “war room” e última escala
de servidores.
12am: todos foram para casa, 5 pessoas decidiram dormir no
escritório e continuar a monitorar o ambiente.
27/Novembro: o tráfego começou a subir por volta das 6am da
manhã, aonde permaneceu alto durante todo o final de semana.
Estudo de Caso (cont’d)
Conselhos
•
•
•
•
•
Faça uma análise da aplicação e começar pequeno
Use uma linguagem de programação que tenha bastante
conhecimento
Identificar o que precisa proteger
Pensar sobre o tempo que leva para processar os logs
Regras complexas mais próximas da aplicação
Material de Apoio
Security Blogs
•
•
•
•
Rate-Based Blacklisting Heitor Vital <[email protected]>
IPs Generating Errors Ben Potter <[email protected]>
Blocking Bots (em breve) Vlad Vlasceanu <[email protected]>
Importing IP Reputation Lists (em breve) Lee Atkinson
<[email protected]>
Tutorials Page
• aws.amazon.com/waf/preconfiguredrules/
Obrigado!