AWS WAF e Lambda para Automação de Proteção
Transcrição
AWS WAF e Lambda para Automação de Proteção
AWS WAF e Lambda para Automação de Proteção Técnicas, scripts e um case real Heitor Vital, Arquiteto de Soluções - AWS Brasil Luiz Gois, Desenvolvedor Full Stack - LuizaLabs © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso Website sem AWS WAF Usuários Exploit Atacantes Website Website com AWS WAF Usuários Exploit Atacantes Website O que é AWS WAF? Firewall de aplicativo da web (WAF) permite criar mecanismos de controle que ajudam a decidir quais requisições podem ou não acessar seu website • • • • Full-feature API Regras de segurança customizáveis Integrado com Amazon CloudFront – proteção na borda Casos de uso: proteção contra exploits, abuso e DDoS na aplicação O que é AWS Lambda? O AWS Lambda permite que você execute códigos sem provisionar ou gerenciar servidores. • • • “Server-less” scripting; Ações baseadas em eventos Possui integração com outros serviços da AWS Casos de uso: ação em resposta a eventos, agendamento de tarefa, server-less backend etc. Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso Por que criar automação de proteção? • • Fontes de ataques são persistentes e adaptáveis Melhor proteção • • Análises customizadas mais elaboradas e levando em consideração especificidade de cada aplicação Integração com fonte de dados públicas Automação de Proteção Usuários Exploit Regras Web site Logs Atacantes Atualizador de regras Análises de Ameaças Automação de Proteção – modelo tradicional Usuários Exploit Regras Web site Logs Atacantes Atualizador de regras Análises de Ameaças Automação de Proteção – AWS Usuários Exploit Regras Web site Logs Atacantes Atualizador de regras Análises de Ameaças Outros serviços que também usaremos Amazon CloudWatch Amazon CloudFront Amazon S3 AWS CloudFormation Amazon API Gateway Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso Tipos de ataques que requerem automação Atacantes IP reputation lists HTTP floods Scans & probes Bots & scrapers IP reputation lists Coleção de IPs com histórico de problemas ou fontes conhecidas de ataques • • • Open proxies ou hosts conhecidos por enviar spam/trojans/virus Lista constantemente mudando e sendo atualizada Solução: configurar função agendada que consulta listas públicas (ex: Emerging Threats, Spamhause, Tor Node list) e atualiza automaticamente as regras de bloqueio no WAF IP reputation lists (cont’d) IP reputation lists (cont’d) <Demo> HTTP floods Requisições válidas em uma quantidade que comprometem os recursos do servidor • • • • Requisições direcionadas a serviços/páginas de algo consumo de recursos. (ex: login, busca de produtos etc) Diferentemente de outros ataques de flood, aqui as Atacantes requisições são válidas Problema para diferenciar requisições de usuários válidos de atacantes Solução: analisar logs de acesso para identificar origens com número de acesso acima do considerado normal. HTTP floods (cont’d) HTTP floods (cont’d) <Demo> Scans & probes Sistemas que analisam aplicações web em busca de vulnerabilidades • • • • Seus scans – excelente; executados por fonte não autorizada/desconhecida – mau sinal. Algo ou alguém mal intencionado Consomem recuros ao acessar URLs que não existem Solução: analisar logs de acesso para identificar origens com alto número de requisições que geraram erro 40x Scans & probes (cont’d) <Demo> Bots & scrappers Aplicações que executam busca automátiva através da internet • • • Good bots (engines de busca, inteligência/comparador de preço …) vs bad bots (cópia de conteúdo, roudo de dados, malware …) Contantemente evoluindo/adaptando-se Solução: usar robots.txt e um “honeypot” para identificar (e bloquear) ofensores Bots & scrappers (cont’d) Bots & scrappers (cont’d) <Demo> Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso Estudo de Caso Magazine Luiza • • • • Uma das maiores redes de varejo do Brasil Mais de 700 lojas, 24k pessoas e 8 centros de distribuição Plataforma de e-commerce Mudamos “all in” para AWS no últimos 2~3 anos Estudo de Caso (cont’d) Desafios • • Equilibrar a segurança com o desempenho, custo e escalabilidade WAFs tradicionais: 1. Perfis de aplicações tradicionais 2. Dificeis de escalar na nuvem - limitação de banda e CPU 3. Automação requer banda e hardware para processamento de logs • • Bloquear Bots e Crawlers mal intencionados (com base em IP) sem afetar a navegação e experiência do cliente Ter uma solução em tempo para Black Friday Estudo de Caso (cont’d) Arquitetura Anterior Estudo de Caso (cont’d) Arquitetura Atual Estudo de Caso (cont’d) Antes da Black Friday • • • Setembro - Outubro: confirmada nova arquitetura e começamos o desenvolvimento. Outubro – nova arquitetura finalizada e pronta para produção. Novembro – começamos a contagem regressiva e movemos todo o tráfego de produção. Estudo de Caso (cont’d) Black Friday • • • • 26/Novembro: pulamos de 4 – 28.9 milhões de page views/dia 26/Novembro: todos reúnidos em uma “war room” e última escala de servidores. 12am: todos foram para casa, 5 pessoas decidiram dormir no escritório e continuar a monitorar o ambiente. 27/Novembro: o tráfego começou a subir por volta das 6am da manhã, aonde permaneceu alto durante todo o final de semana. Estudo de Caso (cont’d) Conselhos • • • • • Faça uma análise da aplicação e começar pequeno Use uma linguagem de programação que tenha bastante conhecimento Identificar o que precisa proteger Pensar sobre o tempo que leva para processar os logs Regras complexas mais próximas da aplicação Material de Apoio Security Blogs • • • • Rate-Based Blacklisting Heitor Vital <[email protected]> IPs Generating Errors Ben Potter <[email protected]> Blocking Bots (em breve) Vlad Vlasceanu <[email protected]> Importing IP Reputation Lists (em breve) Lee Atkinson <[email protected]> Tutorials Page • aws.amazon.com/waf/preconfiguredrules/ Obrigado!
Documentos relacionados
Thales Ceolin
2015 – Presente: Financial Times Ltd – Londres – Inglaterra Contrato – Engenheiro de integração / DevOps
Leia maissuporte à programação em azure
• A Amazon DevPay é um serviço simples de pagamentos e gestão de contas on-‐line, que facilita a comercialização de aplicações implantadas no AWS.
Leia mais