Adicionando seguran§a web: AWS WAF

  • View
    108

  • Download
    1

Embed Size (px)

Text of Adicionando seguran§a web: AWS WAF

  • 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

    Adicionando Segurana Web

    AWS WAF

    Heitor Vital, Arquiteto de Solues - AWS Brasil

    Gleicon Moraes, Gerente de Infraestrutura & Big Data - Magazine Luiza

    Junho 2016

  • Agenda

    Introduo

    WAF & Lambda

    Automao de

    Proteo

    Scripts & Templates Estudo de caso

  • Agenda

    Introduo

    WAF & Lambda

    Automao de

    Proteo

    Scripts & Templates Estudo de caso

  • Website sem AWS WAF

    Usurios

    Atacantes

    WebsiteExploit

  • Website com AWS WAF

    WebsiteExploit

    Usurios

    Atacantes

  • O que AWS WAF?

    Firewall de aplicativo da web (WAF) permite

    criar mecanismos de controle que ajudam a

    decidir quais requisies podem ou no

    acessar seu website

    Full-feature API

    Regras de segurana customizveis

    Integrado com Amazon CloudFront proteo na

    borda

    Casos de uso: proteo contra exploits, abuso e DDoS

    na aplicao

  • O que AWS Lambda?

    O AWS Lambda permite que voc execute

    cdigos sem provisionar ou gerenciar

    servidores.

    Server-less scripting; Aes baseadas em eventos

    Possui integrao com outros servios da AWS

    Casos de uso: ao em resposta a eventos,

    agendamento de tarefa, server-less backend etc.

  • Agenda

    Introduo

    WAF & Lambda

    Automao de

    Proteo

    Scripts & Templates Estudo de caso

  • Fontes de ataques so persistentes e adaptveis

    Melhor proteo

    Anlises customizadas mais elaboradas e levando em

    considerao especificidade de cada aplicao

    Integrao com fonte de dados pblicas

    Por que criar automao de proteo?

  • Automao de Proteo

    Usurios

    Logs Anlises de Ameaas

    Atualizador de regras

    Web siteRegrasExploit

    Atacantes

  • Automao de Proteo modelo tradicional

    LogsWeb siteExploit

    Usurios

    Atacantes

    Regras Anlises de Ameaas

    Atualizador de regras

  • Automao de Proteo AWS

    LogsWeb siteExploit

    Atualizador de regras

    Atacantes

    Usurios

    Regras Anlises de Ameaas

  • Outros servios que tambm usaremos

    Amazon CloudFront Amazon CloudWatch AWS CloudFormation

    Amazon S3 Amazon API Gateway

  • Agenda

    Introduo

    WAF & Lambda

    Automao de

    Proteo

    Scripts & Templates Estudo de caso

  • Tipos de ataques que requerem automao

    HTTP floods Scans & probesIP reputation lists Bots & scrapers

    Atacantes

  • Tipos de ataques que requerem automao

    HTTP floods Scans & probesIP reputation lists Bots & scrapers

    Atacantes

  • IP reputation lists

    Coleo de IPs com histrico de problemas ou

    fontes conhecidas de ataques

    Open proxies ou hosts conhecidos por enviar

    spam/trojans/virus

    Lista constantemente mudando e sendo atualizada

    Soluo: configurar funo agendada que consulta

    listas pblicas (ex: Emerging Threats, Spamhause, Tor

    Node list) e atualiza automaticamente as regras de

    bloqueio no WAF

  • IP reputation lists (contd)

  • IP reputation lists (contd)

  • Tipos de ataques que requerem automao

    HTTP floods Scans & probesIP reputation lists Bots & scrapers

    Atacantes

  • HTTP floods

    Requisies vlidas em uma quantidade que

    comprometem os recursos do servidor

    Requisies direcionadas a servios/pginas de algo

    consumo de recursos. (ex: login, busca de produtos

    etc)

    Diferentemente de outros ataques de flood, aqui as

    requisies so vlidas

    Problema para diferenciar requisies de usurios

    vlidos de atacantes

    Soluo: analisar logs de acesso para identificar

    origens com nmero de acesso acima do

    considerado normal.

    Atacantes

  • HTTP floods (contd)

  • HTTP floods (contd)

  • Tipos de ataques que requerem automao

    HTTP floods Scans & probesIP reputation lists Bots & scrapers

    Atacantes

  • Scans & probes

    Sistemas que analisam aplicaes web em

    busca de vulnerabilidades

    Seus scans excelente; executados por fonte no

    autorizada/desconhecida mau sinal.

    Algo ou algum mal intencionado

    Consomem recuros ao acessar URLs que no

    existem

    Soluo: analisar logs de acesso para identificar

    origens com alto nmero de requisies que

    geraram erro 40x

  • Scans & probes (contd)

    HTTP 4xx error codes

  • Scans & probes (contd)

  • Tipos de ataques que requerem automao

    HTTP floods Scans & probesIP reputation lists Bots & scrapers

    Atacantes

  • Bots & scrappers

    Aplicaes que executam busca automtica

    atravs da internet

    Good bots (engines de busca, inteligncia/comparador

    de preo ) vs bad bots (cpia de contedo, roubo de

    dados, malware )

    Constantemente evoluindo/adaptando-se

    Soluo: usar robots.txt e um honeypot para

    identificar (e bloquear) ofensores

  • Bots & scrappers (contd)

  • Bots & scrappers (contd)

    https://s3.amazonaws.com/heitorc/bad_bots.html

  • Agenda

    Introduo

    WAF & Lambda

    Automao de

    Proteo

    Scripts & Templates Estudo de caso

  • Equilibrar a segurana com o

    desempenho, custo e escalabilidade

    Com os controles que

    o AWS WAF e

    CloudFront,

    implementamos uma

    arquitetura escalavel e

    simples. O beneficio

    imediato foi custo e

    disponibilidade, sem

    aumento de equipe.

    Gleicon Moraes

    Uma das maiores redes de

    varejo do Brasil

    Nmeros

    +700 Lojas

    +24.000 Pessoas

    8 CDs

    Plataforma de e-commerce

  • Desafio

    WAFs tradicionais:1. Perfis de aplicaes tradicionais

    2. Difceis de escalar na nuvem - limitao de banda e CPU

    3. Automao requer banda e hardware para processamento de logs

    Bloquear Bots e Crawlers mal intencionados (com base

    em IP) sem afetar a navegao e experincia do cliente

    Ter uma soluo em tempo para Black Friday

  • Arquitetura Anterior

  • Arquitetura Atual

  • Marcos Antes do Black Friday

    Setembro

    Confirmado nova arquitetura

    Incio desenvolvimento

    Outubro

    Nova estrutura pronta para entrar em produo

    Novembro

    Virada de todo o trfego para nova estrutura

  • Lies Aprendidas

    Identifique o que necessita de proteo

    Comece pequeno e evolua incrementalmente

    Use a ferramenta adequada para o trabalho

    Python

    Libs

    Considere o tempo entre receber arquivo de logs e process-lo

    Defesa em camadas

    Regras simples na borda

    Regras complexas perto da aplicao ou assncrono

  • Material de Apoio

    Security Blogs

    HTTP Floods Heitor Vital

    Scans & Probes Ben Potter

    Bots & Scrappers Vlad Vlasceanu

    IP Reputation Lists Lee Atkinson

    Tutorials Page

    aws.amazon.com/waf/preconfiguredrules/

    https://blogs.aws.amazon.com/security/post/Tx1ZTM4DT0HRH0K/How-to-Configure-Rate-Based-Blacklisting-with-AWS-WAF-and-AWS-Lambdahttp://blogs.aws.amazon.com/security/post/Tx223ZW25YRPRKV/How-to-Use-AWS-WAF-to-Block-IP-Addresses-That-Generate-Bad-Requestshttps://blogs.aws.amazon.com/security/blog/tag/Bad+botshttps://blogs.aws.amazon.com/security/post/Tx8GZBDD7HJ6BS/How-to-Import-IP-Address-Reputation-Lists-to-Automatically-Update-AWS-WAF-IP-Blahttp://aws.amazon.com/waf/preconfiguredrules/

  • Obrigado!

View more >