Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS WAF & Bot Control

AWS WAF & Bot Control

Gerardo Castro Arica

September 16, 2021
Tweet

More Decks by Gerardo Castro Arica

Other Decks in Technology

Transcript

  1. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Seguridad en las aplicaciones con AWS
    WAF & Bot Control
    Julio 2021
    Gerardo Castro
    Security Solutions Architect at B89
    AWS Community Builder

    View Slide

  2. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Introducción a Web Applications
    Riesgos de seguridad de las Web Applications
    Amenazas externas comunes
    AWS WAF
    Arquitecturas web de uso comun
    Bot Control
    Agenda

    View Slide

  3. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Introducción a Web Applications
    • Paginas dinámicas
    • Interactiva
    • Diferente contenido para cada usuario
    • Funcional
    • Lógica back-end
    • Paginas estáticas
    • Mismo contenido para todos
    • Front-end

    View Slide

  4. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS Cloud
    Amazon API
    Gateway
    AWS Lambda
    Amazon
    DynamoDB
    Ataque Web Amazon S3
    Región
    Riesgos de seguridad de las Web Applications

    View Slide

  5. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    SQL Injection
    Cross-site Scripting (XSS)
    OWASP Top 10
    Common Vulnerabilities and
    Exposures (CVE)
    SYN Floods
    Ataques de reflexión
    HTTP Floods
    Crawlers
    Content Scrapers
    Scanners & Probes
    Denegación de
    servicio
    Vulnerabilidades de
    aplicaciones
    Bad Bots
    Amenazas externas comunes

    View Slide

  6. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Automatización avanzada: arquitectura basada
    en API y la rápida propagación de reglas le
    permiten detectar y responder a amenazas en
    tiempo real
    Configuración sin fricción: implementa sin
    cambiar la arquitectura existente
    Baja sobrecarga operativa: reglas administradas
    listas para usar y reglas del AWS Marketplace
    Seguridad personalizable: motor de reglas
    altamente flexible que puede inspeccionar
    solicitudes con latencia de milisegundos (<10)
    AWS WAF
    AWS WAF

    View Slide

  7. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Grupos de reglas disponibles
    Protección
    general
    (baseline)
    Caso de uso
    específico
    Lista de
    reputación IP

    View Slide

  8. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS WAF con reglas administradas por AWS

    View Slide

  9. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Reglas administradas de AWS Marketplace
    Reglas de los expertos en seguridad
    • Reglas que escriben y actualizan los proveedores de seguridad
    Cobertura
    • OWASP Top 10 principales vulnerabilidades de aplicaciones
    web
    • Vulnerabilidades y Exposiciones Comunes (CVE)
    • Firmas de bots y lista de reputación IP

    View Slide

  10. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Escritura de reglas basada en documentos JSON
    Las reglas están vinculadas a su política de
    seguridad (Web ACL)
    • Las reglas se pueden copiar, pegar y eliminar
    sin restricciones
    • Proporcionar información general de nivel
    descendente
    • El modelo puede controlarse con
    versionamiento externo
    Declaraciones de
    regla
    Conjunto
    de IP
    Grupo de
    reglas
    Expresiones
    regulares
    Web ACL
    Elementos que se
    pueden compartir

    View Slide

  11. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS WAF

    View Slide

  12. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS WAF Bot Control
    New Feature!

    View Slide

  13. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS WAF Bot Control
    • Hackers
    • Spammers
    • Brute Force Login Bots
    • Chat Bots
    • Information Bots
    • Search Engine Bots

    View Slide

  14. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS WAF Bot Control

    View Slide

  15. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Gracias!

    View Slide