AWS WAF & Bot Control

Transcript

1. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
   Seguridad en las aplicaciones con AWS
   WAF & Bot Control
   Julio 2021
   Gerardo Castro
   Security Solutions Architect at B89
   AWS Community Builder
   

   View Slide

2. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
   Introducción a Web Applications
   Riesgos de seguridad de las Web Applications
   Amenazas externas comunes
   AWS WAF
   Arquitecturas web de uso comun
   Bot Control
   Agenda
   

   View Slide

3. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
   Introducción a Web Applications
   • Paginas dinámicas
   • Interactiva
   • Diferente contenido para cada usuario
   • Funcional
   • Lógica back-end
   • Paginas estáticas
   • Mismo contenido para todos
   • Front-end
   

   View Slide

4. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
   AWS Cloud
   Amazon API
   Gateway
   AWS Lambda
   Amazon
   DynamoDB
   Ataque Web Amazon S3
   Región
   Riesgos de seguridad de las Web Applications
   

   View Slide

5. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
   SQL Injection
   Cross-site Scripting (XSS)
   OWASP Top 10
   Common Vulnerabilities and
   Exposures (CVE)
   SYN Floods
   Ataques de reflexión
   HTTP Floods
   Crawlers
   Content Scrapers
   Scanners & Probes
   Denegación de
   servicio
   Vulnerabilidades de
   aplicaciones
   Bad Bots
   Amenazas externas comunes
   

   View Slide

6. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
   Automatización avanzada: arquitectura basada
   en API y la rápida propagación de reglas le
   permiten detectar y responder a amenazas en
   tiempo real
   Configuración sin fricción: implementa sin
   cambiar la arquitectura existente
   Baja sobrecarga operativa: reglas administradas
   listas para usar y reglas del AWS Marketplace
   Seguridad personalizable: motor de reglas
   altamente flexible que puede inspeccionar
   solicitudes con latencia de milisegundos (<10)
   AWS WAF
   AWS WAF
   

   View Slide

7. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
   Grupos de reglas disponibles
   Protección
   general
   (baseline)
   Caso de uso
   específico
   Lista de
   reputación IP
   

   View Slide

8. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
   AWS WAF con reglas administradas por AWS
   

   View Slide

9. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
   Reglas administradas de AWS Marketplace
   Reglas de los expertos en seguridad
   • Reglas que escriben y actualizan los proveedores de seguridad
   Cobertura
   • OWASP Top 10 principales vulnerabilidades de aplicaciones
   web
   • Vulnerabilidades y Exposiciones Comunes (CVE)
   • Firmas de bots y lista de reputación IP
   

   View Slide

10. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Escritura de reglas basada en documentos JSON
    Las reglas están vinculadas a su política de
    seguridad (Web ACL)
    • Las reglas se pueden copiar, pegar y eliminar
    sin restricciones
    • Proporcionar información general de nivel
    descendente
    • El modelo puede controlarse con
    versionamiento externo
    Declaraciones de
    regla
    Conjunto
    de IP
    Grupo de
    reglas
    Expresiones
    regulares
    Web ACL
    Elementos que se
    pueden compartir
    

    View Slide

11. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS WAF
    

    View Slide

12. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS WAF Bot Control
    New Feature!
    

    View Slide

13. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS WAF Bot Control
    • Hackers
    • Spammers
    • Brute Force Login Bots
    • Chat Bots
    • Information Bots
    • Search Engine Bots
    

    View Slide

14. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    AWS WAF Bot Control
    

    View Slide

15. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
    Gracias!
    

    View Slide