Šis raksts jums pateiks, kā jūs varat aizsargāt tīmekļa lietojumprogrammas WAF un sekojiet tam ar praktisku demonstrāciju. Šajā rakstā tiks apskatīti šādi norādījumi,
Tad ļaujiet mums sākt darbu,
Turpinot šo rakstu “Kā nodrošināt tīmekļa lietojumprogrammu, izmantojot AWS WAF?”
Darba sākšana ar dažiem pamatiem
AWS nodrošina tādus pakalpojumus kā EC2, ELB (Elastic Load Balancer), S3 (Simple Storage Service), EBS (Elastic Block Storage), lai ātri un ar mazāku CAPEX (CAPital EXpenditure) izveidotu noderīgas un iedomātas lietojumprogrammas. Veidojot šīs lietojumprogrammas, tikpat svarīgi ir aizsargāt lietojumprogrammu un aizsargāt datus. Ja lietojumprogrammas dati nav pareizi nodrošināti, tie var nonākt nepareizās rokās, tāpat kā nesenie Capital One incidents .
Capital One mitināja tīmekļa lietojumprogrammu EC2, un tā nebija pareizi nodrošināta. Bijušais AWS darbinieks varēja izmantot šo ievainojamību un no S3 lejupielādēt klientu datu kopas. Vēlāk tika konstatēts, ka dati no 30 citām organizācijām tika lejupielādēti arī no AWS. Tātad, lai to vēlreiz uzsvērtu, pietiek ne tikai izstrādāt un izstrādāt lietojumprogrammu, bet tikpat svarīgi ir nodrošināt lietojumprogrammu.
Izmantotais Capital One AWS WAF (tīmekļa lietojumprogrammu ugunsmūris) lai aizsargātu Web lietojumprogrammu, taču tā nebija pareizi konfigurēta, tāpēc hakeris varēja iegūt piekļuvi datiem S3 un tos lejupielādēt. Šajā rakstā mēs izpētīsim, kā izmantot un konfigurēt AWS WAF, lai aizsargātu pret izplatītākajiem tīmekļa uzbrukumiem, piemēram, SQL Injection, XSS (Cross Site Scripting) utt. AWS WAF ir jākonfigurē kopā ar Lietojumprogrammas slodzes līdzsvarotājs , CloudFront vai API vārteju. Šajā scenārijā mēs izmantosim lietojumprogrammu slodzes līdzsvarotāju. Jebkurš klienta pieprasījums, izmantojot pārlūkprogrammu, notiks caur AWS WAF, pēc tam lietojumprogrammu slodzes līdzsvarotājam un visbeidzot - tīmekļa lietojumprogrammai EC2. AWS WAF var izmantot bloķēt ļaunprātīgo pieprasījumu no hakeriem, izmantojot noteikumu un nosacījumu kopumu.
Turpinot šo rakstu “Kā nodrošināt tīmekļa lietojumprogrammu, izmantojot AWS WAF?”
Darbību secība, lai sāktu darbu ar AWS WAF
1. darbība: Ievainojamas tīmekļa lietojumprogrammas izveide,
Vispirms ir jāizveido tīmekļa lietojumprogramma, kas ir neaizsargāta pret SSRF (Server Side Request Forgery) uzbrukumiem, kā minēts šajā Emuārs par to, kā notika pirmā kapitāla uzbrukums. Šajā emuārā ir darbību secība, lai:
- Izveidojiet EC2
- Instalējiet nepieciešamo programmatūru, lai izveidotu tīmekļa lietojumprogrammu ar SSRF ievainojamību
- Izveidot un IAM lomu ar S3 tikai lasīšanas atļaujām
- Pievienojiet IAM lomu EC2
- Visbeidzot, izmantojiet SSRF ievainojamību, lai iegūtu drošības akreditācijas datus, kas saistīti ar IAM lomu.
Kad darbību secība ir pabeigta minētajā emuārā, nomainiet 5.6.7.8 ar EC2 publisko IP adresi zemāk esošajā URL un atveriet to pārlūkprogrammā. Ar IAM lomu saistītie drošības akreditācijas dati jāparāda pārlūkprogrammā, kā parādīts zemāk. Tā pamatā tika uzlauzts Capital One. Ar drošības akreditācijas datiem rokās hakeris varēja piekļūt citiem AWS pakalpojumiem, piemēram, S3, lai lejupielādētu datus.
http://5.6.7.8:80?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
2. darbība: Lietojumprogrammu slodzes līdzsvarotāja izveide
AWS WAF nevar tieši saistīt ar tīmekļa lietojumprogrammu. Bet to var saistīt tikai ar lietojumprogrammu slodzes līdzsvarotāju, CloudFront un API vārteju. Šajā apmācībā mēs izveidotu Lietojumprogrammu slodzes līdzsvarotājs un AWS WAF saistīšana ar to pašu.
2.a solis: Mērķa grupa ir EC2 gadījumu kolekcija, un tā jāizveido pirms lietojumprogrammu slodzes līdzsvarotāja izveides. EC2 pārvaldības konsolē kreisajā rūtī noklikšķiniet uz mērķa grupas un noklikšķiniet uz “Izveidot mērķa grupu”.
2.b solis: Ievadiet mērķa grupas nosaukumu un noklikšķiniet uz “Izveidot”. Mērķa grupa tiks veiksmīgi izveidota.
2.c solis: Pārliecinieties, vai ir atlasīta mērķa grupa, un noklikšķiniet uz cilnes Mērķi un noklikšķiniet uz Rediģēt, lai reģistrētu EC2 gadījumus mērķa grupā.
2.d solis: Atlasiet EC2 instanci un noklikšķiniet uz “Pievienot reģistrētam” un noklikšķiniet uz “Saglabāt”.
Gadījumi ir jāreģistrē, kā parādīts zemāk mērķa grupā.
2.e solis: Laiks izveidot lietojumprogrammu slodzes līdzsvarotāju. Noklikšķiniet uz slodzes līdzsvarotāja EC2 pārvaldības konsoles kreisajā rūtī un noklikšķiniet uz “Izveidot slodzes līdzsvarotāju”.
Noklikšķiniet uz “Izveidot”, lai atvērtu “Lietojumprogrammu slodzes līdzsvarotāju”.
Turpinot šo rakstu “Kā nodrošināt tīmekļa lietojumprogrammu, izmantojot AWS WAF?”
kā novērst strupceļu java
2.f solis: Ievadiet lietojumprogrammas slodzes līdzsvarotāja nosaukumu. Pārliecinieties, vai ir atlasītas visas pieejamības zonas, un noklikšķiniet uz Tālāk.
2. solis: Sadaļā “Drošības iestatījumu konfigurēšana” noklikšķiniet uz Tālāk.
Sadaļā “Drošības grupu konfigurēšana” izveidojiet jaunu drošības grupu vai atlasiet vienu no esošajām drošības grupām. Pārliecinieties, vai ir atvērts 80 ports, lai piekļūtu tīmekļa vietnei EC2. Noklikšķiniet uz Tālāk.
2. h darbība: Sadaļā “Maršruta konfigurēšana” atlasiet “Esošā mērķa grupa” un atlasiet to, kas ir izveidots iepriekšējā solī. Noklikšķiniet uz Tālāk.
2.i solis: Mērķa EC2 gadījumi jau ir reģistrēti kā daļa no mērķa grupām. Tātad cilnē “Reģistrēt mērķi” bez izmaiņām noklikšķiniet uz Tālāk.
2.j solis: Visbeidzot, pārskatiet visu lietojumprogrammu slodzes līdzsvarotāja informāciju un noklikšķiniet uz Izveidot. Programmas slodzes līdzsvarotājs tiks izveidots, kā parādīts zemāk.
2.k solis: Iegūstiet lietojumprogrammas slodzes līdzsvarotāja domēna nosaukumu un aizstājiet iezīmēto tekstu zemāk esošajā URL un atveriet to pārlūkprogrammā. Ņemiet vērā, ka mēs piekļūstam tīmekļa lietojumprogrammai, izmantojot lietojumprogrammu slodzes līdzsvarotāju, un drošības akreditācijas dati tiek parādīti, kā parādīts zemāk. Tālāk norādīto URL var bloķēt, izmantojot AWS WAF, kā parādīts turpmākajās darbībās, lai apturētu drošības akreditācijas datu noplūdi.
MyALB-1929899948.us-east-1.elb.amazonaws.com ? url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
3. solis: AWS WAF (tīmekļa lietojumprogrammu ugunsmūra) izveide
3.a darbība: Dodieties uz AWS WAF pārvaldības konsoli un noklikšķiniet uz “Konfigurēt tīmekļa ACL”. Tiek parādīts AWS WAF pārskats. Šeit ir AWS WAF hierarhija. Tīmekļa ACL ir virkne noteikumu, un noteikumiem ir virkne nosacījumu, kurus mēs izveidotu turpmākajās darbībās. Noklikšķiniet uz Tālāk.
3.b solis: Ievadiet Web ACL nosaukumu, reģionu kā Ziemeļvirdžīniju (vai kur tika izveidots EC2), resursa veidu - “Application Load Balancer” un visbeidzot atlasiet lietojumprogrammu slodzes līdzsvarotāju, kas tika izveidots iepriekšējā solī. Noklikšķiniet uz Tālāk.
3.c solis: Šeit a nosacījums, lai bloķētu noteiktu tīmekļa lietojumprogrammas pieprasījumu ir jāizveido. Ritiniet uz leju un noklikšķiniet uz “Izveidot nosacījumu”, lai atvērtu “Stīgas un atkārtotas atbilstības nosacījumus”.
3. solis: Ievadiet nosacījuma nosaukumu, Tips kā “String match”, filtrējiet sadaļā “Visi vaicājuma parametri” un pārējos parametrus, kā parādīts zemāk. Noklikšķiniet uz “Pievienot filtru” un pēc tam uz Izveidot. Šeit mēs mēģinām izveidot nosacījumu, kas atbilst vietrādim URL, kurā vaicājuma parametra vērtība ir 169.254.169.254. Šī IP adrese ir saistīta ar EC2 metadati .
3.e darbība: Tagad ir laiks izveidot kārtulu, kas ir nosacījumu kopums. Noklikšķiniet uz “Izveidot kārtulu” un norādiet parametrus, kā precīzi parādīts zemāk. Noklikšķiniet uz “Pievienot nosacījumu”, Izveidot un “Pārskatīt un izveidot”.
Turpinot šo rakstu “Kā nodrošināt tīmekļa lietojumprogrammu, izmantojot AWS WAF?”
3.f darbība: Visbeidzot pārskatiet visu informāciju un noklikšķiniet uz “Apstiprināt un izveidot”. Tīmekļa ACL (piekļuves kontroles saraksts) tiks izveidots un saistīts ar lietojumprogrammu slodzes līdzsvarotāju, kā parādīts zemāk.
3. solis: Tagad mēģiniet piekļūt lietojumprogrammu slodzes līdzsvarošanas vietrādim URL, izmantojot pārlūkprogrammu, kā tas tika darīts 2.k solis . Šoreiz mēs saņemsim “403 Forbidden”, jo mūsu URL atbilst Web ACL nosacījumam, un mēs to bloķējam. Pieprasījums nekad nenonāk lietojumprogrammu slodzes līdzsvarotājā vai tīmekļa lietojumprogrammā EC2. Šeit mēs pamanām, ka, lai gan lietojumprogramma ļauj piekļūt drošības akreditācijas datiem, WAF to bloķē.
4. solis: Šajā apmācībā izveidoto AWS resursu tīrīšana. Tīrīšana jāveic tieši tādā pašā secībā, kā minēts zemāk. Tas ir paredzēts, lai nodrošinātu, ka AWS pārtrauc norēķinus par saistītajiem resursiem, kas izveidoti kā daļa no šīs apmācības.
- Noteikumā dzēst nosacījumu
- Dzēst kārtulu WebACL
- Atslēdziet ALB WebACL
- Dzēst WebACL
- Dzēst kārtulu
- Dzēst filtru stāvoklī
- Dzēst nosacījumu
- Dzēsiet ALB un mērķa grupu
- Pārtrauciet EC2
- Dzēst IAM lomu
Secinājums
Kā minēts iepriekš, tīmekļa lietojumprogrammas izveide, izmantojot AWS, ir ļoti vienkārša un interesanta. Bet mums ir arī jāpārliecinās, vai lietojumprogramma ir droša un vai dati netiek nodoti nepareizās rokās. Drošību var piemērot vairākos slāņos. Šajā apmācībā mēs esam redzējuši, kā izmantot AWS WAF (tīmekļa lietojumprogrammu ugunsmūri), lai aizsargātu tīmekļa lietojumprogrammu pret uzbrukumiem, piemēram, saskaņošanu ar EC2 metadatu IP adresi. Mēs būtu varējuši izmantot arī WAF, lai aizsargātu pret tādiem izplatītiem uzbrukumiem kā SQL Injection un XSS (Cross Site Scripting).
Izmantojot AWS WAF vai faktiski jebkuru citu drošības produktu, lietojumprogramma netiek padarīta droša, taču produktam jābūt pareizi konfigurētam. Ja tie nav pareizi konfigurēti, dati var nonākt nepareizās rokās, kā tas notika ar Capital One un citām organizācijām. Vēl viena svarīga lieta, kas jāņem vērā, ir tāda, ka drošība ir jādomā jau no pirmās dienas un nav jāpievieno lietojumprogrammai vēlāk.
Tādējādi mēs nonākam līdz šī raksta beigām, kā nodrošināt tīmekļa lietojumprogrammu drošību ar AWS WAF. Mēs esam arī izstrādājuši mācību programmu, kas aptver tieši to, kas jums nepieciešams, lai izjauktu Solution Architect eksāmenu! Jūs varat apskatīt kursa detaļas apmācība.
Vai mums ir jautājums? Lūdzu, pieminējiet to šī Kas ir AWS emuāra komentāru sadaļā, un mēs ar jums sazināsimies.