Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Adicionando Segurança Web
AWS WAF
Heitor Vital, ...
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
Website sem AWS WAF
Usuários
Atacantes
Website
Exploit
Website com AWS WAF
Website
Exploit
Usuários
Atacantes
O que é AWS WAF?
Firewall de aplicativo da web (WAF) permite
criar mecanismos de controle que ajudam a
decidir quais requi...
O que é AWS Lambda?
O AWS Lambda permite que você execute
códigos sem provisionar ou gerenciar
servidores.
• “Server-less”...
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
• Fontes de ataques são persistentes e adaptáveis
• Melhor proteção
• Análises customizadas mais elaboradas e levando em
c...
Automação de Proteção
Usuários
Logs Análises de Ameaças
Atualizador de regras
Web siteRegras
Exploit
Atacantes
Automação de Proteção – modelo tradicional
LogsWeb site
Exploit
Usuários
Atacantes
Regras Análises de Ameaças
Atualizador ...
Automação de Proteção – AWS
LogsWeb site
Exploit
Atualizador de regras
Atacantes
Usuários
Regras Análises de Ameaças
Outros serviços que também usaremos
Amazon CloudFront Amazon CloudWatch AWS CloudFormation
Amazon S3 Amazon API Gateway
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
IP reputation lists
Coleção de IPs com histórico de problemas ou
fontes conhecidas de ataques
• Open proxies ou hosts conh...
IP reputation lists (cont’d)
IP reputation lists (cont’d)
<Demo>
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
HTTP floods
Requisições válidas em uma quantidade que
comprometem os recursos do servidor
• Requisições direcionadas a ser...
HTTP floods (cont’d)
HTTP floods (cont’d)
<Demo>
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
Scans & probes
Sistemas que analisam aplicações web em
busca de vulnerabilidades
• Seus scans – excelente; executados por ...
Scans & probes (cont’d)
HTTP 4xx error codes
Scans & probes (cont’d)
<Demo>
Tipos de ataques que requerem automação
HTTP floods Scans & probesIP reputation lists Bots & scrapers
Atacantes
Bots & scrappers
Aplicações que executam busca automática
através da internet
• Good bots (engines de busca, inteligência/...
Bots & scrappers (cont’d)
Bots & scrappers (cont’d)
<Demo>
Agenda
Introdução
WAF & Lambda
Automação de
Proteção
Scripts & Templates Estudo de caso
“Equilibrar a segurança com o
desempenho, custo e escalabilidade”
“Com os controles que
o AWS WAF e
CloudFront,
implementa...
Desafio
• WAFs tradicionais:
1. Perfis de aplicações tradicionais
2. Difíceis de escalar na nuvem - limitação de banda e C...
Arquitetura Anterior
Arquitetura Atual
Marcos Antes do Black Friday
• Setembro
• Confirmado nova arquitetura
• Início desenvolvimento
• Outubro
• Nova estrutura ...
Lições Aprendidas
• Identifique o que necessita de proteção
• Comece pequeno e evolua incrementalmente
• Use a ferramenta ...
Material de Apoio
Security Blogs
• HTTP Floods Heitor Vital <heitorc@amazon.com>
• Scans & Probes Ben Potter <benpo@amazon...
Obrigado!
Upcoming SlideShare
Loading in …5
×

Adicionando segurança web: AWS WAF

218 views

Published on

O AWS WAF (Web Application Firewall), provê uma camada adicional de segurança para sua aplicação web. Essa sessão terá o intuito de expor, formas de utilização do serviço, arquiteturas, como também, automações de bloqueios.

Published in: Technology
  • Be the first to comment

Adicionando segurança web: AWS WAF

  1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Adicionando Segurança Web AWS WAF Heitor Vital, Arquiteto de Soluções - AWS Brasil Gleicon Moraes, Gerente de Infraestrutura & Big Data - Magazine Luiza Junho 2016
  2. 2. Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso
  3. 3. Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso
  4. 4. Website sem AWS WAF Usuários Atacantes Website Exploit
  5. 5. Website com AWS WAF Website Exploit Usuários Atacantes
  6. 6. O que é AWS WAF? Firewall de aplicativo da web (WAF) permite criar mecanismos de controle que ajudam a decidir quais requisições podem ou não acessar seu website • Full-feature API • Regras de segurança customizáveis • Integrado com Amazon CloudFront – proteção na borda • Casos de uso: proteção contra exploits, abuso e DDoS na aplicação
  7. 7. O que é AWS Lambda? O AWS Lambda permite que você execute códigos sem provisionar ou gerenciar servidores. • “Server-less” scripting; Ações baseadas em eventos • Possui integração com outros serviços da AWS • Casos de uso: ação em resposta a eventos, agendamento de tarefa, server-less backend etc.
  8. 8. Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso
  9. 9. • Fontes de ataques são persistentes e adaptáveis • Melhor proteção • Análises customizadas mais elaboradas e levando em consideração especificidade de cada aplicação • Integração com fonte de dados públicas Por que criar automação de proteção?
  10. 10. Automação de Proteção Usuários Logs Análises de Ameaças Atualizador de regras Web siteRegras Exploit Atacantes
  11. 11. Automação de Proteção – modelo tradicional LogsWeb site Exploit Usuários Atacantes Regras Análises de Ameaças Atualizador de regras
  12. 12. Automação de Proteção – AWS LogsWeb site Exploit Atualizador de regras Atacantes Usuários Regras Análises de Ameaças
  13. 13. Outros serviços que também usaremos Amazon CloudFront Amazon CloudWatch AWS CloudFormation Amazon S3 Amazon API Gateway
  14. 14. Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso
  15. 15. Tipos de ataques que requerem automação HTTP floods Scans & probesIP reputation lists Bots & scrapers Atacantes
  16. 16. Tipos de ataques que requerem automação HTTP floods Scans & probesIP reputation lists Bots & scrapers Atacantes
  17. 17. IP reputation lists Coleção de IPs com histórico de problemas ou fontes conhecidas de ataques • Open proxies ou hosts conhecidos por enviar spam/trojans/virus • Lista constantemente mudando e sendo atualizada • Solução: configurar função agendada que consulta listas públicas (ex: Emerging Threats, Spamhause, Tor Node list) e atualiza automaticamente as regras de bloqueio no WAF
  18. 18. IP reputation lists (cont’d)
  19. 19. IP reputation lists (cont’d) <Demo>
  20. 20. Tipos de ataques que requerem automação HTTP floods Scans & probesIP reputation lists Bots & scrapers Atacantes
  21. 21. HTTP floods Requisições válidas em uma quantidade que comprometem os recursos do servidor • Requisições direcionadas a serviços/páginas de algo consumo de recursos. (ex: login, busca de produtos etc) • Diferentemente de outros ataques de flood, aqui as requisições são válidas • Problema para diferenciar requisições de usuários válidos de atacantes • Solução: analisar logs de acesso para identificar origens com número de acesso acima do considerado normal. Atacantes
  22. 22. HTTP floods (cont’d)
  23. 23. HTTP floods (cont’d) <Demo>
  24. 24. Tipos de ataques que requerem automação HTTP floods Scans & probesIP reputation lists Bots & scrapers Atacantes
  25. 25. Scans & probes Sistemas que analisam aplicações web em busca de vulnerabilidades • Seus scans – excelente; executados por fonte não autorizada/desconhecida – mau sinal. • Algo ou alguém mal intencionado • Consomem recuros ao acessar URLs que não existem • Solução: analisar logs de acesso para identificar origens com alto número de requisições que geraram erro 40x
  26. 26. Scans & probes (cont’d) HTTP 4xx error codes
  27. 27. Scans & probes (cont’d) <Demo>
  28. 28. Tipos de ataques que requerem automação HTTP floods Scans & probesIP reputation lists Bots & scrapers Atacantes
  29. 29. Bots & scrappers Aplicações que executam busca automática através da internet • Good bots (engines de busca, inteligência/comparador de preço …) vs bad bots (cópia de conteúdo, roubo de dados, malware …) • Constantemente evoluindo/adaptando-se • Solução: usar robots.txt e um “honeypot” para identificar (e bloquear) ofensores
  30. 30. Bots & scrappers (cont’d)
  31. 31. Bots & scrappers (cont’d) <Demo>
  32. 32. Agenda Introdução WAF & Lambda Automação de Proteção Scripts & Templates Estudo de caso
  33. 33. “Equilibrar a segurança com o desempenho, custo e escalabilidade” “Com os controles que o AWS WAF e CloudFront, implementamos uma arquitetura escalável e simples. O beneficio imediato foi custo e disponibilidade, sem aumento de equipe.” Gleicon Moraes • Uma das maiores redes de varejo do Brasil • Números • +700 Lojas • +24.000 Pessoas • 8 CDs • Plataforma de e-commerce
  34. 34. Desafio • WAFs tradicionais: 1. Perfis de aplicações tradicionais 2. Difíceis de escalar na nuvem - limitação de banda e CPU 3. Automação requer banda e hardware para processamento de logs • Bloquear Bots e Crawlers mal intencionados (com base em IP) sem afetar a navegação e experiência do cliente • Ter uma solução em tempo para Black Friday
  35. 35. Arquitetura Anterior
  36. 36. Arquitetura Atual
  37. 37. Marcos Antes do Black Friday • Setembro • Confirmado nova arquitetura • Início desenvolvimento • Outubro • Nova estrutura pronta para entrar em produção • Novembro • Virada de todo o tráfego para nova estrutura
  38. 38. Lições Aprendidas • Identifique o que necessita de proteção • Comece pequeno e evolua incrementalmente • Use a ferramenta adequada para o trabalho • Python • Libs • Considere o tempo entre receber arquivo de logs e processá-lo • Defesa em camadas • Regras simples na borda • Regras complexas perto da aplicação ou assíncrono
  39. 39. Material de Apoio Security Blogs • HTTP Floods Heitor Vital <heitorc@amazon.com> • Scans & Probes Ben Potter <benpo@amazon.com> • Bots & Scrappers Vlad Vlasceanu <vladv@amazon.com> • IP Reputation Lists Lee Atkinson <leeatk@amazon.co.uk> Tutorials Page • aws.amazon.com/waf/preconfiguredrules/
  40. 40. Obrigado!

×