亞馬遜云科技宣布Amazon WAF 在北京區(qū)域和寧夏區(qū)域正式上線

日前，亞馬遜云科技宣布通過與光環(huán)新網(wǎng)和西云數(shù)據(jù)的緊密合作，在北京區(qū)域和寧夏區(qū)域正式上線Amazon WAF，為客戶Web資源提供七層防護功能，幫助客戶保護Web應(yīng)用或應(yīng)用程序接口（API）免遭常見Web漏洞和僵尸程序的攻擊。Amazon WAF易于部署和維護，可以隨需即用，根據(jù)部署的Web訪問列表和相關(guān)規(guī)則以及處理的Web請求數(shù)量付費。

全球每個月有數(shù)以百萬計的活躍客戶使用亞馬遜云科技，覆蓋了各種規(guī)模、各個行業(yè)的企業(yè)和組織。安全合規(guī)是亞馬遜云科技的首要任務(wù)，也是創(chuàng)新的根本保障。Amazon WAF在中國區(qū)域的上線，進一步完善了我們在中國區(qū)域的安全工具組合，幫助客戶筑起Web資源的安全防線，為互聯(lián)網(wǎng)數(shù)據(jù)安全保駕護航。

——顧凡

亞馬遜云科技大中華區(qū)

云服務(wù)產(chǎn)品管理總經(jīng)理

Amazon WAF具備以下優(yōu)勢

Amazon WAF易于部署和維護。客戶可直接通過Console，不需要修改網(wǎng)絡(luò)地址和進行網(wǎng)絡(luò)層配置，無需變更客戶端配置等，即可輕松部署Amazon WAF。一個典型的Amazon WAF部署可以在30分鐘內(nèi)完成，1分鐘內(nèi)配置生效。Amazon WAF包含功能全面的API，客戶可以對安全規(guī)則的創(chuàng)建、部署和維護等實現(xiàn)自動化。

Amazon WAF預(yù)置多種由亞馬遜云科技管理更新的托管規(guī)則，幫助客戶快速入門并解決諸如開放式Web應(yīng)用程序安全項目(OWASP)十大安全風(fēng)險、內(nèi)容管理系統(tǒng)(CMS)特有的威脅或常見漏洞(CVE)。此外，客戶還可以配置，添加自定義規(guī)則。通過上述兩種規(guī)則的組合，Amazon WAF可以檢查HTTP請求報文的任意部分。在保證最低處理延遲的基礎(chǔ)上，完成限速/阻斷/放行/計數(shù)等動作，保護Web應(yīng)用程序免遭類如SQL注入等惡意攻擊。

Amazon WAF允許客戶在控制臺中監(jiān)控常見的機器人程序(即自動化程序)，直觀地查看機器人流量的類別、標識和其他關(guān)鍵信息；利用安全規(guī)則還可以進一步限制速率或阻止特定程序（如掃描、爬網(wǎng)等），從而有效解決導(dǎo)致資源消耗、指標扭曲甚至故障停機等非預(yù)期活動。

北京宇逸科技是國內(nèi)領(lǐng)先的數(shù)字化營銷服務(wù)公司，主要提供系統(tǒng)平臺開發(fā)、營銷數(shù)據(jù)應(yīng)用、網(wǎng)絡(luò)視頻等解決方案。

“為客戶提供在線營銷平臺和支持在線運營時，Web安全是我們始終無法繞過的問題，尤其是舉辦大型在線活動時，平臺常常面臨被攻擊的風(fēng)險。Amazon WAF服務(wù)可以保護我們的應(yīng)用或API免遭漏洞攻擊和僵尸程序攻擊，并且可以創(chuàng)建安全規(guī)則，根據(jù)規(guī)則控制僵尸程序流量，防范常見攻擊，簡化部署，控制流量到達應(yīng)用的方式。同時，該服務(wù)是云原生安全服務(wù)，我們不需要考慮服務(wù)器部署，不用擔心流量高峰時安全能力的彈性擴展，不用擔心傳統(tǒng)WAF需要的許可證擴展。這些都為我們節(jié)省了大量的時間和成本，未來宇逸科技將用Amazon WAF服務(wù)為更多數(shù)字營銷服務(wù)保駕護航，服務(wù)好我們的客戶?！?/p>

——侯保中

北京宇逸科技CTO

Amazon WAF有廣泛的適用場景

Amazon WAF可以和第三方WAF instance共存，您依舊可以在亞馬遜云科技中國區(qū)使用既有的WAF instance，同時通過Amazon WAF卸載部分規(guī)則以減輕WAF instance的壓力?，F(xiàn)在讓我們來看兩個演示快速了解一下吧~

演示1：

快速部署Amazon WAF

應(yīng)對HTTP Flood攻擊

實驗背景

當你發(fā)現(xiàn)有突增的HTTP請求量（HTTP Flood），后臺Amazon EC2實例無法響應(yīng)，影響了正常用戶的HTTP訪問。你希望可以通過Amazon WAF進行快速響應(yīng)，在最短時間內(nèi)恢復(fù)服務(wù)。

實驗拓撲

配置步驟

1.針對源地址做限速，即控制每個源IP地址最大的請求速度，減輕后臺服務(wù)器的負載，讓服務(wù)恢復(fù)正常。

2.通過sample request分析HTTP請求數(shù)據(jù)報文，找出異常字段，并對該類報文做Label標記

3.通過Label標記對該類數(shù)據(jù)報文進行過濾

4.通過WAF monitor頁面持續(xù)監(jiān)控HTTP通過請求數(shù)的變化。

演示2：

通過托管規(guī)則Managed Rule

進行Web防護

實驗背景

您已經(jīng)在亞馬遜云科技中國區(qū)部署了基于LAMP的網(wǎng)站，希望增加Amazon WAF提供Web防護。

配置步驟

1.使用Amazon WAF托管規(guī)則，簡化部署

2.Amazon WAF托管規(guī)則包含一系列的規(guī)則組，應(yīng)對不同場景下的安全隱患；如IP reputation規(guī)則組收集了曾經(jīng)頻繁發(fā)生Web攻擊的源IP地址集，SQL database收集了具備SQL注入特征的HTTP字段。

3.針對LAMP網(wǎng)站，我們使用Linux operation system/Amazon IP reputation list/Known bad inputs/PHP application/SQL database規(guī)則組

至此，亞馬遜云科技中國區(qū)域進一步豐富了其安全工具組合，包括：基礎(chǔ)架構(gòu)應(yīng)用安全防護（Amazon WAF）、身份認證及訪問控制（如Amazon Identity&Access Management，Amazon Directory Service等）、檢測（如Amazon Security Hub、Amazon GuardDuty等)和數(shù)據(jù)保護（如Amazon Key Management Service）等。同時，亞馬遜云科技還可以提供動手培訓(xùn)，提高客戶團隊的安全能力，為客戶提供全方位的安全助力。