Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Déployez automatiquement une liste de contrôle d'accès Web unique qui filtre les attaques Web grâce aux automatisations de sécurité sur AWS WAF
La solution Security Automations for AWS WAF déploie un ensemble de règles préconfigurées pour vous aider à protéger vos applications contre les exploits Web courants. Le service principal de cette solution, [AWS WAF](https://aws.amazon.com/waf/), aide à protéger les applications Web contre les techniques d'attaque susceptibles d'affecter la disponibilité des applications, de compromettre la sécurité ou de consommer des ressources excessives. Vous pouvez utiliser AWS WAF pour définir des règles de sécurité Web personnalisables. Ces règles contrôlent le trafic à autoriser ou à bloquer vers les applications Web et les interfaces de programmation d'applications (APIs) déployées sur des ressources AWS telles qu'[Amazon CloudFront](https://aws.amazon.com/cloudfront/), [Application Load Balancer](https://aws.amazon.com/elasticloadbalancing/applicationloadbalancer/) (ALB). Pour d'autres types de ressources pris en charge, consultez [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) dans le manuel *AWS WAF, AWS Firewall Manager et AWS Shield* Advanced Developer Guide.
La configuration des règles AWS WAF peut s'avérer difficile et fastidieuse pour les grandes comme pour les petites entreprises, en particulier pour celles qui ne disposent pas d'équipes de sécurité dédiées. Pour simplifier ce processus, la solution Security Automations for AWS WAF déploie automatiquement une liste de contrôle d'accès Web (ACL) unique avec un ensemble de règles AWS WAF conçues pour filtrer les attaques Web courantes. Lors de la configuration initiale du CloudFormation modèle [AWS](https://aws.amazon.com/cloudformation/) de cette solution, vous pouvez spécifier les fonctionnalités de protection à inclure. Une fois que vous avez déployé cette solution, AWS WAF inspecte les requêtes Web adressées à leurs CloudFront distributions ou ALB existants, et les bloque le cas échéant.
**Un CloudFormation modèle déploie une ACL Web avec des règles de filtrage AWS WAF.**
![\[configuration web acl\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/security-automations-for-aws-waf/images/configuration-web-acl.png)
Ce guide de mise en œuvre aborde les considérations architecturales, les étapes de configuration et les meilleures pratiques opérationnelles pour déployer cette solution dans le cloud Amazon Web Services (AWS). Il inclut des liens vers des CloudFormation modèles qui lancent, configurent et exécutent les services de sécurité, de calcul, de stockage et autres services AWS nécessaires au déploiement de cette solution sur AWS, en utilisant les meilleures pratiques d'AWS en matière de sécurité et de disponibilité.
Les informations contenues dans ce guide supposent une connaissance pratique des services AWS tels qu'AWS WAF, CloudFront ALBs, et AWS [Lambda](https://aws.amazon.com/lambda/). Cela nécessite également des connaissances de base sur les attaques Web courantes et les stratégies d'atténuation.
**Note**
Depuis la version 3.0.0, cette solution prend en charge la dernière version de l'API de service AWS WAF ([AWS WAFV2](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html)).
Ce guide est destiné aux responsables informatiques, aux ingénieurs en sécurité, aux DevOps ingénieurs, aux développeurs, aux architectes de solutions et aux administrateurs de sites Web.
**Note**
Nous vous recommandons d'utiliser cette solution comme point de départ pour la mise en œuvre des règles AWS WAF. Vous pouvez personnaliser le [code source](https://github.com/aws-solutions/aws-waf-security-automations), ajouter de nouvelles règles personnalisées et tirer parti d'un plus grand nombre de [règles gérées par AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) en fonction de vos besoins.
Utilisez ce tableau de navigation pour trouver rapidement les réponses aux questions suivantes :
| Si tu veux... | Lisez. |
| --- | --- |
| Connaissez le coût de fonctionnement de cette solution. Le coût total de fonctionnement de cette solution dépend de la protection activée et de la quantité de données ingérées, stockées et traitées. | [Coût](cost.md) |
| Comprenez les considérations de sécurité liées à cette solution. | [Sécurité](security.md) |
| Découvrez quelles régions AWS sont prises en charge pour cette solution. | [Régions AWS prises en charge](plan-your-deployment.md#supported-aws-regions) |
| Consultez ou téléchargez le CloudFormation modèle inclus dans cette solution pour déployer automatiquement les ressources d'infrastructure (la « pile ») de cette solution. | [ CloudFormation Modèle AWS](aws-cloudformation-templates.md) |
| Utilisez le Support pour vous aider à déployer, utiliser ou dépanner la solution. | [Support](contact-aws-support.md) |
| Accédez au code source et utilisez éventuellement l'AWS Cloud Development Kit (AWS CDK) pour déployer la solution | [GitHub référentiel](https://github.com/aws-solutions/aws-waf-security-automations/) |
# Fonctionnalités et avantages
La solution Security Automations for AWS WAF fournit les fonctionnalités et avantages suivants.
## Sécurisez vos applications Web avec les groupes de règles AWS Managed Rules
[Les règles gérées par AWS pour AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html) fournissent une protection contre les vulnérabilités courantes des applications ou contre tout autre trafic indésirable. Cette solution inclut les groupes de [règles de réputation IP gérés par AWS, les groupes](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html) [de règles de base AWS Managed et les groupes](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html) de [règles spécifiques aux cas d'utilisation AWS Managed](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html). Vous avez la possibilité de sélectionner un ou plusieurs groupes de règles pour votre ACL Web, dans la limite du quota d'unités de capacité maximale de l'ACL Web (WCU).
## Fournir une protection contre les inondations de couche 7 avec une règle personnalisée HTTP Flood prédéfinie
La règle personnalisée **HTTP Flood** protège contre une attaque distribuée Denial-of-Service (DDoS) sur la couche Web pendant une période définie par le client. Vous pouvez choisir l'une des options suivantes pour activer cette règle :
+ Règle basée sur le taux AWS WAF
+ Analyseur de log Lambda
+ Analyseur de [journaux Amazon Athena](https://aws.amazon.com/athena/)
Les options Lambda log parser ou Athena log parser vous permettent de définir un quota de requêtes inférieur à 100. Cette approche peut vous aider à ne pas atteindre le quota requis par les règles basées sur le [taux](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html) d'AWS WAF. Pour plus d'informations, consultez la section [Options de l'analyseur de log](log-parser-options.md).
Vous pouvez également améliorer l'analyseur de log Athena en ajoutant un pays et un identifiant de ressource uniforme (URI) aux conditions de filtrage. Cette approche identifie et bloque les attaques HTTP Flood dont les modèles d'URI sont imprévisibles. Pour plus d'informations, reportez-vous à la section [Utiliser le pays et l'URI dans l'analyseur de journaux HTTP Flood Athena](use-country-and-uri-in-http-flood-athena-log-parser.md).
## Bloquez l'exploitation des vulnérabilités grâce à une règle personnalisée prédéfinie pour Scanners & Probes
La règle personnalisée **Scanners & Probes** analyse les journaux d'accès aux applications à la recherche de comportements suspects, tels qu'un nombre anormal d'erreurs générées par une origine. Il bloque ensuite ces adresses IP sources suspectes pendant une période définie par le client. Vous pouvez choisir l'une des options suivantes pour activer cette règle : Lambda log parser ou Athena log parser. Pour plus d'informations, consultez la section [Options de l'analyseur de log](log-parser-options.md).
## Détectez et bloquez les intrusions grâce à la règle personnalisée Bad Bot prédéfinie
La règle personnalisée **Bad Bot** définit un point de terminaison honeypot, qui est un mécanisme de sécurité destiné à attirer et à déjouer une tentative d'attaque. Vous pouvez insérer le point de terminaison dans votre site Web pour détecter les demandes entrantes provenant des scrapeurs de contenu et des robots malveillants. Une fois détectée, toutes les demandes ultérieures provenant des mêmes origines seront bloquées. Pour plus d'informations, voir [Intégrer le lien Honeypot dans votre application Web](embed-the-honeypot-link-in-your-web-application-optional.md).
## Bloquer les adresses IP malveillantes avec des règles personnalisées de listes de réputations IP prédéfinies
La règle personnalisée **des listes de réputation IP** vérifie toutes les heures les listes de réputation IP tierces pour détecter les nouvelles plages d'adresses IP à bloquer. Ces listes incluent les listes Do't Route Or Peer (DROP) et Extended DROP (EDROP) de [Spamhaus](https://www.spamhaus.org/drop/), la [liste IP des menaces émergentes de Proofpoint et la liste des](https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt) nœuds de [sortie Tor](https://check.torproject.org/exit-addresses).
## Fournir une configuration IP manuelle avec une règle personnalisée prédéfinie pour les listes d'adresses IP autorisées et refusées
Les règles personnalisées des **listes d'adresses IP autorisées et refusées** vous permettent d'insérer manuellement les adresses IP que vous souhaitez autoriser ou refuser. Vous pouvez également configurer la [rétention des adresses IP sur les listes d'adresses IP autorisées et refusées](configure-ip-retention-on-allowed-and-denied-aws-waf-ip-sets.md) pour qu'elles expirent IPs à une heure définie.
## Créez votre propre tableau de bord de surveillance
Cette solution émet des CloudWatch métriques [Amazon](https://aws.amazon.com/cloudwatch/) telles que les demandes autorisées, les demandes bloquées et d'autres métriques pertinentes. Vous pouvez créer un tableau de bord personnalisé pour visualiser ces indicateurs et obtenir des informations sur le schéma des attaques et la protection fournie par AWS WAF. Pour plus d'informations, reportez-vous à la section [Créer un tableau de bord de surveillance](build-monitoring-dashboard.md).
# Cas d’utilisation
Voici des exemples de cas d'utilisation de cette solution. Vous pouvez personnaliser cette solution de manière innovante qui ne se limite pas à cette liste.
**Automatisez la configuration des règles AWS WAF**
AWS WAF protège votre application Web contre les attaques courantes ; toutefois, la configuration des règles AWS WAF peut s'avérer complexe et chronophage. Pour vous aider, cette solution déploie automatiquement un ensemble de règles AWS WAF dans votre compte à l'aide CloudFormation d'un modèle. Ainsi, vous n'avez pas besoin de configurer vous-même les règles d'AWS WAF et vous pouvez commencer à utiliser AWS WAF plus rapidement.
**Personnalisez la protection HTTP Flood de couche 7**
Cette solution propose trois options pour activer la protection HTTP Flood. Vous pouvez sélectionner l'option qui correspond à vos besoins pour vous protéger contre les attaques DDo S. Pour plus d'informations, voir **Fournir une protection contre les inondations de couche 7 avec une règle personnalisée HTTP Flood prédéfinie** dans [Fonctionnalités et avantages](features-and-benefits.md).
**Tirez parti du code source pour appliquer la personnalisation ou créer vos propres automatisations de sécurité**
Cette solution fournit un exemple d'utilisation d'AWS WAF et d'autres services pour créer des automatisations de sécurité sur le cloud AWS. Son [code source ouvert](https://github.com/aws-solutions/aws-waf-security-automations) vous GitHub permet d'appliquer facilement des personnalisations ou de créer vos propres automatisations de sécurité adaptées à vos besoins.
# Concepts et définitions
Cette section décrit les concepts clés et définit la terminologie spécifique à cette solution.
**Journaux ALB**
Cette solution utilise des journaux pour la ressource ALB. La règle de **protection des scanners et des sondes** de cette solution inspecte ces journaux.
**Analyseur de log Athena**
Amazon Athena est un service d'analyse interactif sans serveur qui repose sur des frameworks open source et prend en charge les formats de fichier et de table ouverts. Cette solution exécute une requête Athena planifiée pour inspecter les journaux AWS CloudFront, WAF ou ALB si l'utilisateur le `yes - Amazon Athena log parser` souhaite lors de l'activation de la règle **HTTP Flood Protection ou de la** **règle de protection Scanner & Probe**, et peut être utilisée **pour activer la protection contre les mauvais robots** grâce à une détection qui fonctionne via une chaîne logique structurée.
**Règle AWS WAF**
Une règle AWS WAF définit :
+ Comment inspecter les requêtes Web HTTP (S)
+ La suite à donner à une demande lorsqu'elle répond aux critères d'inspection
Vous définissez des règles uniquement dans le contexte d'un groupe de règles ou d'une ACL Web.
**CloudFront journaux**
Cette solution utilise des journaux pour la CloudFront ressource. La règle de **protection des scanners et des sondes** de cette solution inspecte ces journaux.
**Ensemble d'adresses IP**
Un ensemble d'adresses IP fournit un ensemble d'adresses IP et de plages d'adresses IP que vous souhaitez utiliser
ensemble dans une déclaration de règle. Les ensembles d'adresses IP sont des ressources AWS.
**Analyseur de log Lambda**
[Cette solution exécute une fonction Lambda invoquée par un événement de création d'objet [Amazon Simple Storage Service](https://aws.amazon.com/s3/) (Amazon S3).](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) La fonction Lambda lance une inspection des journaux AWS, WAF ou ALB si l'utilisateur le souhaite `yes - AWS Lambda log parser` lors de l'activation de la protection **HTTP contre les inondations CloudFront, de la protection** du **scanner et de la sonde. Elle peut être utilisée pour appliquer la règle de protection contre** les **robots défectueux** grâce à une détection qui fonctionne via une chaîne logique structurée.
**Groupes de règles gérés**
Les groupes de règles gérés sont des ensembles de ready-to-use règles prédéfinies que les vendeurs d'AWS et d'AWS Marketplace rédigent et mettent à jour pour vous. La [tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/) s'applique à votre utilisation de n'importe quel groupe de règles géré.
**type de ressource/point de terminaison**
Vous pouvez associer des ressources AWS au Web ACLs pour les protéger. Ces ressources sont les CloudFront ressources ALB, [AWS AppSync](https://aws.amazon.com/appsync/), [Amazon](https://aws.amazon.com/cognito/) Cognito, [AWS App Runner et AWS](https://aws.amazon.com/apprunner/) [Verified Access](https://aws.amazon.com/verified-access/). Actuellement, cette solution est prise en charge par Amazon CloudFront et ALB.
**Journaux WAF**
Cette solution utilise les journaux générés par AWS WAF pour les ressources associées à l'ACL Web. Les règles **HTTP Flood Protection**, **Scanner & Probe Protection** et **Activate Bad Bot Protection** de cette solution inspectent ces journaux.
**WCU**
AWS WAF utilise les unités de capacité des listes de contrôle d'accès Web (ACL) (WCUs) pour calculer et contrôler les ressources d'exploitation nécessaires à l'exécution de vos règles, de vos groupes de règles et du Web. ACLs AWS WAF applique des quotas WCU lorsque vous configurez vos groupes de règles et votre site Web. ACLs WCUs n'affectent pas la façon dont AWS WAF inspecte le trafic Web.
**ACL Web**
Une ACL Web vous permet de contrôler avec précision les requêtes Web HTTP (S) auxquelles répond votre ressource protégée.
**Note**
Pour une référence générale des termes AWS, consultez le [glossaire AWS](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html).