Utilisation AWS WAF avec Amazon CloudFront - AWS WAF, AWS Firewall Manager AWS Shield Advanced, et directeur de la sécurité AWS Shield réseau
Comment AWS WAF fonctionne avec les différents types de distributionUtilisation AWS WAF avec les plans CloudFront de tarification

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section Utilisation de la console.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation AWS WAF avec Amazon CloudFront

Découvrez comment utiliser les CloudFront fonctionnalités AWS WAF d'Amazon.

Lorsque vous créez un pack de protection (ACL Web), vous pouvez spécifier une ou plusieurs CloudFront distributions que vous AWS WAF souhaitez inspecter. CloudFront prend en charge deux types de distributions : les distributions standard qui protègent les locataires individuels et les distributions multi-locataires qui protègent plusieurs locataires via un modèle de configuration unique et partagé. AWS WAF inspecte les requêtes Web pour les deux types de distribution en fonction des règles que vous définissez dans vos packs de protection (Web ACLs), avec des modèles d'implémentation différents pour chaque type.

Rubriques

Comment AWS WAF fonctionne avec les différents types de distribution

Types de distribution

AWS WAF fournit des fonctionnalités de pare-feu d'applications Web pour les CloudFront distributions de distribution standard et multi-locataires.

Distributions standard

Pour les distributions standard, AWS WAF ajoute une protection à l'aide d'un pack de protection unique (ACL Web) pour chaque distribution. Vous pouvez activer cette protection en associant un pack de protection existant (ACL Web) à une CloudFront distribution ou en utilisant la protection en un clic dans la CloudFront console. Cela vous permet de gérer les contrôles de sécurité pour chacune de vos distributions indépendamment, car toute modification apportée à un pack de protection (ACL Web) n'affectera que la distribution qui lui est associée.

Cette méthode simple de protection des CloudFront distributions est optimale pour fournir à des domaines individuels des protections spécifiques à partir d'un seul pack de protection (ACL Web).

Considérations relatives à la distribution standard

  • Les modifications apportées à un pack de protection (ACL Web) affectent uniquement sa distribution associée

  • Chaque distribution nécessite une configuration de pack de protection (ACL Web) indépendante

  • Les règles et les groupes de règles sont gérés séparément pour chaque distribution

Distributions entre locataires

Pour les distributions multi-locataires, AWS WAF renforce la protection sur plusieurs domaines à l'aide d'un seul pack de protection (ACL Web). Les domaines gérés par des distributions multi-locataires sont appelés locataires de distribution. Vous ne pouvez activer AWS WAF la protection des distributions mutualisées que dans la CloudFront console, pendant ou après le processus de création des distributions mutualisées. Cependant, les modifications apportées à un pack de protection (ACL Web) sont toujours gérées via la AWS WAF console ou l'API.

Les distributions multi-locataires offrent la flexibilité nécessaire pour permettre AWS WAF des protections à deux niveaux :

  • Niveau de distribution mutualisé : les packs de protection associés (Web ACLs) fournissent des contrôles de sécurité de base qui s'appliquent à toutes les applications partageant cette distribution

  • Niveau du locataire de distribution : les locataires individuels d'une distribution multi-locataires peuvent disposer de leurs propres packs de protection (Web ACLs) pour mettre en œuvre des contrôles de sécurité supplémentaires ou annuler les paramètres de distribution multi-locataires

Ces deux niveaux rendent les distributions multi-locataires optimales pour partager les AWS WAF protections entre plusieurs domaines sans perdre la possibilité de personnaliser la sécurité pour une distribution individuelle.

Considérations relatives à la distribution entre locataires

  • Les locataires de distribution individuels héritent des modifications apportées aux packs de protection (Web ACLs) associés aux distributions mutualisées associées

  • Les packs de protection (Web ACLs) associés à des locataires de distribution spécifiques peuvent remplacer les paramètres configurés au niveau du pack de protection multi-locataires (ACL Web)

  • Les groupes de règles gérés peuvent être mis en œuvre à la fois au niveau de la distribution et au niveau du locataire de distribution

  • Les identifiants des applications peuvent être localisés dans les journaux pour suivre les événements de sécurité par distribution

AWS WAF fonctionnalités par type de distribution

Comparaison des implémentations de packs de protection (ACL Web)
AWS WAF Fonctionnalité Distributions standard Distributions entre locataires
Associer des packs de protection (Web ACLs) Un pack de protection (ACL Web) par distribution Vous pouvez partager des packs de protection (Web ACLs) entre les locataires, avec des packs de protection spécifiques optionnels (Web) ACLs
Gestion des règles Les règles concernent une distribution unique Les règles de distribution multi-locataires affectent tous les locataires associés ; les règles de distribution spécifiques au locataire n'affectent que ce locataire
Groupes de règles gérés Appliqué aux distributions individuelles Peut être appliqué au niveau de la distribution multi-locataires pour tous les locataires ou au niveau du locataire pour des applications spécifiques
Logging AWS WAF Journaux standard Les journaux incluent les identifiants des locataires pour l'attribution des événements de sécurité

Utilisation AWS WAF avec des plans CloudFront de tarification forfaitaires

CloudFront les plans tarifaires forfaitaires combinent le réseau CloudFront mondial de diffusion de contenu (CDN) Amazon avec plusieurs Services AWS fonctionnalités dans un prix mensuel sans frais d'excédent, indépendamment des pics de trafic ou des attaques.

Les plans tarifaires forfaitaires incluent Services AWS les fonctionnalités suivantes pour un prix mensuel simple :

  • CloudFront CDN

  • AWS WAF et protection DDo S

  • Gestion et analyse des bots

  • DNS d'Amazon Route 53

  • Ingestion d'Amazon CloudWatch Logs

  • Certificat TLS

  • Calcul périphérique sans serveur

  • Crédits de stockage Amazon S3 par mois

Les plans sont disponibles aux niveaux Free, Pro, Business et Premium pour répondre aux besoins de votre application. Les forfaits ne nécessitent pas d'engagement annuel pour obtenir les meilleurs tarifs disponibles. Commencez par le plan gratuit et passez à une mise à niveau pour accéder à davantage de fonctionnalités et à des limites d'utilisation plus importantes.

Pour plus d'informations et une liste complète des forfaits et fonctionnalités, consultez les plans tarifaires CloudFront forfaitaires dans le manuel Amazon CloudFront Developer Guide.

Important

Un pack de AWS WAF protection valide (ACL Web) doit rester associé à votre CloudFront distribution, quel que soit le plan tarifaire utilisé. Vous ne pouvez pas supprimer l'association du pack de protection (ACL Web) à moins de revenir à la pay-as-you-go tarification.

Bien qu'une ACL AWS WAF Web doive rester associée à votre distribution, vous conservez le contrôle total de votre configuration de sécurité. Vous pouvez personnaliser votre protection en ajustant les règles activées ou désactivées dans votre ACL Web, et en modifiant les paramètres des règles en fonction de vos exigences de sécurité. Pour plus d'informations sur la gestion des règles ACL Web, consultez la section AWS WAF Règles.