Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Dettagli dell'architettura
Questa sezione descrive i componenti e i servizi AWS che compongono questa soluzione e i dettagli dell'architettura su come questi componenti interagiscono.
## Servizi AWS in questa soluzione
| Servizio AWS | Description |
| --- | --- |
| [AWS WAF](https://aws.amazon.com/waf/) | **Nucleo.** Implementa un ACL web AWS WAF, gruppi di regole AWS Managed Rules, regole personalizzate e set IP. Effettua chiamate API AWS WAF per bloccare attacchi comuni e applicazioni Web sicure. |
| [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/) | **Nucleo**. Fornisce log AWS WAF ai bucket Amazon S3. |
| [Amazon S3](https://aws.amazon.com/s3/) | **Nucleo**. Memorizza i log AWS WAF e ALB. CloudFront |
| [AWS Lambda](https://aws.amazon.com/lambda/) | **Nucleo**. Implementa più funzioni Lambda per supportare regole personalizzate. |
| [Amazon EventBridge](https://aws.amazon.com/eventbridge/) | **Core.** Crea regole di eventi per richiamare Lambda. |
| [Amazon Athena](https://aws.amazon.com/athena/) | **Supporto.** Crea query e gruppi di lavoro Athena per supportare il parser di log Athena. |
| [AWS Glue](https://aws.amazon.com/glue/) | **Supporto.** Crea database e tabelle per supportare il parser di log Athena. |
| [Amazon SNS](https://aws.amazon.com/sns/) | **Supporto.** Invia notifiche e-mail di Amazon Simple Notification Service (Amazon SNS) per supportare la conservazione degli IP negli elenchi consentiti e negati. |
| [AWS Systems Manager](https://aws.amazon.com/systems-manager/) | **Supporto**. Fornisce il monitoraggio delle risorse a livello di applicazione e la visualizzazione delle operazioni relative alle risorse e dei dati sui costi. |
# Opzioni del parser di registro
Come descritto nella [panoramica dell'architettura](architecture-overview.md), sono disponibili tre opzioni per gestire le protezioni HTTP flood e le protezioni da scanner e sonde. Le sezioni seguenti spiegano ognuna di queste opzioni in modo più dettagliato.
## Regola basata sulla tariffa AWS WAF
Sono disponibili regole basate sulla tariffa per la protezione dalle inondazioni HTTP. Per impostazione predefinita, una regola basata sulla frequenza aggrega e limita la velocità delle richieste in base all'indirizzo IP della richiesta. Questa soluzione consente di specificare il numero di richieste Web consentite dall'IP di un client in un periodo finale di cinque minuti, aggiornato continuamente. Se un indirizzo IP viola la quota configurata, AWS WAF blocca le nuove richieste bloccate fino a quando la frequenza delle richieste non è inferiore alla quota configurata.
Ti consigliamo di selezionare l'opzione della regola basata sulla tariffa se la quota di richiesta è superiore a 2.000 richieste ogni cinque minuti e non è necessario implementare personalizzazioni. Ad esempio, non si considera l'accesso statico alle risorse nel conteggio delle richieste.
È possibile configurare ulteriormente la regola per utilizzare varie altre chiavi di aggregazione e combinazioni di tasti. Per ulteriori informazioni, consulta [Opzioni e chiavi di aggregazione](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-options.html).
## Analizzatore di log Amazon Athena
Entrambi i parametri del modello **HTTP Flood Protection** e **Scanner & Probe** **Protection** forniscono l'opzione Athena log parser. Se attivato, CloudFormation fornisce una query Athena e una funzione Lambda pianificata responsabile dell'orchestrazione di Athena per l'esecuzione, l'elaborazione dell'output dei risultati e l'aggiornamento di AWS WAF. Questa funzione Lambda viene richiamata da un CloudWatch evento configurato per essere eseguito ogni cinque minuti. Questo è configurabile con il parametro **Athena Query Run Time** Schedule.
Ti consigliamo di selezionare questa opzione quando non puoi utilizzare le regole basate sulla frequenza di AWS WAF e hai familiarità con SQL per implementare le personalizzazioni. Per ulteriori informazioni su come modificare la query predefinita, consulta [Visualizza le query Amazon Athena](view-amazon-athena-queries.md).
La protezione dalle inondazioni HTTP si basa sull'elaborazione dei log di accesso AWS WAF e utilizza i file di registro WAF. Il tipo di log di accesso WAF ha un tempo di ritardo inferiore, che puoi utilizzare per identificare più rapidamente le origini del flood HTTP rispetto ai CloudFront nostri tempi di consegna dei log ALB. Tuttavia, è necessario selezionare il tipo di registro CloudFront o ALB nel parametro del modello **Activate Scanner & Probe Protection** per ricevere i codici di stato della risposta.
**Nota**
Se un bot danneggiato aggira l'honeypot e interagisce direttamente con ALB or CloudFront, il sistema rileva un comportamento dannoso tramite l'analisi dei log, a meno che sia HTTP Flood Protection che Scanner & Probe Protection non utilizzino il parser di log Lambda.
## Analizzatore di log AWS Lambda
I parametri del modello **HTTP Flood Protection** e **Scanner & Probe Protection** forniscono l'opzione **AWS Lambda Log** Parser. Utilizza il parser di log Lambda solo quando la **regola basata sulla frequenza AWS WAF e le opzioni del** parser di log di **Amazon Athena** non sono disponibili. Una limitazione nota di questa opzione è che le informazioni vengono elaborate nel contesto del file in fase di elaborazione. Ad esempio, un IP potrebbe generare più richieste o errori rispetto alla quota definita, ma poiché queste informazioni sono suddivise in diversi file, ogni file non memorizza dati sufficienti per superare la quota.
**Nota**
Inoltre, se un bot malintenzionato aggira l'honeypot e interagisce direttamente con ALB or CloudFront, il rilevamento si basa sull'opzione di analisi dei log scelta per identificare e bloccare efficacemente le attività dannose.
# Dettagli dei componenti
Come descritto nel [diagramma dell'architettura](architecture-overview.md#architecture-diagram), quattro componenti di questa soluzione utilizzano automazioni per ispezionare gli indirizzi IP e aggiungerli alla lista di blocco di AWS WAF. Le seguenti sezioni spiegano ciascuno di questi componenti in modo più dettagliato.
## Log parser - Applicazione
Il parser dei registri dell'applicazione aiuta a proteggere da scanner e sonde.
**Flusso del parser del registro dell'applicazione.**
![\[flusso del parser del registro delle app\]](http://docs.aws.amazon.com/it_it/solutions/latest/security-automations-for-aws-waf/images/app-log-parser-flow.png)
1. Quando CloudFront un ALB riceve richieste per conto della tua applicazione Web, invia i log di accesso a un bucket Amazon S3.
1. (Facoltativo) Se si seleziona `Yes - Amazon Athena log parser` per i parametri del modello **Activate HTTP Flood Protection** e **Activate Scanner & Probe Protection**, una funzione Lambda sposta i log di accesso dalla cartella originale ** `/AWSLogs` a una cartella appena partizionata/al ** `/AWSLogs-partitioned/` ** `/year=` ** `/month=` ** `/day=` ** `/hour=` ** loro arrivo in Amazon S3.
1. (Facoltativo) Se si seleziona `yes` il parametro del modello di posizione **Keep Data in Original S3, i log rimangono nella posizione** originale e vengono copiati nella cartella partizionata, duplicando lo spazio di archiviazione dei log.
**Nota**
Per il parser di log Athena, questa soluzione partiziona solo i nuovi log che arrivano nel bucket Amazon S3 dopo aver distribuito questa soluzione. Se disponi di log esistenti che desideri partizionare, devi caricarli manualmente su Amazon S3 dopo aver distribuito questa soluzione.
1. In base alla selezione dei parametri del modello Activate **HTTP Flood Protection e **Activate Scanner & Probe Protection****, questa soluzione elabora i log utilizzando uno dei seguenti metodi:
1. **Lambda**: ogni volta che un nuovo log di accesso viene archiviato nel bucket Amazon S3, viene avviata `Log Parser` la funzione Lambda.
1. **Athena** - Per impostazione predefinita, ogni cinque minuti viene eseguita la query **Athena di Scanner & Probe Protection** e l'output viene inviato ad AWS WAF. Questo processo viene avviato da un CloudWatch evento che avvia la funzione Lambda responsabile dell'esecuzione della query Athena e invia il risultato in AWS WAF.
1. La soluzione analizza i dati di registro per identificare gli indirizzi IP che hanno generato più errori rispetto alla quota definita. La soluzione aggiorna quindi una condizione del set di IP AWS WAF per bloccare tali indirizzi IP per un periodo di tempo definito dal cliente.
## Analizzatore di log - AWS WAF
Se selezioni `yes - AWS Lambda log parser` o `yes - Amazon Athena log parser` per **Activate HTTP Flood Protection**, questa soluzione fornisce i seguenti componenti, che analizzano i log di AWS WAF per identificare e bloccare le origini che inondano l'endpoint con una frequenza di richiesta superiore alla quota definita.
**Flusso del parser di log AWS WAF.**
![\[flusso del parser di log waf\]](http://docs.aws.amazon.com/it_it/solutions/latest/security-automations-for-aws-waf/images/waf-log-parser-flow.png)
1. Quando AWS WAF riceve i log di accesso, li invia a un endpoint Firehose. Firehose invia quindi i log a un bucket partizionato in Amazon S3 denominato ** `/AWSLogs/` ** `/year=` ** `/month=` ** `/day=` ** `/hour=` ** `/`
1. In base alla selezione effettuata per i parametri del modello Activate **HTTP Flood Protection e **Activate Scanner & Probe Protection****, questa soluzione elabora i log utilizzando uno dei seguenti strumenti:
1. **Lambda**: ogni volta che un nuovo log di accesso viene archiviato nel bucket Amazon S3, viene avviata `Log Parser` la funzione Lambda.
1. **Athena:** per impostazione predefinita, ogni cinque minuti viene eseguita la query Athena dello scanner e della sonda e l'output viene inviato ad AWS WAF. Questo processo viene avviato da un CloudWatch evento Amazon, che avvia quindi la funzione Lambda responsabile dell'esecuzione della query Amazon Athena e invia il risultato in AWS WAF.
1. La soluzione analizza i dati di registro per identificare gli indirizzi IP che hanno inviato più richieste rispetto alla quota definita. La soluzione aggiorna quindi una condizione del set di IP AWS WAF per bloccare tali indirizzi IP per un periodo di tempo definito dal cliente.
## Log parser - Bot non valido
Il parser di log Bad bot esamina le richieste all'endpoint honeypot per estrarne l'indirizzo IP di origine.
**Flusso del parser del registro di avvio errato.**
![\[flusso del parser del log badbot\]](http://docs.aws.amazon.com/it_it/solutions/latest/security-automations-for-aws-waf/images/badbot-log-parser-flow.png)
1. [Se `Bad Bot Protection` è attivata e entrambe le funzionalità HTTP Flood Protection e Scanner & Probe Protection sono disabilitate: il sistema utilizzerà il parser Log Lambda, che registra solo le richieste bot non valide in base ai filtri di etichette WAF.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html)
1. La funzione Lambda intercetta e ispeziona le intestazioni delle richieste per estrarre l'indirizzo IP della fonte che ha avuto accesso all'endpoint trap.
1. La soluzione analizza i dati di registro per identificare gli indirizzi IP che hanno inviato più richieste rispetto alla quota definita. La soluzione aggiorna quindi una condizione del set di IP AWS WAF per bloccare tali indirizzi IP per un periodo di tempo definito dal cliente.
## Analizzatore di elenchi IP
La funzione `IP Lists Parser` Lambda aiuta a proteggere dagli aggressori noti identificati negli elenchi di reputazione IP di terze parti.
**La reputazione IP elenca i flussi del parser.**
![\[La reputazione IP elenca il flusso\]](http://docs.aws.amazon.com/it_it/solutions/latest/security-automations-for-aws-waf/images/ip-reputation-lists-flow.png)
1. Un CloudWatch evento Amazon ogni ora richiama la funzione `IP Lists Parser` Lambda.
1. La funzione Lambda raccoglie e analizza i dati da tre fonti:
+ Elenchi Spamhaus DROP e EDROP
+ Elenco IP Proofpoint Emerging Threats
+ Elenco dei nodi di uscita Tor
1. La funzione Lambda aggiorna l'elenco di blocchi di AWS WAF con gli indirizzi IP correnti.