Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Panoramica dell'architettura
Questa sezione fornisce un diagramma dell'architettura di implementazione di riferimento per i componenti distribuiti con questa soluzione.
## Diagramma architetturale
La distribuzione di questa soluzione con i parametri predefiniti distribuisce i seguenti componenti nel tuo account AWS.
**CloudFormation template distribuisce AWS WAF e altre risorse AWS per proteggere la tua applicazione web dagli attacchi comuni.**
![\[Panoramica dell'architettura aws waf\]](http://docs.aws.amazon.com/it_it/solutions/latest/security-automations-for-aws-waf/images/aws-waf-architecture-overview.png)
Alla base del design c'è un ACL web [AWS WAF](https://aws.amazon.com/waf/), che funge da punto centrale di ispezione e decisione per tutte le richieste in arrivo verso un'applicazione web. Durante la configurazione iniziale dello CloudFormation stack, l'utente definisce quali componenti protettivi attivare. Ogni componente funziona in modo indipendente e aggiunge regole diverse all'ACL Web.
I componenti di questa soluzione possono essere raggruppati nelle seguenti aree di protezione.
**Nota**
Le etichette di gruppo non riflettono il livello di priorità delle regole WAF.
+ **AWS Managed Rules (A)**: questo componente contiene i gruppi di regole di [reputazione IP di AWS Managed Rules, i gruppi di regole](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html) di [base e i gruppi](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html) di regole [specifici per i casi d'uso](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html). Questi gruppi di regole proteggono dallo sfruttamento delle vulnerabilità più comuni delle applicazioni o di altro traffico indesiderato, inclusi quelli descritti nelle pubblicazioni [OWASP](https://owasp.org/), senza dover scrivere regole proprie.
+ **Elenchi IP manuali (B e C)**: questi componenti creano due regole AWS WAF. Con queste regole, puoi inserire manualmente gli indirizzi IP che desideri consentire o negare. Puoi configurare la conservazione degli IP e rimuovere gli indirizzi IP scaduti su set IP consentiti o negati utilizzando EventBridge [le regole](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) di Amazon e [Amazon](https://aws.amazon.com/eventbridge) [DynamoDB](https://aws.amazon.com/dynamodb). Per ulteriori informazioni, consulta [Configurare la conservazione degli IP sui set IP AWS WAF consentiti e negati](configure-ip-retention-on-allowed-and-denied-aws-waf-ip-sets.md).
+ **SQL Injection (D) e XSS (E)**: questi componenti configurano due regole AWS WAF progettate per proteggere dai comuni modelli di SQL injection o cross-site scripting (XSS) nell'URI, nella stringa di query o nel corpo di una richiesta.
+ **HTTP Flood (F)**: questo componente protegge dagli attacchi che consistono in un gran numero di richieste provenienti da un particolare indirizzo IP, come un attacco S a livello Web o un tentativo di accesso a forza DDo bruta. Con questa regola, si imposta una quota che definisce il numero massimo di richieste in entrata consentite da un singolo indirizzo IP entro un periodo predefinito di cinque minuti (configurabile con il parametro **Athena Query Run** Time Schedule). Una volta superata questa soglia, le richieste aggiuntive provenienti dall'indirizzo IP vengono temporaneamente bloccate. Puoi implementare questa regola utilizzando una regola basata sulla velocità di AWS WAF o elaborando i log di AWS WAF utilizzando una funzione Lambda o una query Athena. [Per ulteriori informazioni sui compromessi relativi alle opzioni di mitigazione delle inondazioni HTTP, consulta le opzioni del parser di log.](log-parser-options.md)
+ **Scanner and Probe (G)**: questo componente analizza i log di accesso alle applicazioni alla ricerca di comportamenti sospetti, ad esempio una quantità anomala di errori generati da un'origine. Quindi blocca quegli indirizzi IP di origine sospetti per un periodo di tempo definito dal cliente. [È possibile implementare questa regola utilizzando una funzione [Lambda](https://aws.amazon.com/lambda/) o una query Athena.](https://aws.amazon.com/athena/) [Per ulteriori informazioni sui compromessi relativi alle opzioni di mitigazione dello scanner e della sonda, consulta le opzioni del parser di log.](log-parser-options.md)
+ **Elenchi di reputazione IP (H)**: questo componente è la funzione `IP Lists Parser` Lambda che controlla ogni ora gli elenchi di reputazione IP di terze parti per individuare nuovi intervalli da bloccare. Questi elenchi includono gli elenchi Spamhaus Don't Route Or Peer (DROP) ed Extended DROP (EDROP), l'elenco IP di Proofpoint Emerging Threats e l'elenco dei nodi di uscita Tor.
+ **Bad Bot (I)**: questo componente migliora il rilevamento dei bot non validi monitorando le connessioni dirette a un Application Load Balancer (ALB) o CloudFront Amazon, oltre al meccanismo honeypot. Se un bot aggira l'honeypot e tenta di interagire con ALB or CloudFront, il sistema analizza gli schemi e i log delle richieste per identificare attività dannose. Quando viene rilevato un bot non valido, il relativo indirizzo IP viene estratto e aggiunto a una lista di blocchi AWS WAF per impedire ulteriori accessi. Il rilevamento dei bot non validi opera attraverso una catena logica strutturata, garantendo una copertura completa delle minacce:
+ HTTP Flood Protection Lambda Log Parser: raccoglie i IPs bot danneggiati dalle voci di registro durante l'analisi delle inondazioni.
+ Scanner & Probe Protection Lambda Log Parser: identifica i IPs bot non validi dalle voci di registro relative allo scanner.
+ HTTP Flood Protection Athena Log Parser: estrae il bot non valido IPs dai log di Athena, utilizzando le partizioni durante l'esecuzione delle query.
+ Scanner & Probe Protection Athena Log Parser: recupera i bot danneggiati IPs dai log Athena relativi allo scanner, utilizzando la stessa strategia di partizionamento.
+ [Rilevamento fallback: se sia HTTP Flood Protection che Scanner & Probe Protection sono disabilitate, il sistema si basa sul parser Log Lambda, che registra l'attività dei bot in base ai filtri delle etichette WAF.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html)
Ognuna delle tre funzioni Lambda personalizzate di questa soluzione pubblica le metriche di runtime su. CloudWatch Per ulteriori informazioni su queste funzioni Lambda, consulta i dettagli [dei componenti](component-details.md).
# Considerazioni sulla progettazione di AWS Well-Architected
Questa soluzione utilizza le best practice di [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/), che aiuta i clienti a progettare e gestire carichi di lavoro affidabili, sicuri, efficienti ed economici nel cloud.
Questa sezione descrive in che modo i principi di progettazione e le migliori pratiche di Well-Architected Framework favoriscono questa soluzione.
## Eccellenza operativa
Questa sezione descrive come abbiamo progettato questa soluzione utilizzando i principi e le migliori pratiche del pilastro dell'eccellenza [operativa](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html).
+ La soluzione utilizza parametri per CloudWatch fornire l'osservabilità dell'infrastruttura, delle funzioni Lambda, di Amazon [Data Firehose](https://aws.amazon.com/kinesis/data-firehose/), dei bucket Amazon S3 e del resto dei componenti della soluzione.
+ Sviluppiamo, testiamo e pubblichiamo la soluzione tramite una pipeline di integrazione continua e distribuzione continua (CI/CD) di AWS. Questo aiuta gli sviluppatori a ottenere risultati di alta qualità in modo coerente.
+ Puoi installare la soluzione con un CloudFormation modello che fornisca tutte le risorse necessarie nel tuo account. Per aggiornare o eliminare la soluzione, è sufficiente aggiornare o eliminare il modello.
## Sicurezza
Questa sezione descrive come abbiamo progettato questa soluzione utilizzando i principi e le migliori pratiche del [pilastro della sicurezza](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html).
+ Tutte le comunicazioni tra servizi utilizzano ruoli [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM).
+ [Tutti i ruoli utilizzati dalla soluzione seguono l'accesso con privilegi minimi.](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) In altre parole, contengono solo le autorizzazioni minime necessarie per il corretto funzionamento del servizio.
+ Tutti gli storage di dati, inclusi i bucket Amazon S3 e DynamoDB, dispongono di crittografia a riposo.
## Affidabilità
[Questa sezione descrive come abbiamo progettato questa soluzione utilizzando i principi e le migliori pratiche del pilastro dell'affidabilità.](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)
+ La soluzione utilizza i servizi serverless AWS laddove possibile (ad esempio, Lambda, Firehose, Amazon S3 e Athena) per garantire un'elevata disponibilità e il ripristino in caso di guasto del servizio.
+ Eseguiamo test automatici sulla soluzione per rilevare e correggere rapidamente gli errori.
+ La soluzione utilizza le funzioni Lambda per l'elaborazione dei dati. La soluzione archivia i dati in Amazon S3 e DynamoDB e, per impostazione predefinita, persiste in più zone di disponibilità.
## Efficienza delle prestazioni
[Questa sezione descrive come abbiamo progettato questa soluzione utilizzando i principi e le migliori pratiche del pilastro prestazione-efficienza.](https://docs.aws.amazon.com/wellarchitected/latest/performance-efficiency-pillar/welcome.html)
+ La soluzione utilizza un'architettura serverless per garantire un'elevata scalabilità e disponibilità a un costo ridotto.
+ La soluzione migliora le prestazioni del database partizionando i dati e ottimizzando le query per ridurre la quantità di dati da scansionare e ottenere risultati più rapidi.
+ La soluzione viene testata e implementata automaticamente ogni giorno. I nostri architetti di soluzioni ed esperti in materia esaminano la soluzione per individuare le aree da sperimentare e migliorare.
## Ottimizzazione dei costi
Questa sezione descrive come abbiamo progettato questa soluzione utilizzando i principi e le migliori pratiche del [pilastro dell'ottimizzazione dei costi](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/welcome.html).
+ La soluzione utilizza un'architettura serverless e i clienti pagano solo per ciò che utilizzano.
+ Il livello di calcolo della soluzione è impostato per impostazione predefinita su Lambda, che utilizza un modello. pay-per-use
+ Il database e le query Athena sono ottimizzati per ridurre la quantità di scansione dei dati, riducendo così i costi.
## Sostenibilità
[Questa sezione descrive come abbiamo progettato questa soluzione utilizzando i principi e le migliori pratiche del pilastro della sostenibilità.](https://docs.aws.amazon.com/wellarchitected/latest/sustainability-pillar/sustainability-pillar.html)
+ La soluzione utilizza servizi gestiti e serverless per ridurre al minimo l'impatto ambientale dei servizi di backend.
+ Il design serverless della soluzione mira a ridurre l'impronta di carbonio rispetto a quella dei server locali che operano continuamente.