As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Visão geral da arquitetura
<a name="architecture-overview"></a>

Esta seção fornece um diagrama de arquitetura de implementação de referência para os componentes implantados com essa solução.

## Diagrama de arquitetura
<a name="architecture-diagram"></a>

A implantação dessa solução com os parâmetros padrão implanta os seguintes componentes em sua conta da AWS.

 **CloudFormation O modelo implanta o AWS WAF e outros recursos da AWS para proteger seu aplicativo web contra ataques comuns.** 

![\[visão geral da arquitetura aws waf\]](http://docs.aws.amazon.com/pt_br/solutions/latest/security-automations-for-aws-waf/images/aws-waf-architecture-overview.png)


No centro do design está uma ACL web do [AWS WAF](https://aws.amazon.com/waf/), que atua como ponto central de inspeção e decisão para todas as solicitações recebidas em um aplicativo web. Durante a configuração inicial da CloudFormation pilha, o usuário define quais componentes de proteção devem ser ativados. Cada componente opera de forma independente e adiciona regras diferentes à ACL da web.

Os componentes dessa solução podem ser agrupados nas seguintes áreas de proteção.

**nota**  
Os rótulos dos grupos não refletem o nível de prioridade das regras do WAF.
+  **AWS Managed Rules (A)** — Esse componente contém grupos de regras de [reputação de IP do AWS Managed Rules, grupos](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html) de [regras básicas e grupos](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html) de regras [específicos de casos de uso](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html). Esses grupos de regras protegem contra a exploração de vulnerabilidades comuns de aplicativos ou outros tráfegos indesejados, incluindo aqueles descritos nas publicações do [OWASP](https://owasp.org/), sem precisar escrever suas próprias regras.
+  **Listas manuais de IP (B e C)** — Esses componentes criam duas regras do AWS WAF. Com essas regras, você pode inserir manualmente os endereços IP que deseja permitir ou negar. Você pode configurar a retenção de IP e remover endereços IP expirados em conjuntos de IP permitidos ou negados usando EventBridge [as regras](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) [da Amazon e o Amazon](https://aws.amazon.com/eventbridge) [DynamoDB.](https://aws.amazon.com/dynamodb) Para obter mais informações, consulte [Configurar retenção de IP em conjuntos de IP permitidos e negados do AWS WAF](configure-ip-retention-on-allowed-and-denied-aws-waf-ip-sets.md).
+  **Injeção de SQL (D) e XSS (E)** — Esses componentes configuram duas regras do AWS WAF projetadas para proteger contra padrões comuns de injeção de SQL ou cross-site scripting (XSS) no URI, na string de consulta ou no corpo de uma solicitação.
+  **HTTP Flood (F)** - Esse componente protege contra ataques que consistem em um grande número de solicitações de um endereço IP específico, como um ataque na camada DDo S da web ou uma tentativa de login por força bruta. Com essa regra, você define uma cota que define o número máximo de solicitações de entrada permitidas de um único endereço IP em um período padrão de cinco minutos (configurável com o parâmetro **Athena Query** Run Time Schedule). Depois que esse limite é violado, solicitações adicionais do endereço IP são temporariamente bloqueadas. Você pode implementar essa regra usando uma regra baseada em taxas do AWS WAF ou processando registros do AWS WAF usando uma função Lambda ou uma consulta do Athena. [Para obter mais informações sobre as compensações relacionadas às opções de mitigação de inundação HTTP, consulte Opções do analisador de registros.](log-parser-options.md)
+  **Scanner and Probe (G)** - Esse componente analisa os registros de acesso ao aplicativo em busca de comportamentos suspeitos, como uma quantidade anormal de erros gerados por uma origem. Em seguida, ele bloqueia esses endereços IP de origem suspeitos por um período de tempo definido pelo cliente. [Você pode implementar essa regra usando uma função [Lambda](https://aws.amazon.com/lambda/) ou uma consulta do Athena.](https://aws.amazon.com/athena/) [Para obter mais informações sobre as vantagens e desvantagens relacionadas às opções de mitigação do scanner e da sonda, consulte Opções do analisador de registros.](log-parser-options.md)
+  **Listas de reputação de IP (H)** - Esse componente é a função `IP Lists Parser` Lambda que verifica listas de reputação de IP de terceiros de hora em hora em busca de novos intervalos a serem bloqueados. Essas listas incluem as listas Spamhaus Don't Route Or Peer (DROP) e Extended DROP (EDROP), a lista de IPs do Proofpoint Emerging Threats e a lista de nós de saída do Tor.
+  **Bad Bot (I)** - Esse componente aprimora a detecção de bots incorretos monitorando conexões diretas com um Application Load Balancer (ALB) ou CloudFront Amazon, além do mecanismo de honeypot. Se um bot contorna o honeypot e tenta interagir com o ALB ou CloudFront, o sistema analisa os padrões e registros de solicitações para identificar atividades maliciosas. Quando um bot mal-intencionado é detectado, seu endereço IP é extraído e adicionado a uma lista de bloqueios do AWS WAF para evitar mais acesso. A detecção de bots incorretos opera por meio de uma cadeia lógica estruturada, garantindo uma cobertura abrangente de ameaças:
  + Analisador de log Lambda de proteção contra inundações HTTP — Coleta IPs bots inválidos das entradas de registro durante a análise de inundação.
  + Scanner & Probe Protection Lambda Log Parser — Identifica IPs bots defeituosos nas entradas de registro relacionadas ao scanner.
  + HTTP Flood Protection Athena Log Parser — Extrai bots mal-intencionados dos registros IPs do Athena, usando partições na execução da consulta.
  + Scanner & Probe Protection Athena Log Parser — Recupera bots defeituosos dos registros IPs do Athena relacionados ao scanner, usando a mesma estratégia de particionamento.
  + [Detecção de fallback — Se a proteção contra inundação HTTP e a proteção de scanner e sonda estiverem desativadas, o sistema dependerá do analisador Log Lambda, que registra a atividade do bot com base nos filtros de rótulos WAF.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html)

Cada uma das três funções personalizadas do Lambda nesta solução publica métricas de tempo de execução em. CloudWatch Para obter mais informações sobre essas funções do Lambda, consulte Detalhes do [componente](component-details.md).

# Considerações sobre o design do AWS Well-Architected
<a name="well-architected"></a>

Essa solução usa as melhores práticas do [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/), que ajuda os clientes a projetar e operar cargas de trabalho confiáveis, seguras, eficientes e econômicas na nuvem.

Esta seção descreve como os princípios de design e as melhores práticas do Well-Architected Framework beneficiam essa solução.

## Excelência operacional
<a name="operational-excellence"></a>

Esta seção descreve como arquitetamos essa solução usando os princípios e as melhores práticas do [pilar de excelência operacional](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html).
+ A solução envia métricas CloudWatch para fornecer observabilidade na infraestrutura, nas funções Lambda, no Amazon [Data Firehose,](https://aws.amazon.com/kinesis/data-firehose/) nos buckets do Amazon S3 e no restante dos componentes da solução.
+ Desenvolvemos, testamos e publicamos a solução por meio de um pipeline de integração contínua e entrega contínua (CI/CD) da AWS. Isso ajuda os desenvolvedores a obter resultados de alta qualidade de forma consistente.
+ Você pode instalar a solução com um CloudFormation modelo que provisiona todos os recursos necessários em sua conta. Para atualizar ou excluir a solução, você só precisa atualizar ou excluir o modelo.

## Segurança
<a name="security-pillar"></a>

Esta seção descreve como arquitetamos essa solução usando os princípios e as melhores práticas do [pilar de excelência operacional](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html).
+ Todas as comunicações entre serviços usam [as funções do AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM).
+ Todas as funções usadas pela solução seguem o acesso com [privilégios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Em outras palavras, eles contêm apenas as permissões mínimas necessárias para que o serviço possa funcionar corretamente.
+ Todo o armazenamento de dados, incluindo os buckets do Amazon S3 e o DynamoDB, tem criptografia em repouso.

## Confiabilidade
<a name="reliability"></a>

Esta seção descreve como arquitetamos essa solução usando os princípios e as melhores práticas do [pilar de confiabilidade](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html).
+ A solução usa serviços sem servidor da AWS sempre que possível (por exemplo, Lambda, Firehose, Amazon S3 e Athena) para garantir alta disponibilidade e recuperação de falhas no serviço.
+ Realizamos testes automatizados na solução para detectar e corrigir erros rapidamente.
+ A solução usa funções Lambda para processamento de dados. A solução armazena dados no Amazon S3 e no DynamoDB e, por padrão, persiste em várias zonas de disponibilidade.

## Eficiência de desempenho
<a name="performance-efficiency"></a>

Esta seção descreve como arquitetamos essa solução usando os princípios e as melhores práticas do [pilar de excelência operacional](https://docs.aws.amazon.com/wellarchitected/latest/performance-efficiency-pillar/welcome.html).
+ A solução usa uma arquitetura sem servidor para garantir alta escalabilidade e disponibilidade a um custo reduzido.
+ A solução aprimora o desempenho do banco de dados ao particionar dados e otimizar a consulta para reduzir a quantidade de dados digitalizados e obter resultados mais rápidos.
+ A solução é testada e implantada automaticamente todos os dias. Nossos arquitetos de soluções e especialistas no assunto analisam a solução em busca de áreas para experimentar e melhorar.

## Otimização de custo
<a name="cost-optimization"></a>

Esta seção descreve como arquitetamos essa solução usando os princípios e as práticas recomendadas do [pilar de otimização do custo](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/welcome.html).
+ A solução usa uma arquitetura sem servidor, e os clientes pagam somente pelo que usam.
+ A camada de computação da solução é padronizada para Lambda, que usa um modelo. pay-per-use
+ O banco de dados e as consultas do Athena são otimizados para reduzir a quantidade de dados digitalizados, reduzindo assim os custos.

## Sustentabilidade
<a name="sustainability"></a>

Esta seção descreve como arquitetamos essa solução usando os princípios e as melhores práticas do [pilar de sustentabilidade](https://docs.aws.amazon.com/wellarchitected/latest/sustainability-pillar/sustainability-pillar.html).
+ A solução usa serviços gerenciados e sem servidor para minimizar o impacto ambiental dos serviços de back-end.
+ O design sem servidor da solução visa reduzir a pegada de carbono em comparação com a pegada de servidores locais em operação contínua.