Configurar AWS WAF
Aprende a configurar AWS WAF (Web Application Firewall) para proteger tu Application Load Balancer (ALB) de solicitudes no deseadas, como las de bots o ataques maliciosos. AWS WAF te permite crear reglas personalizadas para filtrar el tráfico HTTP(S) y permitir solo las solicitudes legítimas.
Prerrequisitos
- Una cuenta de AWS con acceso a WAF y Application Load Balancer
- Un Application Load Balancer ya configurado en tu cuenta de AWS
- Comprensión básica de la navegación en la consola de AWS
Costo Estimado
El costo de AWS WAF depende de:
- El número de reglas activas
- El número de solicitudes procesadas por WAF
Desglose de Costos:
| Componente | Costo |
|---|---|
| Costo por regla | $1 USD/mes por regla |
| Costo por WebACL | $5 USD/mes por WebACL |
| Costo por solicitud | $0.60 USD por millón de solicitudes |
Cálculo de Costo de Ejemplo:
Si tienes 5 reglas activas y procesas 10 millones de solicitudes al mes, el costo sería:
- WebACL: $5 USD
- Reglas: $5 USD (5 reglas × $1 USD)
- Solicitudes: $6 USD (10 millones × $0.60 USD)
Costo total aproximado: $16 USD/mes
Paso 1: Crear una Web ACL
- Ve a la consola de AWS y busca WAF
- Haz clic en Crear web ACL
- Ingresa el nombre de tu Web ACL (por ejemplo,
waf-alb-prod) - Elige la región donde se encuentra tu ALB
- Selecciona Regional si tu ALB está en una región específica (generalmente es el caso), o CloudFront si estás utilizando una distribución de CloudFront
- En la sección Recursos de AWS asociados (opcional), selecciona tu Application Load Balancer para que todo el tráfico pase a través de WAF
- Haz clic en Siguiente
Paso 2: Configurar Reglas Básicas
- Haz clic en Agregar reglas y grupos de reglas
- Selecciona Reglas administradas por AWS y elige algunas de las siguientes reglas como ejemplos:
| Regla | Descripción |
|---|---|
| AWSManagedRulesCommonRuleSet | Para protección básica contra vulnerabilidades web comunes |
| AWSManagedRulesBotControl | Para bloquear bots conocidos y tráfico automatizado |
| AWSManagedRulesAnonymousIPList | Para bloquear direcciones IP asociadas con servicios que ocultan la identidad del usuario (VPN, proxies, Tor) |
| AWSManagedRulesAmazonIpReputationList | Para bloquear tráfico de IPs conocidas por comportamiento malicioso |
| AWSManagedRulesSQLiRuleSet | Para proteger contra ataques de inyección SQL |
Estos son solo ejemplos, ya que hay muchas otras opciones disponibles según la naturaleza de tu aplicación y las amenazas que deseas mitigar. Recomendamos explorar todas las opciones disponibles y seleccionar las reglas que mejor se adapten a tus necesidades.
Verificación
- Regresa al servicio WAF y selecciona tu Web ACL
- Revisa las métricas y estadísticas para verificar que las reglas estén bloqueando el tráfico no deseado
- Puedes crear reglas personalizadas si notas tráfico sospechoso
Actualización de Reglas
Si necesitas agregar o modificar reglas:
- Ve a la consola de AWS WAF
- Selecciona tu Web ACL
- Haz clic en Reglas y luego en Agregar regla o Editar regla
- Guarda los cambios y verifica el tráfico nuevamente
Conclusión
AWS WAF es una herramienta poderosa para proteger tu aplicación contra tráfico malicioso o no deseado. Con esta configuración básica, puedes bloquear bots comunes y asegurarte de que solo el tráfico legítimo llegue a tu ALB.
Si tienes más preguntas o necesitas ayuda adicional, ¡no dudes en pedirla!