© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Adicionando Segurança Web

AWS WAF

Heitor Vital, Arquiteto de Soluções - AWS Brasil

Gleicon Moraes, Gerente de Infraestrutura & Big Data - Magazine Luiza

Junho 2016

Agenda

Introdução

WAF & Lambda

Automação de

Proteção

Scripts & Templates Estudo de caso

Agenda

Introdução

WAF & Lambda

Automação de

Proteção

Scripts & Templates Estudo de caso

Website sem AWS WAF

Usuários

Atacantes

WebsiteExploit

Website com AWS WAF

WebsiteExploit

Usuários

Atacantes

O que é AWS WAF?

Firewall de aplicativo da web (WAF) permite

criar mecanismos de controle que ajudam a

decidir quais requisições podem ou não

acessar seu website

• Full-feature API

• Regras de segurança customizáveis

• Integrado com Amazon CloudFront – proteção na

borda

• Casos de uso: proteção contra exploits, abuso e DDoS

na aplicação

O que é AWS Lambda?

O AWS Lambda permite que você execute

códigos sem provisionar ou gerenciar

servidores.

• “Server-less” scripting; Ações baseadas em eventos

• Possui integração com outros serviços da AWS

• Casos de uso: ação em resposta a eventos,

agendamento de tarefa, server-less backend etc.

Agenda

Introdução

WAF & Lambda

Automação de

Proteção

Scripts & Templates Estudo de caso

• Fontes de ataques são persistentes e adaptáveis

• Melhor proteção

• Análises customizadas mais elaboradas e levando em

consideração especificidade de cada aplicação

• Integração com fonte de dados públicas

Por que criar automação de proteção?

Automação de Proteção

Usuários

Logs Análises de Ameaças

Atualizador de regras

Web siteRegrasExploit

Atacantes

Automação de Proteção – modelo tradicional

LogsWeb siteExploit

Usuários

Atacantes

Regras Análises de Ameaças

Atualizador de regras

Automação de Proteção – AWS

LogsWeb siteExploit

Atualizador de regras

Atacantes

Usuários

Regras Análises de Ameaças

Outros serviços que também usaremos

Amazon CloudFront Amazon CloudWatch AWS CloudFormation

Amazon S3 Amazon API Gateway

Agenda

Introdução

WAF & Lambda

Automação de

Proteção

Scripts & Templates Estudo de caso

Tipos de ataques que requerem automação

HTTP floods Scans & probesIP reputation lists Bots & scrapers

Atacantes

Tipos de ataques que requerem automação

HTTP floods Scans & probesIP reputation lists Bots & scrapers

Atacantes

IP reputation lists

Coleção de IPs com histórico de problemas ou

fontes conhecidas de ataques

• Open proxies ou hosts conhecidos por enviar

spam/trojans/virus

• Lista constantemente mudando e sendo atualizada

• Solução: configurar função agendada que consulta

listas públicas (ex: Emerging Threats, Spamhause, Tor

Node list) e atualiza automaticamente as regras de

bloqueio no WAF

IP reputation lists (cont’d)

IP reputation lists (cont’d)

<Demo>

Tipos de ataques que requerem automação

HTTP floods Scans & probesIP reputation lists Bots & scrapers

Atacantes

HTTP floods

Requisições válidas em uma quantidade que

comprometem os recursos do servidor

• Requisições direcionadas a serviços/páginas de algo

consumo de recursos. (ex: login, busca de produtos

etc)

• Diferentemente de outros ataques de flood, aqui as

requisições são válidas

• Problema para diferenciar requisições de usuários

válidos de atacantes

• Solução: analisar logs de acesso para identificar

origens com número de acesso acima do

considerado normal.

Atacantes

HTTP floods (cont’d)

HTTP floods (cont’d)

<Demo>

Tipos de ataques que requerem automação

HTTP floods Scans & probesIP reputation lists Bots & scrapers

Atacantes

Scans & probes

Sistemas que analisam aplicações web em

busca de vulnerabilidades

• Seus scans – excelente; executados por fonte não

autorizada/desconhecida – mau sinal.

• Algo ou alguém mal intencionado

• Consomem recuros ao acessar URLs que não

existem

• Solução: analisar logs de acesso para identificar

origens com alto número de requisições que

geraram erro 40x

Scans & probes (cont’d)

HTTP 4xx error codes

Scans & probes (cont’d)

<Demo>

Tipos de ataques que requerem automação

HTTP floods Scans & probesIP reputation lists Bots & scrapers

Atacantes

Bots & scrappers

Aplicações que executam busca automática

através da internet

• Good bots (engines de busca, inteligência/comparador

de preço …) vs bad bots (cópia de conteúdo, roubo de

dados, malware …)

• Constantemente evoluindo/adaptando-se

• Solução: usar robots.txt e um “honeypot” para

identificar (e bloquear) ofensores

Bots & scrappers (cont’d)

Bots & scrappers (cont’d)

<Demo>

Agenda

Introdução

WAF & Lambda

Automação de

Proteção

Scripts & Templates Estudo de caso

“Equilibrar a segurança com o

desempenho, custo e escalabilidade”

“Com os controles que

o AWS WAF e

CloudFront,

implementamos uma

arquitetura escalavel e

simples. O beneficio

imediato foi custo e

disponibilidade, sem

aumento de equipe.”

Gleicon Moraes

• Uma das maiores redes de

varejo do Brasil

• Números

• +700 Lojas

• +24.000 Pessoas

• 8 CDs

• Plataforma de e-commerce

Desafio

• WAFs tradicionais:1. Perfis de aplicações tradicionais

2. Difíceis de escalar na nuvem - limitação de banda e CPU

3. Automação requer banda e hardware para processamento de logs

• Bloquear Bots e Crawlers mal intencionados (com base

em IP) sem afetar a navegação e experiência do cliente

• Ter uma solução em tempo para Black Friday

Arquitetura Anterior

Arquitetura Atual

Marcos Antes do Black Friday

• Setembro

• Confirmado nova arquitetura

• Início desenvolvimento

• Outubro

• Nova estrutura pronta para entrar em produção

• Novembro

• Virada de todo o tráfego para nova estrutura

Lições Aprendidas

• Identifique o que necessita de proteção

• Comece pequeno e evolua incrementalmente

• Use a ferramenta adequada para o trabalho

• Python

• Libs

• Considere o tempo entre receber arquivo de logs e processá-lo

• Defesa em camadas

• Regras simples na borda

• Regras complexas perto da aplicação ou assíncrono

Material de Apoio

Security Blogs

• HTTP Floods Heitor Vital <heitorc@amazon.com>

• Scans & Probes Ben Potter <benpo@amazon.com>

• Bots & Scrappers Vlad Vlasceanu <vladv@amazon.com>

• IP Reputation Lists Lee Atkinson <leeatk@amazon.co.uk>

Tutorials Page

• aws.amazon.com/waf/preconfiguredrules/

Obrigado!