Implementación del grupo de reglas V2 de socios de AWS WAF de Fortinet

Descripción: Este  artículo describe cómo implementar las reglas administradas de Fortinet AWS WAF en AWS WAF v2.

 

También describe cómo usar lo siguiente:

 

– Compatibilidad con el control de versiones: el control de versiones es una característica nueva de AWS WAF que permite a los proveedores proporcionar varias versiones del grupo de reglas.  

Soporte de SNS para recibir la última notificación.

 

– Mensajes SNS: AWS WAF ahora permite a los clientes suscribirse a una fuente de mensajes a través de la cual los proveedores pueden comunicarse.

Alcance
SoluciónLos grupos de reglas de socios de AWS WAF son firmas de firewall de aplicaciones web basadas en suscripción que ofrecen proveedores externos para aumentar las protecciones WAF básicas que ofrece el producto WAF de Amazon.

 

Estos nuevos grupos de reglas permiten a los clientes de AWS WAF elegir reglas WAF preempaquetadas de los principales proveedores de seguridad de TI.

 

Con los grupos de reglas de socios, los proveedores pueden ofrecer protección contra una amplia variedad de ataques a la capa de aplicación empaquetados en una variedad de conjuntos de reglas de seguridad.

 

Fortinet ofrece un grupo de reglas completo a los clientes de AWS basado en el servicio FortiWeb WAF ofrecido por FortiGuard:

 

OWASP Top 10 – El conjunto de reglas completo.

 

Implementación del grupo de reglas de socios de Fortinet AWS WAF V2.

Instalación, configuración y preguntas frecuentes para el grupo de reglas WAF de Fortinet en Amazon Web Services.

 

(Actualizado el 17 de diciembre de 2021).

 

Configuración.

 

De manera similar a la solución AWS WAF existente, los grupos de reglas de socios se implementan como un módulo o servicio para su uso.

 

Dado que se trata de un conjunto de firmas y no de una plataforma real, no está implementando una nueva máquina virtual, sino instalándolas en una ACL web existente.

 

A continuación se muestra un ejemplo de la implementación del grupo de reglas de socios de AWS WAF de Fortinet.

 

Suscríbase al Servicio.

 

Busque ‘Fortinet AWS WAF’ en el mercado.
Asegúrate de que sea la lista V2.
La descripción de la lista comenzará con «no para AWS WAF Classic».

Luego seleccione ‘Continuar para suscribirse’.


 

A continuación, intente activar las páginas de bloqueo como en la última sección.

Los registros bajo el grupo de registros serán visibles.

 

Como alternativa, simplemente seleccione en el enlace de abajo «Versión».

 

 

 

Hasta ahora, hay 2 tipos de notificaciones.

Lanzamiento de la versión. Una vez que se libera una nueva versión, se recibirá una notificación, así como las reglas actualizadas correspondientes.


– Revocación de la versión. Una vez que una versión antigua está obsoleta, se iniciará un proceso para revocarla.
Este proceso consta de dos pasos.


– La versión se vuelve invisible para aquellos que no han seleccionado la versión. Y se recibirá una notificación sobre este evento.
PERO, para los que han elegido la versión, es posible seguir utilizándola durante 30 días como máximo.
Así que hay tiempo suficiente para prepararse para ello.
– Una vez que expire (30 días después), la versión no estará disponible.

 

FAQ.

P: ¿Con qué frecuencia se actualiza la versión «por defecto» con firmas nuevas/actualizadas?
R: Las firmas suelen actualizarse una vez al mes. En algunos casos, cuando se encuentra una vulnerabilidad grave, el plazo puede cambiar. l o que depende de la urgencia para las firmas, suele actualizarse mensualmente, y sólo para la «Predeterminada». Las nuevas versiones suelen actualizarse trimestralmente.


P: ¿Con qué frecuencia caduca una versión?
R: Una versión suele caducar cada 6 meses.


P: ¿Qué ocurrirá si un usuario está utilizando una versión que ha caducado (después de 30 días)?
R: Será asumida por «Default» automáticamente, aunque seguirá siendo visible.


P: ¿Los grupos de reglas de socios se despliegan globalmente o por región?
R: Por región. A menos que los grupos de reglas de socios se implementen en CloudFront, que es global, es necesario implementar los grupos de reglas de socios en cada región de AWS donde haya una aplicación implementada.


P: ¿Hay alguna forma de ver la regex de la firma en sí misma?
R: No. La regex de la firma es información propietaria del proveedor y no se expone a los clientes.


P: ¿Puede el usuario ver el nombre de la regla que ha bloqueado una solicitud?
R: Sí. En los detalles del registro de ataques, el campo «ruleId» se puede ver, así.

 

P: ¿Un registro de AWS proporciona también información sobre el cuerpo de HTTP?
R: No. Los registros de AWS no proporcionan visibilidad del cuerpo de HTTP, por lo que los argumentos HTTP POST no son visibles.


P: ¿Puede un usuario incluir fácilmente en la lista blanca una firma/regla que desencadena un falso positivo o bloquea el tráfico?
R: Sí. Hay dos opciones.
– Cambiar la acción a CONTAR de una regla específica.

 

– Utilizar las declaraciones de alcance. En la misma página, desplázate hacia abajo y lo verás.

 

 

Los clientes que crean que el falso positivo se debe a una firma incorrecta y no a un comportamiento concreto de la aplicación pueden ponerse en contacto con el servicio de asistencia técnica.


P: ¿Incluye el grupo de reglas de Fortinet soporte?
R: Sí. Al comprar un Grupo de Reglas de Fortinet, los clientes tienen derecho a recibir soporte de Fortinet.


El soporte es sólo por correo electrónico. Póngase en contacto con [email protected].
Además, para ayudar más eficazmente, comparta el nombre de la región, el nombre/ID de la regla y la captura del tráfico en bruto.

Enlacés de interés:

¿Te ha resultado útil??

1 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *