AWS WAF (Web Application Firewall) và AWS Shield là hai dịch vụ bảo mật của Amazon Web Services giúp bảo vệ ứng dụng web khỏi các cuộc tấn công trên Internet. Mỗi dịch vụ có mục đích và chức năng khác nhau nhưng đều tập trung vào việc bảo vệ các tài nguyên của bạn như API Gateway, EC2, và các dịch vụ web khác khỏi các mối đe dọa tiềm ẩn.

Trong bài viết này, tôi sẽ giúp bạn hiểu rõ WAF và Shield là gì, cơ chế hoạt động của chúng, khi nào nên sử dụng, và cách triển khai chúng cho hệ thống của bạn.

1. AWS WAF: Web Application Firewall

AWS WAF là tường lửa ứng dụng web được thiết kế để bảo vệ các ứng dụng của bạn khỏi các cuộc tấn công phổ biến như SQL Injection, Cross-Site Scripting (XSS), và các mối đe dọa ở tầng ứng dụng (lớp 7) khác.

a. Cơ chế hoạt động của AWS WAF

AWS WAF hoạt động như một lớp bảo vệ trung gian giữa client và tài nguyên web của bạn (API Gateway, CloudFront, hoặc ALB):

• Rule-Based Filtering: WAF sử dụng các quy tắc (rules) do bạn thiết lập để xác định những request nào sẽ được chấp nhận và những request nào sẽ bị chặn.
• Managed Rules: AWS cung cấp một bộ các quy tắc được quản lý sẵn để giúp bạn dễ dàng chống lại các loại tấn công phổ biến mà không cần phải tự tạo.
• Logging & Monitoring: Mỗi request sẽ được ghi lại và bạn có thể giám sát các request này thông qua AWS CloudWatch.

b. Khi nào sử dụng AWS WAF?

AWS WAF rất hữu ích trong các trường hợp sau:

• Bạn muốn bảo vệ ứng dụng web khỏi các cuộc tấn công dựa trên web như SQL Injection hoặc XSS.
• Bạn cần kiểm soát và chặn những loại traffic không mong muốn đến từ những quốc gia, IP, hoặc các request nhất định.
• Bạn muốn giới hạn tần suất truy cập vào API hoặc ứng dụng web của bạn để chống lại các cuộc tấn công DDoS ở tầng ứng dụng (lớp 7).

c. Cách thiết lập AWS WAF

Bước 1: Tạo Web ACL

• Truy cập AWS Console > WAF & Shield > Create Web ACL.
• Chọn tài nguyên bạn muốn bảo vệ (API Gateway, CloudFront, hoặc ALB).

Bước 2: Tạo các rule

• Bạn có thể sử dụng Managed Rules của AWS hoặc tự tạo Custom Rules để chặn các kiểu request cụ thể.
• Ví dụ: Bạn có thể tạo rules : x-forward-for-many-request, many_request_ip
  • 
  • 

Bước 3: Cấu hình hành động

• Định nghĩa các hành động cho mỗi rule: Allow, Block, hoặc Count (để giám sát request mà không chặn ngay lập tức).

Bước 4: Giám sát

• Sử dụng AWS CloudWatch để giám sát các request đến ứng dụng của bạn và xem WAF đang bảo vệ như thế nào.

2. AWS Shield: Bảo vệ chống DDoS

AWS Shield là dịch vụ bảo vệ chống tấn công từ chối dịch vụ phân tán (DDoS) giúp bảo vệ ứng dụng của bạn khỏi các cuộc tấn công lớp 3 và lớp 4. Shield có hai phiên bản: Shield Standard và Shield Advanced.

a. Cơ chế hoạt động của AWS Shield

• Shield Standard: Đây là dịch vụ miễn phí và tự động được tích hợp vào các dịch vụ AWS như CloudFront, Route 53, và ALB. Nó cung cấp bảo vệ cơ bản khỏi các cuộc tấn công DDoS thông thường ở lớp 3 và lớp 4 (Network Layer).

• Shield Advanced: Đây là phiên bản nâng cao, cung cấp các công cụ và tính năng bảo mật mạnh mẽ hơn như:

  • Phân tích DDoS chi tiết: Shield Advanced cung cấp các báo cáo chi tiết về các cuộc tấn công và hỗ trợ từ chuyên gia AWS.
  • Tối ưu hóa bảo vệ: Tối ưu hóa các lớp bảo vệ dựa trên các mô hình lưu lượng cụ thể của ứng dụng.
  • Chi phí bảo vệ: Shield Advanced bảo vệ bạn khỏi các chi phí do tăng lưu lượng vì tấn công DDoS.

b. Khi nào sử dụng AWS Shield?

• Shield Standard tự động bảo vệ mọi tài nguyên AWS được công khai mà không cần phải thiết lập gì thêm.
• Shield Advanced nên được sử dụng khi bạn muốn:
  • Tăng cường bảo vệ cho các ứng dụng quan trọng trước các cuộc tấn công DDoS.
  • Giám sát và nhận cảnh báo về các mối đe dọa đang diễn ra.
  • Bảo vệ tài chính khỏi chi phí phát sinh do tấn công DDoS.

c. Cách thiết lập AWS Shield

Bước 1: Đăng ký Shield Advanced

• Đăng nhập vào AWS Console > WAF & Shield > AWS Shield.
• Chọn Subscribe to Shield Advanced để kích hoạt bảo vệ nâng cao.

Bước 2: Đăng ký các tài nguyên

• Chọn tài nguyên bạn muốn bảo vệ, chẳng hạn như Elastic Load Balancer, CloudFront, hoặc Route 53.

Bước 3: Giám sát và nhận cảnh báo

• Sử dụng AWS CloudWatch và AWS Shield Console để nhận các cảnh báo và giám sát các hoạt động đáng ngờ.

3. Sự khác biệt giữa AWS WAF và Shield

Mặc dù cả hai dịch vụ đều giúp bảo vệ tài nguyên khỏi các cuộc tấn công, nhưng chúng có những khác biệt rõ rệt:

4. Khi nào nên sử dụng cả AWS WAF và Shield?

Trong một số trường hợp, bạn nên kết hợp cả AWS WAF và AWS Shield để bảo vệ toàn diện cho hệ thống của mình:

• Các trang web có lưu lượng truy cập lớn: Khi trang web hoặc ứng dụng của bạn thu hút nhiều lưu lượng truy cập, đặc biệt là từ các vùng có nguy cơ cao.
• API công khai: Nếu bạn có các API công khai, WAF sẽ giúp bạn lọc và kiểm soát request độc hại, trong khi Shield bảo vệ khỏi các cuộc tấn công DDoS.
• Ứng dụng kinh doanh quan trọng: Khi ứng dụng web của bạn có vai trò quan trọng đối với hoạt động kinh doanh, đặc biệt là trong các ngành như tài chính, thương mại điện tử.

Kết luận

AWS WAF và AWS Shield là những công cụ bảo mật mạnh mẽ giúp bạn bảo vệ ứng dụng web khỏi các cuộc tấn công nguy hiểm trên Internet. Sử dụng đúng cách và kết hợp hai dịch vụ này, bạn sẽ có thể giảm thiểu các rủi ro bảo mật, cải thiện hiệu suất hệ thống, và đảm bảo sự an toàn của dữ liệu.

Nếu bạn đang quản lý một hệ thống quan trọng hoặc muốn bảo vệ ứng dụng web khỏi các cuộc tấn công phổ biến như SQL Injection, XSS, hoặc DDoS, hãy bắt đầu với AWS WAF và AWS Shield ngay hôm nay!