AWS WAF

[ShimiHi]

AWS WAF

בוקר טוב!
אני מחפש פתרון WAF ל-AWS לנגנה על שני אתרי אינטרנט.
האם מישהו מכיר משהו טוב מומלץ ופשוט ?
ראיתי שיש להם את ברקודה שעל פניו נראה מאוד פשוט להגדרה (ויזארד נחמד וזהו)
אשמח להמלצות, תודה!

 

[hetzbh]

ומדוע שלא תשתמש ב-CDN?

בין כה אתה תקבל יותר יתרונות עם CDN, וחלק מהחבילות שלהם כולל WAF לא רע בכלל.

 

[ShimiHi]

הי חץ, תודה

לא משתמשים ב-CDN באתר הזה.
איך מטמיעים WAF של שירות CDN?
ד"א אתה מכיר אופציות אחרות? יש לי הרגשה שדווקא מוצר ב-AWS יהיה יותר קל להטמעה.
בגדול אני מאמין שהיכולות הבסיסיות של כל המוצרים פחות או יותר דומות ולכן מחפש נטמעה קלה ומהירה.
האם אני צודק בהשערה שלי?

 

[hetzbh]

זה תלוי ממש באתר

אם יש לך כמות כניסות קטנה לאותו אתר, אז כן, שווה להטמיע איזה מוצר VM שיקבל את הטראפיק מבחוץ, יבדוק ואז יעביר לשרתי ווב/אפליקציה שלך. מצד שני, אם מחר תוקפים לך את השרת או את ה-WAF שתשכור (זה בסופו של דבר VM אפליאנסי) - אז לא יוכלו לגשת לאתר שלך.
&nbsp
אבל אם תשתמש ב-CDN לעומת זאת, אתה גם תוכל להיות קצת יותר רגוע בקשר ל-DDOS (לדוגמא), והבדיקות WAF יעשו ב-CDN (דווקא פתרון של CDN יותר קל להטמעה מאשר WAF במקרים רבים, חוץ מזה שיש לך תמיכה יותר רצינית מספקי CDN כשיש לך חבילה עם WAF מלא), מה גם שיהיה יותר קל לך לשרת יותר גולשים.
&nbsp
הנה לינק לדוגמא ל-Appliance של פורטינט ב-AWS של אמזון:
https://aws.amazon.com/marketplace/pp/B00PCZSWDA/ref=sp_mpg_product_title?ie=UTF8&sr=0-4

 

[ShimiHi]

תודה

השאלה האם יצא לך להטמיע את הפורטי או הברקודה ב-AWS או מוצר דומה אחר.
האם זה מסניף מהצד את הפאקטות שמיועדות לשרת Web או שהכל עובר דרכו.

 

[hetzbh]

תלוי בך

ההמלצה היא שתעביר את הטראפיק לשרתי WEB דרך אותו VM.
אגב, קח בחשבון שבמקרה של התקפה על השרת שלך - אתה משלם את הטראפיק.

 

[DuuGi]

ישנה חברה שעושה את זה

אבל זה אומר שאתה צריך להעביר את הטראפיק שלך דרכה.
השם זה incapsula חברת בת של imperva .
הם גם CDN וגם מכילים בתוכם הגנה על האתר (WAF) .
כנס לאתר שלהם , מאוד קל לתפעול ואני חושב שגם לא יקר על אתר בלי המון טראפיק.
&nbsp
&nbsp

 

[hetzbh]

החסרון שלהם לעומת Cloudflare

זה שב-Cloudflare אתה לא משלם על הטראפיק שלהם, וכמדומני של-Cloudflare יש יותר נקודות EDGE

 

[ShimiHi]

קיבלתי היום המלצה על incapsula

אבל חשבתי שזה אפליינס שיושב גם ב-AWS
אז אני מבין שזה אומר שינוי DNS לכתובת של incapsula
והם מעבירים את הטראפיק לשרת שלנו?

 

[lilimeshi]

תקציב?

 

[ShimiHi]

שאלה טובה

בהנהלה יודעים שזה משהו הכרחי, הבהרתי להם את הסיכונים.
צריך משהו סטנדרטי, לא יעשו בעיות.
בינתיים אהבתי את ה-incapsula
יש לך המלצה?

 

[lilimeshi]

אתה יושב ישר על תשתיות הAWS

או שיש לך איזה מכונת WINDOWS או LINUX שאתה מריץ בנפרד שבתוכה נמצאים האתרים?

 

[ddoottaann]

אם אתה ב-AWS

למה לא להשתמש בcloudfront ?

 

[ShimiHi]

הופה, לא הכרתי

חיפשתי משהו שנמצא ב-AWS אבל הגעתי רק ל-third party
עברתי קצת על ה-Guide, האמת שקצת התבלבלתי.
מה שאני צריך זה רק WAF, לא CDN קלאסי.

 

[DuuGi]

כי קלואד פרונט הוא ללא רכיב WAF והוא יקר

 

[hetzbh]

זה משהו אחר לגמרי

כפי ש-Duugi טען כאן - זה לא רכיב WAF, אבל גם Cloudfront מיועד בכלל לצרכי CDN (ולצערי עדיין אין להם באמזון POP בארץ/קרוב לארץ)

 

[ShimiHi]

ממ כמו שחשבתי, אז נראה לי ש-incapsula יתאים לי

אבדוק אותו בקרוב,
אני חושב שנתחיל ב-PRO שזה 65$ לחודש
ד"א האם מישהו מכיר מניסיון חלופה דומה ויותר זולה?

 

[hetzbh]

כן, נתתי לך המלצה

ב-Cloudflare זה 20$ וחוץ מזה שאתה לא משלם על תעבורה בכלל (ב-Incapsula אתה משלם אחרי גבול מסוים).