Tudástár

Mi a különbség az AWS WAF és a hálózati ACL-ek között?

iranyonline 0

A felhőtechnológiák rohamos elterjedésével a vállalatok egyre inkább az AWS (Amazon Web Services) infrastruktúráira támaszkodnak alkalmazásaik és adataik tárolásához. Ezzel párhuzamosan azonban a kiberfenyegetések is egyre kifinomultabbá és gyakoribbá válnak, így a felhőbiztonság központi szerepet kap. Az AWS számos szolgáltatást kínál a biztonság növelésére, és ezek közül kettő, az AWS WAF (Web Application Firewall) és a Hálózati ACL-ek (NACL-ek) gyakran kerül szóba, amikor a hálózati forgalom szabályozásáról és az alkalmazások védelméről van szó. Bár mindkettő a biztonságot szolgálja, alapvető működésükben, hatókörükben és az általuk nyújtott védelem típusában jelentős különbségek rejlenek.

Ebben a cikkben részletesen megvizsgáljuk, hogy mi a különbség az AWS WAF és a Hálózati ACL-ek között, hogyan működnek, milyen fenyegetések ellen nyújtanak védelmet, és hogyan használhatjuk őket a legoptimálisabban egy robusztus, réteges biztonsági stratégia kialakításához.

Az AWS WAF: Az Alkalmazásszintű Védőpajzs

Az AWS WAF (Web Application Firewall) egy olyan webes alkalmazás tűzfal, amely segít megvédeni webalkalmazásait vagy API-jait a gyakori webes támadások ellen, amelyek befolyásolhatják a rendelkezésre állást, veszélyeztethetik a biztonságot, vagy túlzott erőforrás-felhasználást okozhatnak. A WAF lehetővé teszi, hogy szabályokat hozzunk létre, amelyek ellenőrzik a webes forgalmat, és blokkolják a rosszindulatú kéréseket, még mielőtt azok elérnék az alkalmazást.

Működési Elv és Hatókör

Az AWS WAF az OSI-modell 7. rétegén, az alkalmazási rétegen működik. Ez azt jelenti, hogy nem csupán az IP-címek és portok alapján hoz döntéseket, hanem képes megvizsgálni a HTTP/HTTPS kérések tartalmát is. Megvizsgálja a HTTP fejléceket, a kérés URL-jét, a lekérdezési sztringeket, a kérés testét, sőt, még a cookie-kat is. Ez a mélyebb vizsgálat teszi lehetővé, hogy az olyan specifikus webes támadásokat észlelje és blokkolja, mint az SQL injekció, a Cross-Site Scripting (XSS) vagy a Cross-Site Request Forgery (CSRF).

A WAF-ot az alábbi AWS szolgáltatások elé telepíthetjük:

  • Amazon CloudFront: A CDN (Content Delivery Network) szolgáltatás elé helyezve globális szintű védelmet nyújt a végfelhasználók és az alkalmazás között.
  • Application Load Balancer (ALB): Az ALB-k előtt elhelyezve védi a mögöttük futó EC2 példányokon vagy tárolókban futó alkalmazásokat.
  • Amazon API Gateway: Az API-k védelmére, a jogosulatlan hozzáférések és API-specifikus támadások ellen.
  • AWS AppSync: GraphQL API-k védelmére.
  • AWS Cognito User Pools: Felhasználói azonosítókhoz és hitelesítéshez kapcsolódó fenyegetések mérséklésére.

Szabályok és Web ACL-ek

Az AWS WAF-ban a védelem alapját a szabályok (rules) képezik. Ezek a szabályok határozzák meg, hogy milyen feltételek teljesülése esetén mi történjen egy bejövő kéréssel (pl. engedélyezés, blokkolás, naplózás). A szabályokat Web ACL-ekbe (Web Access Control Lists) csoportosítjuk, amelyekhez prioritásokat rendelhetünk. Egy Web ACL több szabálycsoportot (rule group) is tartalmazhat:

  • Egyedi szabályok (Custom rules): Ezeket mi magunk hozzuk létre a saját igényeink szerint. Például blokkolhatunk adott IP-címeket vagy IP-tartományokat, vagy olyan kéréseket, amelyek egy bizonyos felhasználói ügynök (User-Agent) fejlécet tartalmaznak.
  • AWS Managed Rule Groups: Ezek előre konfigurált szabálycsoportok, amelyeket az AWS szakértői tartanak karban. Különböző támadási kategóriák ellen nyújtanak védelmet, mint például az SQLi, XSS, gyakori sebezhetőségek (OWASP Top 10), bot-védelem vagy DDoS elleni védelem. Ezek használata jelentősen leegyszerűsíti a WAF konfigurációját.
  • Rate-based rules: Ezekkel a szabályokkal korlátozható az egy forrás IP-címről érkező kérések száma egy adott időintervallumon belül. Ez kiválóan alkalmas a Layer 7-es DDoS támadások és a bruteforce kísérletek mérséklésére.

Az AWS WAF előnyei

  • Alkalmazásszintű védelem: Képes a HTTP/HTTPS forgalom mélyreható elemzésére.
  • Célzott védelem webes támadások ellen: Hatékonyan blokkolja az SQLi, XSS, L7 DDoS, bot támadásokat.
  • Rugalmasság: Egyedi szabályok és menedzselt szabálycsoportok kombinálásának lehetősége.
  • Integráció: Zökkenőmentesen illeszkedik az AWS ökoszisztémába.
  • Skálázhatóság: Automatikusan skálázódik a forgalomhoz, anélkül, hogy a felhasználónak kellene menedzselnie a mögöttes infrastruktúrát.

Hálózati ACL-ek (NACL-ek): A Hálózati Kapuőr

A Hálózati ACL-ek (Network Access Control Lists, NACL-ek) egy másik alapvető biztonsági mechanizmus az AWS-ben, amely a hálózati forgalom szabályozására szolgál a subnet szintjén. Gondoljunk rájuk úgy, mint egy hagyományos tűzfalra, amely a hálózat bejáratánál figyeli a csomagokat.

Működési Elv és Hatókör

A NACL-ek az OSI-modell 3. és 4. rétegén, azaz a hálózati és szállítási rétegen működnek. Ez azt jelenti, hogy a döntéseket az IP-cím (forrás és cél), a protokoll (TCP, UDP, ICMP stb.) és a portszámok (forrás és cél) alapján hozzák meg. Nem vizsgálják a HTTP kérések tartalmát, nem látják a webalkalmazás szintű adatokat.

A NACL-ek állapotfüggetlen (stateless) tűzfalak. Ez rendkívül fontos különbség például a Security Groupokhoz képest. Az állapotfüggetlenség azt jelenti, hogy a bejövő és kimenő forgalomra külön-külön szabályokat kell definiálni. Ha például engedélyezünk egy bejövő kérést a 80-as porton, akkor ahhoz, hogy a válasz is kijuthasson, explicit módon engedélyeznünk kell a kimenő forgalmat is. Ezzel ellentétben az állapotfüggő tűzfalak (mint a Security Groupok) emlékeznek a kapcsolat állapotára, és automatikusan engedélyezik a válaszforgalmat.

Szabályok felépítése

Minden NACL egy számozott szabálylistából áll, amelyeket sorrendben értékel ki a rendszer. Amint egy szabály illeszkedik a forgalomra, a rendszer végrehajtja az ahhoz tartozó műveletet (engedélyezés vagy blokkolás), és a további szabályok már nem kerülnek ellenőrzésre. A szabályok a következők alapján határozhatók meg:

  • Szabályszám (Rule Number): Egyedi szám 1 és 32766 között. Az alacsonyabb számú szabályok élveznek prioritást. Az utolsó szabály (jellemzően 32767) egy implicit *DENY ALL* szabály, ami minden olyan forgalmat blokkol, amit az előző szabályok nem engedélyeztek vagy tiltottak.
  • Típus (Type): A protokoll típusa (pl. All TCP, All UDP, SSH, HTTP, HTTPS, ICMP).
  • Protokoll (Protocol): A használt hálózati protokoll.
  • Port Range: A cél porttartomány.
  • Forrás (Source): A bejövő forgalom IP-tartománya (CIDR blokk).
  • Cél (Destination): A kimenő forgalom IP-tartománya (CIDR blokk).
  • Engedélyezés/Letiltás (Allow/Deny): A művelet, amit a szabály végrehajt.

Minden subnethez rendelhető egy NACL, és egy NACL több subnethez is hozzárendelhető. Egy subnethez csak egy NACL tartozhat.

A NACL-ek előnyei

  • Alapvető hálózati forgalomszűrés: Képes széles körben blokkolni vagy engedélyezni az IP-címek, protokollok és portok alapján.
  • Subnet szintű védelem: Egy egész subnetre vonatkozóan lehet szabályokat meghatározni.
  • Erőteljes letiltási képesség: Az implicit DENY ALL szabály és az explicit DENY szabályok lehetőséget adnak a nem kívánt forgalom szigorú kizárására.
  • Stateless működés: Bár kihívást jelenthet a konfigurációban, de precízebb kontrollt tesz lehetővé mind a bejövő, mind a kimenő forgalom felett.

Fő Különbségek Összegzése: AWS WAF vs. NACL

Most, hogy részletesen megismertük mindkét szolgáltatást, foglaljuk össze a legfontosabb különbségeket egy összehasonlító táblázatban:

Jellemző AWS WAF Hálózati ACL (NACL)
OSI-modell réteg 7. (Alkalmazási réteg) 3-4. (Hálózati és szállítási réteg)
Működési elv Állapotfüggő, tartalomvizsgálat Állapotfüggetlen, csomagszűrés
Hatókör Webalkalmazások, API Gateway, CloudFront, ALB szintjén Subnet szintjén
Védelmi típus Webes támadások (SQLi, XSS, L7 DDoS, botok), rosszindulatú HTTP kérések Alapvető hálózati forgalomszűrés IP/port/protokoll alapján
Granularitás Magas (HTTP fejlécek, URL, kérés test, cookie-k) Alacsony (IP-címek, portok, protokollok)
Célja Webalkalmazás szintű sebezhetőségek és támadások kivédése Hálózati szegmentáció, általános forgalomszabályozás
Döntési alap Kérés tartalma és attribútumai Csomag fejlécei (IP, port, protokoll)
Költség Kérések száma, szabályok száma és típusa alapján díjazott Ingyenes a VPC szolgáltatással (limitált számú NACL)

Mikor Használjuk Egyenként, Mikor Együtt? Stratégiai Megközelítés

A két szolgáltatás közötti különbségek megértése kulcsfontosságú ahhoz, hogy hatékonyan tudjuk alkalmazni őket AWS környezetünkben. Lényegében nem arról van szó, hogy vagy az egyiket, vagy a másikat használjuk, hanem arról, hogy miként tudják egymást kiegészíteni egy réteges védelem (defense-in-depth) megvalósításában.

A NACL-ek szerepe: Alapvető Hálózati Szigorúság

A NACL-ek az első védelmi vonalat jelentik a hálózaton belül. Ideálisak a széles körű, durva szemcséjű blokkolásra és engedélyezésre:

  • Subnet szegmentáció: Különböző funkcionalitású subnetek közötti forgalom korlátozása (pl. adatbázis subnet csak a web app subnetről fogadhasson forgalmat).
  • Alapvető IP-blokkolás: Ismert rosszindulatú IP-tartományok teljes letiltása a hálózat egy adott részéről.
  • Port alapú szűrés: Csak a feltétlenül szükséges portok megnyitása a külvilág felé vagy belső hálózatok között.
  • DDoS védelem L3/L4 szinten: Bár nem célzott DDoS szolgáltatás, de az adott subnetre érkező hálózati szintű áradat egy részét segíthet mérsékelni azáltal, hogy csak a szükséges portokat és protokollokat engedélyezi.

Mivel állapotfüggetlenek, a NACL-ek kiválóan alkalmasak szigorú „implicit deny” (minden tiltva, ami nincs engedélyezve) politikák kikényszerítésére, ami egy erős alapbiztonsági réteget nyújt.

Az AWS WAF szerepe: Célzott Alkalmazásvédelem

Az AWS WAF akkor lép színre, amikor már az alkalmazásunkat fenyegető, speciálisabb támadásokról van szó. Mivel az alkalmazásszinten működik, pontosan tudja, milyen típusú kérések jutnak el a webalkalmazáshoz, és ezeket tudja finomhangolni.

  • Webes sebezhetőségek elleni védelem: SQL injekció, XSS, Directory Traversal – ezek mind olyan támadások, amelyeket csak az alkalmazásszintű forgalom vizsgálatával lehet hatékonyan detektálni és blokkolni.
  • Botforgalom és DDoS (L7) elleni védelem: Képes azonosítani és blokkolni a rosszindulatú botokat, scrape-ereket, brute-force támadásokat, valamint a HTTP-alapú DDoS támadásokat, amelyek az alkalmazási réteg erőforrásait merítik ki.
  • API védelem: Az API Gateway-el integrálva biztosítja az API-végpontok biztonságát.
  • Adatvesztés megelőzése: Bizonyos szabályokkal megakadályozható, hogy érzékeny adatok szivárogjanak ki a válaszokban.

Az AWS WAF a webalkalmazások számára nélkülözhetetlen, kiegészítő védelmet nyújt, ami messze túlmutat a hálózati szintű szűrésen.

A Réteges Védelem ereje: WAF és NACL együtt

A legbiztonságosabb megközelítés az, ha mindkét szolgáltatást együtt, kiegészítő módon használjuk. Gondoljunk rá úgy, mint egy kastély védelmi rendszerére:

  • A NACL-ek a várárkot és a külső falakat jelentik: távol tartják a legtávolabbi, legkevésbé kifinomult fenyegetéseket, és csak a legszükségesebb átjárókat hagyják nyitva. Ha valaki megpróbál bejutni a hálózatra egy teljesen irreleváns porton vagy protokollon keresztül, a NACL azonnal blokkolja.
  • Az AWS WAF a belső erődítményeket, a kapukat és az őrszolgálatot jelenti: ha egy támadó átjutott a külső védelmi vonalakon, a WAF feladata, hogy megvizsgálja a bejövő forgalmat, és csak a legitim, biztonságos webes kéréseket engedje be az alkalmazáshoz.

Ez a kombináció biztosítja, hogy az alkalmazás csak a legtisztább és legszükségesebb forgalmat kapja meg. A NACL-ek megszűrik a zajt a hálózati rétegben, míg a WAF a finomabb, alkalmazásszintű támadásokat kezeli. Ezenkívül a Security Groupok is létfontosságúak, mivel azok állapotfüggő, példány szintű tűzfalak, amelyek a NACL-eknél sokkal granularisabb védelmet nyújtanak az EC2 instance-ek, RDS adatbázisok vagy más erőforrások számára.

Például, egy webalkalmazás esetében a Security Groupunk engedélyezheti a 80-as és 443-as portokat az ALB-től, míg a NACL-ek a web subnethez rendelve általánosan engedélyezik a bejövő 80/443-as forgalmat az internet felől, de csak ha az ALB előtte van, és ugyanakkor tiltanak minden más portot. Az AWS WAF pedig az ALB előtt működik, és blokkolja az SQL injekciós kísérleteket, botforgalmat és egyéb L7 támadásokat.

Gyakorlati Példák és Legjobb Gyakorlatok

Nézzünk meg néhány forgatókönyvet és legjobb gyakorlatot:

  1. DDoS Védelem:
    • NACL: Blokkolja az ismert rosszindulatú IP-címekről érkező nagymennyiségű, nem kívánt protokollú forgalmat (pl. UDP áradatok).
    • AWS WAF: Védi az alkalmazást a Layer 7-es HTTP/HTTPS alapú DDoS támadásoktól, például a rate-based szabályokkal korlátozza az egy IP-címről érkező kérések számát, vagy blokkolja a gyanús HTTP fejléceket tartalmazó kéréseket. Az AWS Shield Advanced kiegészítő védelemmel együtt még robusztusabb megoldást nyújt.
  2. Alkalmazás Sebezhetőségek:
    • NACL: Nincs közvetlen védelme az alkalmazás sebezhetőségei ellen.
    • AWS WAF: Az AWS Managed Rule Groups (pl. SQL database, Linux operating system) vagy egyedi szabályok segítségével proaktívan védi az alkalmazást az SQL injekció, XSS és más OWASP Top 10 fenyegetések ellen.
  3. Hálózati szegmentáció:
    • NACL: Használja a NACL-eket a különböző subnetek közötti forgalom szigorú ellenőrzésére. Például, a privát adatbázis subnet NACL-je csak a webalkalmazás subnetről érkező forgalmat engedélyezheti a megfelelő adatbázis porton.
    • AWS WAF: Nem releváns ebben a kontextusban, mivel nem a belső hálózati forgalmat szabályozza.

Konfigurációs Tippek

  • Kezdje a legszigorúbbal: Mindig azzal kezdje, hogy mindent tilt (implicit deny), majd fokozatosan engedélyezze a szükséges forgalmat.
  • Rendszeres felülvizsgálat: Mind a WAF szabályokat, mind a NACL-eket rendszeresen felül kell vizsgálni és aktualizálni, hogy lépést tartsanak az új fenyegetésekkel és az alkalmazás változásaival.
  • Naplózás és monitoring: Engedélyezze a CloudWatch metrikákat és a Kinesis Firehose naplózást a WAF és a NACL-ek esetében is. Ez elengedhetetlen a támadások detektálásához és a szabályok finomhangolásához.
  • Használja a menedzselt szabályokat: Az AWS Managed Rule Groups jelentős védelmet nyújtanak minimális konfigurációval.

Következtetés

Az AWS WAF és a Hálózati ACL-ek (NACL-ek) az AWS biztonsági stratégiájának két alapvető, de eltérő jellegű építőköve. Míg a NACL-ek a hálózati rétegen, széles körű, állapotfüggetlen csomagszűrést végeznek subnet szinten, addig az AWS WAF az alkalmazási rétegen, állapotfüggő módon, a webes kérések tartalmának vizsgálatával védi az alkalmazásokat a célzott webes támadások ellen.

Az optimális felhőbiztonság megvalósításához nem elegendő csak az egyiket vagy a másikat használni. A leghatékonyabb védelem a réteges megközelítésben rejlik, ahol a NACL-ek és a WAF – kiegészítve az állapotfüggő Security Groupokkal – együtt dolgoznak, hogy egy robusztus és átfogó védelmi rendszert hozzanak létre az AWS környezetünkben. Azáltal, hogy megértjük ezen szolgáltatások egyedi erősségeit és működését, képessé válunk arra, hogy intelligens és proaktív biztonsági döntéseket hozzunk, biztosítva ezzel alkalmazásaink és adataink integritását és rendelkezésre állását a digitális világ kihívásai közepette.

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük