Pois é pessoal, para mim, estava demorando a amazon anunciar um waf para o mundo utilizando os seus recursos. Eis que nestes dias o gigante do cloud anunciou o seu novo serviço – e saibam que vem mais coisa por aí – o AWS WAF.

Vejam as principais funcionalidades listadas pela própria amazon e em inglês:

AWS WAF is a web application firewall that helps detect and block malicious web requests targeted at your web application. AWS WAF allows you to create rules that can help protect against common web exploits like SQL injection and cross-site scripting. With AWS WAF you first identify the Amazon CloudFront web distribution that you need to protect. You then deploy the rules and filters that will best protect your applications. You can deploy, create, and maintain these web security rules in the AWS Management Console or using the AWS WAF API

Web Traffic Filtering
AWS WAF lets you create rules to filter web traffic based on conditions that include IP addresses, HTTP headers, or custom URIs. This gives you an additional layer of protection from web attacks that attempt to exploit vulnerabilities in custom or third party web applications. In addition, AWS WAF makes it easy to create rules that block common web exploits like SQL injection and cross site scripting.

AWS WAF allows you to create a centralized set of rules that you can deploy across multiple websites. This means that in an environment with many websites and web applications you can create a single set of rules that you can reuse across applications rather than recreating that rule on every application you want to protect.

Full Feature API
AWS WAF can be completely administered via APIs. This provides organizations with the ability to create and maintain rules automatically and incorporate them into the development and design process. For example, a developer who has detailed knowledge of the web application could create a web ACL as part of the deployment process. This capability to incorporate security into your development process avoids the need for complex handoffs between application and security teams to make sure rules are kept up to date. AWS WAF rules can be deployed and tested in your QA environment or deployed to your production environment in monitor-only (count) mode before the exact same rules are applied to your production traffic.

Real-time Visibility
AWS WAF provides real-time metrics and captures raw requests that include details about IP addresses, geo locations, URIs, User-Agent and Referer headers. AWS WAF is fully integrated with Amazon CloudWatch, making it easy to setup custom alarms when thresholds are exceeded or particular attacks occur. This information provides valuable intelligence that can be used to create new rules to better protect applications.

A Amazon agendou para o dia 28 de outubro um web seminário para falar mais a respeito desta nova solução, onde os interessados poderão se inscrever nele a partir do seguinte link.

Preço

Como sempre, a amazon libera uma explicação simples e direta sobre o seu processo de cobrança, vejam só:

Rules and Web Access Control Charges

AWS WAF charges based on the number of web access control lists (web ACLs) that you define, the number of rules that you deploy for those web ACLs, and the number of web requests that you receive. There is no additional charge for reusing a web ACL across more than one CloudFront distribution.

Web Access Control Lists Charge

$5 per web ACL per month

Rules Charge

$1 per rule per web ACL per month

Request Charges

AWS also charges for the amount of web request AWS WAF handles. This is based upon the number of web requests the application receives.

Request Charge

$0.60 per million web requests
Manage Your AWS Resources

Sign in to the Console
Pricing Example
Let’s assume you start using AWS WAF at the first of the month to protect eight CloudFront web distributions. For this example, we’ll create two web ACLs, one web ACL with four rules associated to six CloudFront web distributions, and another web ACL with six rules associated to two remaining CloudFront web distributions. The CloudFront web distributions are expected to receive 10 million requests per month in total.

Web ACL

Web ACL charge = # of web ACLs per month * $5

Total web ACL charge = 2 * $5 = $10

Rule

The price for a rule is $1 per month (pro-rated by the hour)

Rule charge = # of rules associated per month * $1

Total rule charge = (4 + 6) * $1 = $10

Request

The price for request is $0.60 per million

Request charge = # of requests per month (in millions) * $0.60

Total request charge = 10 million requests * $0.60 = $6.00

Total Monthly Bill

Total web ACL charge + total rule charge + total request charge = $10 + $10 + $6 = $26

Fiz alguns cálculos básicos e descobri que a conta deste WAF da amazon poderá ficar bem alta. Vejam, um blog conhecido e suscetível à ataques pode ter umas 150 regras, correto ?

Pensando nisso, a conta pode facilmente passar dos US$ 1500.00/mês.

Sendo assim, pensem com carinho antes de aderir a este novo serviço….

Documentação e exemplos

O seguinte link trás uma série de informações mais técnicas e interessantes quanto esta nova solução.

 

 

E aí, vale a pena contratar ?

É muito cedo para afirmar isso, e explico porque.

1 – não ficou claro as regras que ela utilizará e nem a sua eficácia.

2 – o preço, pelo menos para mim, está salgado. Isso porque estou comparando com o serviço da sucuri, o qual pago mensalmente US$ 9.90

3 – mesmo com o preço salgado, valeria a pena, tendo é claro o esclarecimento das regras já ocorrido, a sua contratação devido a redução de latência e o ganho de performance, já que todo o tráfego seria realizado na mesma rede.

 

E para fechar…

Uma análise, que para mim foi superficial, sobre este novo serviço/produto foi realizado pelo pessoal da trendmicro e poderá ser analisada a partir deste link.

Trabalhando há anos com performance web, para mim foi uma boa sacada da amazon. Agora, resta saber se, de fato, este produto funciona mesmo. E como faremos isso ?

Simples, contratando por 30 dias, realizando uma série de ataques e publicando os seus resultados de forma imparcial.

Como eu disse outro dia desses para um amigo – o mercado de terceirização de WAF só tende a crescer nos próximos 3 anos.

 

Atualização: 

Acabei de ler a documentação disponibilizada no link acima e fiquei um tanto que decepcionado com a amazon. Isso porque nós, os administradores do ambiente do seu ambiente, teremos que criar boa parte das regras na unha, mesmo que utilizando o cloudwatch para auxiliar neste processo.

Amazon, para tudo!!!!. Vc’s possuem uma das maiores bases de conhecimento do mundo quanto a segurança, caso não seja a maior. Por que não utilizar isso a favor de seus clientes ?

O pessoal da sucuri faz isso e muito bem por sinal..

E para aqueles que me chamarem de preguiçoso, que eu deveria sim criar as regras na unha, um aviso : a terceirização de serviços como este tem como fundamento a contratação de algo que possua um conhecimento maior q o nosso e com ele possa resolver uma série de problemas sem a nossa interferência..