Definición: Firewall de aplicaciones web de AWS que protege contra exploits comunes como inyeccion SQL, cross-site scripting y ataques DDoS.
— Fuente: NERVICO, Consultoría de Desarrollo de Producto
Que es AWS WAF
AWS WAF (Web Application Firewall) es el servicio de firewall de aplicaciones web de Amazon que protege aplicaciones contra exploits comunes que pueden afectar la disponibilidad, comprometer la seguridad o consumir recursos de forma excesiva. Se despliega delante de recursos como CloudFront, Application Load Balancer o API Gateway, inspeccionando cada peticion HTTP antes de que llegue a la aplicacion. AWS WAF permite crear reglas personalizadas y utilizar reglas gestionadas por AWS o por terceros del AWS Marketplace.
Como funciona
WAF opera mediante Web ACLs (Access Control Lists) que contienen reglas evaluadas en orden de prioridad. Cada regla inspecciona componentes especificos de la peticion HTTP: cabeceras, cuerpo, parametros de consulta, direccion IP de origen o patron de la URL. Las acciones posibles son permitir, bloquear o contar la peticion. Las reglas gestionadas de AWS proporcionan proteccion predefinida contra amenazas comunes como inyeccion SQL, cross-site scripting (XSS), bots maliciosos y vulnerabilidades conocidas del OWASP Top 10. Las reglas de tasa (rate-based rules) limitan el numero de peticiones desde una misma IP en un periodo de tiempo, mitigando ataques de fuerza bruta y DDoS a nivel de aplicacion.
Por que importa
Las aplicaciones web expuestas a internet son objetivos constantes de ataques automatizados. Sin un WAF, cada vulnerabilidad en el codigo de la aplicacion es directamente explotable. AWS WAF anade una capa de defensa que filtra trafico malicioso antes de que alcance la aplicacion, reduciendo significativamente la superficie de ataque. Para aplicaciones que manejan datos sensibles o procesan pagos, un WAF no es opcional sino un requisito de cumplimiento en marcos como PCI DSS.
Ejemplo practico
Una plataforma de pagos despliega AWS WAF delante de su Application Load Balancer. Las reglas gestionadas de AWS bloquean automaticamente intentos de inyeccion SQL y XSS. Una regla personalizada limita a 100 peticiones por minuto desde cada IP al endpoint de login, mitigando ataques de fuerza bruta. Tras la activacion, el WAF bloquea 15.000 peticiones maliciosas diarias que antes llegaban a los servidores de aplicacion, reduciendo la carga de procesamiento y eliminando los falsos positivos del sistema de deteccion de intrusiones interno.