AWS WAF com CloudFront: boas práticas para proteger aplicações web
Como posicionar o WAF na borda, ajustar regras sem bloquear usuários legítimos e impedir que a origem seja contornada.
Aplicações expostas à internet recebem tráfego automatizado o tempo todo: varreduras, tentativas de exploração e abuso. O AWS WAF, posicionado junto ao CloudFront, filtra esse tráfego na borda, antes que ele chegue à sua origem. O desafio não é ligar o WAF, e sim ajustá-lo para mitigar ataques reais sem bloquear clientes legítimos.
Este guia trata da combinação WAF mais CloudFront de forma defensiva: quais regras usar, como introduzir bloqueios com segurança, como proteger a origem contra bypass e como usar logs para o tuning contínuo.
Managed rules e modo de contagem
Comece pelos conjuntos de regras gerenciadas da AWS, que cobrem categorias comuns como entradas maliciosas, reputação de IP e padrões do OWASP. Antes de bloquear, coloque as regras em modo de contagem para medir o impacto no seu tráfego real. Esse passo evita o erro clássico de subir bloqueios agressivos e derrubar usuários legítimos no primeiro dia.
Depois de observar as contagens, promova para bloqueio as regras com baixo índice de falso positivo e mantenha em contagem ou ajuste as que pegam tráfego legítimo. O tuning é um processo, não um evento único.
Rate limiting e proteção de login
Regras baseadas em taxa limitam quantas requisições uma origem pode fazer em uma janela de tempo, mitigando força bruta e abuso. Para páginas de autenticação, combine rate limiting com regras mais restritas e, quando disponível, com desafios, sempre observando o efeito sobre usuários reais que estão atrás de um mesmo IP corporativo.
Geoblocking pode reduzir ruído quando o público é regional, mas use com cuidado: usuários legítimos viajam e usam VPNs. Trate geoblocking como redução de superfície, não como controle de segurança definitivo.
Proteção da origem e logs
De nada adianta filtrar na borda se a origem aceita conexões diretas, contornando o CloudFront e o WAF. Restrinja a origem para aceitar tráfego apenas do CloudFront, por exemplo validando um cabeçalho secreto na origem ou usando os mecanismos de origem restrita disponíveis. Sem isso, o atacante simplesmente ignora a borda.
Habilite os logs do WAF e direcione para análise. Eles mostram quais regras estão agindo, quais requisições foram bloqueadas e onde há falso positivo. O log é a base do tuning e também ajuda em investigação quando algo passa.
Checklist prático
- Associar o WAF à distribuição CloudFront na frente da aplicação
- Habilitar managed rules adequadas ao stack
- Subir regras primeiro em modo de contagem e medir impacto
- Promover para bloqueio apenas regras com baixo falso positivo
- Aplicar rate limiting em endpoints sensíveis e de login
- Avaliar geoblocking conforme o público, sem tratá-lo como controle único
- Restringir a origem para aceitar tráfego apenas do CloudFront
- Habilitar logs do WAF e direcionar para análise
- Revisar periodicamente regras e falsos positivos
- Documentar exceções e regras customizadas
Boas práticas
- Trate o tuning do WAF como processo contínuo, não configuração única
- Use modo de contagem antes de qualquer bloqueio novo
- Proteja a origem contra acesso direto que ignore a borda
- Combine rate limiting com regras específicas em login
- Monitore métricas de bloqueio para detectar campanhas de ataque
- Lembre que o WAF mitiga, mas não substitui corrigir a aplicação
Erros comuns
Subir bloqueios sem fase de contagem
Usuários legítimos são bloqueados e o WAF perde credibilidade interna.
Origem aceitando conexões diretas
O atacante contorna CloudFront e WAF e ataca a origem diretamente.
Geoblocking tratado como segurança definitiva
Falsa sensação de proteção e bloqueio de usuários legítimos em viagem ou VPN.
WAF sem logs
Impossível fazer tuning ou investigar o que foi bloqueado e o que passou.
Confiar no WAF e ignorar a aplicação
Falhas na aplicação permanecem exploráveis quando uma requisição passa pela borda.
Quando procurar apoio especializado
Ajustar WAF e proteção de borda sem bloquear usuários reais exige medir tráfego e calibrar regras com método. A GUARDIASEC faz isso no serviço de WAF e Proteção de Borda, configurando regras em observação, ajustando o tuning e protegendo a origem.
Perguntas frequentes
O AWS WAF substitui a correção de vulnerabilidades na aplicação?
Não. O WAF mitiga ataques na borda e reduz ruído, mas a aplicação continua vulnerável se a falha existir. Uma requisição maliciosa que não casa com nenhuma regra passa direto. O WAF complementa a correção da aplicação e do pentest, não os substitui.
Por que usar o WAF junto do CloudFront e não só na origem?
No CloudFront, o WAF filtra na borda da rede da AWS, mais perto do usuário, bloqueando tráfego malicioso antes que ele chegue à sua infraestrutura. Isso reduz carga na origem e melhora latência. O ponto essencial é garantir que a origem só aceite tráfego vindo do CloudFront, para que a borda não seja contornada.
Como evito bloquear usuários legítimos?
Suba qualquer regra nova em modo de contagem, analise os logs para medir o impacto no tráfego real e só promova para bloqueio o que tem baixo índice de falso positivo. Em endpoints corporativos, lembre que muitos usuários compartilham um mesmo IP de saída, o que afeta regras por taxa.
Geoblocking é uma boa estratégia de segurança?
É útil como redução de superfície quando o público é regional, mas não como controle definitivo. Usuários legítimos viajam e usam VPNs, e atacantes podem usar infraestrutura no país permitido. Trate o geoblocking como uma camada a mais, combinada com regras de conteúdo e rate limiting.
Guias relacionados
Próximo passo
Vamos avaliar os riscos do seu ambiente?
Conte seu cenário e definimos juntos o escopo certo. O objetivo é reduzir caminhos prováveis de ataque e elevar a maturidade de segurança, sem promessas absolutas.