Activación de App and API Protection para AWS WAF

Documentos > Datadog Security > App and API Protection > Enabling App and API Protection > Activación de App and API Protection para AWS WAF

App and API Protection se integra con AWS Web Application Firewall (WAF) mediante lo siguiente:

Conversión de logs en trazas para obtener visibilidad de las solicitudes supervisadas y bloqueadas.
Bloqueo de direcciones IP con conjuntos de IP de AWS WAF.

Ambas pueden configurarse independientemente, pero se recomienda configurar primero la conversión de logs a trazas para poder inspeccionar las acciones de AWS WAF.

Requisitos previos

La integración de Amazon Web Services está configurada.
La recopilación de métricas y logs está activada en la integración de AWS WAF.
Se crea un conexión con la cuenta de AWS que aloja el AWS WAF utilizado para el bloqueo.

Convertir los logs de AWS WAF en trazas

En primer lugar, habilita la conversión de logs a trazas en la página de configuración.

A continuación, asegúrate de que la tabla de ACLs web contiene métricas de solicitud, así como logs y trazas.

Las trazas de seguridad se informan en AAP Traces Explorer con el nombre de servicio aws.waf.

Bloqueo con conjuntos de IP de AWS WAF

Para bloquear a los atacantes, Datadog necesita gestionar un conjunto de IP dedicado. Este conjunto de IP debe ser referenciado por la ACL web con una regla en modo de bloqueo.

Se pueden configurar múltiples ACLs web en la misma o en diferentes cuentas de AWS. Debe crearse una conexión en cada cuenta de AWS.

Asegúrate de que el rol de AWS adjunto a la conexión tiene los siguientes permisos:

GetIPSet
UpdateIPSet

Edita tu configuración de Terraform con el siguiente contenido:

resource "aws_wafv2_ip_set" "Datadog-blocked-ipv4s" {
  name               = "Datadog-blocked-ipv4s"
  ip_address_version = "IPV4"
  scope              = "CLOUDFRONT"
  addresses          = []

  lifecycle {
    # The addresses are managed by the Datadog Application Security product.
    ignore_changes = [addresses]
  }
}

# Add a blocking rule to your existing web ACL resource
resource "aws_wafv2_web_acl" "EdgeWAF" {
  name  = "EdgeWAF"
  description = "undefined"
  scope = "CLOUDFRONT"

  default_action {
    allow {}
  }

  rule {
    name     = "BlockedIPs"
    priority = 0

    action {
      block {}
    }

    statement {
      ip_set_reference_statement {
        arn = aws_wafv2_ip_set."Datadog-blocked-ipv4s".arn
      }
    }

    visibility_config {
      cloudwatch_metrics_enabled = true
      metric_name                = "Datadog-blocked-ipv4s"
      sampled_requests_enabled   = true
    }
  }

  visibility_config {
    cloudwatch_metrics_enabled = true
    metric_name                = "EdgeWAF"
    sampled_requests_enabled   = true
  }
}

Ejecuta terraform apply para crear y actualizar los recursos de WAF.

Una vez finalizada la configuración, haz clic en Block New Attackers (Bloquear nuevos atacantes) en la página de la lista de denegación de App & API Protection. Selecciona la ACL web y la conexión de AWS asociada para bloquear las direcciones IP.