Pubblicato il 25/04/2022 da alnao nella categoria AWS

Le regole di CloudFront di default rendono il sito esposto compleamente aperto visto che il servizio non è studiato per impostare regole di rete specifiche: all’interno del dettaglio di una distribuzione di CloudFront, è disponibile un tab per configurare una restrizione di tipo geografico, cioè limitare l’accesso da un determinato paese o area geografica. Un’altra configurazione è il blocchi di alcuni url-path prefissati e nel tab “Create invalidation” è possibile invalidare alcuni punti di accesso di tipo url fisso.

Se risulta necessario creare regole di rete più particolari come limitare l’accesso solo ad un IP fisso, è possibile creare una regola di rete tramite il servizio AWS-WAF nella pagina specifica del “Web ACLs”, inserendo un blocco a tutti tranne ad IP specifici o regole ancora più particolari. Un volta creata la regola ACL nel WAF è possibile modificare le impostazioni del CloudFront impostando la regola del firewall appena creata nella tendina del “AWS WAF web ACL”. Dopo pochi istanti la regola risulterà già attiva e il traffico bloccato dal firewall riceverà un errore di tipo HTTP-403.