Aktifkan perlindungan WAF untuk instans ALB

Aktifkan perlindungan Web Application Firewall (WAF) untuk instans Application Load Balancer (ALB) guna melindunginya dari eksploitasi web umum. Instans ALB yang diaktifkan WAF menggunakan model integrasi WAF 3.0 SDK, yang memisahkan inspeksi keamanan dari penerusan traffic. Desain ini menghindari masalah umum pada penerapan WAF inline lama, seperti latensi jaringan tinggi, konfigurasi kompleks, dan potensi single point of failure (SPOF).

Cara kerja

Instans ALB yang diaktifkan WAF menggunakan model integrasi WAF 3.0 SDK. Dalam model ini, WAF tidak bertindak sebagai node jaringan inline (gateway) dalam jalur penerusan. Sebaliknya, WAF hanya bertanggung jawab atas ekstraksi, inspeksi, dan perlindungan traffic. Pendekatan ini menghindari latensi jaringan tinggi, konfigurasi kompleks (seperti pengaturan sinkronisasi sertifikat), serta potensi SPOF yang ditimbulkan oleh mode proxy transparan pada penerapan WAF lama.

Untuk informasi lebih lanjut, lihat Perbandingan WAF 3.0 dan WAF 2.0.

Penerimaan permintaan: Instans ALB menerima permintaan dari klien.
Inspeksi bypass: Sebelum meneruskan permintaan ke server backend, ALB menggunakan Software Development Kit (SDK) tersemat untuk mengekstraksi dan mengirim data traffic secara sinkron ke kluster inspeksi keamanan WAF 3.0.
Analisis keamanan: WAF 3.0 menganalisis konten permintaan secara real-time berdasarkan aturan perlindungan yang Anda konfigurasikan, seperti perlindungan web inti dan pemblokiran IP berbahaya. WAF kemudian mengembalikan hasil inspeksi (allow atau block) ke ALB.
Penerapan keputusan: ALB bertindak berdasarkan hasil inspeksi dari WAF:
- Allow: ALB meneruskan permintaan asli ke server backend.
- Block: ALB segera memblokir permintaan dan mengembalikan halaman intersepsi ke klien (biasanya dengan kode status 405). Permintaan tidak mencapai server backend.

Catatan penggunaan

Untuk instans ALB yang diaktifkan WAF:

Wilayah yang didukung:

Area	Region
Tiongkok	China (Chengdu), China (Qingdao), China (Beijing), China (Guangzhou), China (Hangzhou), China (Ulanqab), China (Shanghai), China (Shenzhen), China (Zhangjiakou), dan China (Hong Kong)
Asia Pasifik	Filipina (Manila), Indonesia (Jakarta), Jepang (Tokyo), Malaysia (Kuala Lumpur), Singapura, Thailand (Bangkok), dan Korea Selatan (Seoul)
Eropa dan Amerika	Jerman (Frankfurt), AS (Virginia), AS (Silicon Valley), dan Meksiko
Timur Tengah	SAU (Riyadh - Partner Region)

Versi WAF: Anda harus menggunakan WAF 3.0. Jika Anda memiliki instans WAF 2.0 di akun Anda, Anda harus terlebih dahulu menghentikan tugas instans WAF 2.0 atau memigrasikannya ke WAF 3.0.
Secara default, ALB tidak mengaktifkan header X-Forwarded-Proto dalam permintaan yang diteruskan ke kelompok server backend. Setelah Anda menghentikan tugas instans WAF 2.0, mengakses ALB secara langsung dapat menyebabkan pengecualian layanan, seperti pengalihan loop tak terbatas, karena layanan backend tidak dapat mengidentifikasi protokol (HTTP/HTTPS) dengan benar. Untuk mencegah masalah ini, Anda harus mengaktifkan secara manual header permintaan X-Forwarded-Proto dalam konfigurasi listener ALB.
Ketersediaan fitur: WAF untuk instans ALB tidak mendukung fitur berikut: modul Pencegahan kebocoran data dan fitur integrasi Web SDK otomatis untuk aturan anti-crawler pada modul Manajemen bot.

Saat Anda mengaktifkan perlindungan WAF, instans ALB Anda secara otomatis terintegrasi dengan instans WAF yang sudah ada. Jika Anda tidak memiliki instans WAF, instans WAF bayar sesuai penggunaan akan dibuat secara otomatis.

Area untuk instans WAF meliputi Chinese Mainland dan Outside Chinese Mainland. Bergantung pada apakah wilayah instans ALB Anda berada di Tiongkok daratan, instans tersebut akan terhubung ke instans WAF di area yang sesuai.

Buat instans ALB yang diaktifkan WAF

Console

Buka halaman pembelian ALB. Atur Edition ke WAF Enabled dan konfigurasikan parameter lainnya dengan merujuk ke Buat dan kelola instans ALB.

API

Untuk membuat instans ALB yang diaktifkan WAF, panggil operasi CreateLoadBalancer dan atur parameter LoadBalancerEdition ke StandardWithWaf.

Aktifkan perlindungan WAF untuk instans ALB yang sudah ada

Anda dapat mengaktifkan perlindungan WAF untuk instans ALB Basic maupun Standard, yaitu meningkatkannya ke edisi yang diaktifkan WAF.

Sebelum memulai, pastikan instans target berada dalam status Running.
Harga satuan untuk instans ALB bervariasi berdasarkan edisi instans. Lihat harga yang ditampilkan di halaman pembelian.

Console

Buka halaman Instans ALB.
Arahkan kursor ke ikon di samping ID instans target. Di bagian WAF Protection, klik Enable WAF.

API

Untuk meningkatkan instans ALB Anda ke edisi yang diaktifkan WAF, panggil operasi UpdateLoadBalancerEdition dan atur parameter LoadBalancerEdition ke StandardWithWaf.

Lihat log perlindungan

Saat Anda mengaktifkan perlindungan WAF untuk instans ALB, WAF secara otomatis membuat objek yang dilindungi dengan nama yang diakhiri -alb dan mengaktifkan aturan perlindungan web inti untuknya secara default. Aturan ini mengaktifkan laporan keamanan untuk objek yang dilindungi secara default, yang menampilkan log perlindungan.

Untuk memenuhi persyaratan keamanan lainnya, konfigurasikan aturan perlindungan.

Jika beberapa nama domain diarahkan ke instans ALB yang sama dan Anda perlu mengonfigurasi aturan perlindungan berbeda untuk setiap domain, Anda harus menambahkan nama domain tersebut sebagai objek yang dilindungi.

Console

Buka halaman Instans ALB.
Arahkan kursor ke ikon di samping ID instans target. Di bagian WAF Protection, klik View WAF Security Report.

Nonaktifkan perlindungan WAF

Setelah Anda menonaktifkan perlindungan WAF, traffic ke instans ALB Anda tidak lagi dilindungi oleh WAF. Laporan keamanan tidak akan lagi mencakup data perlindungan untuk traffic ini, dan Anda tidak akan dikenai biaya pemrosesan permintaan oleh WAF.

Namun, karena instans WAF dan aturan perlindungannya masih ada, Anda tetap akan dikenai biaya layanan WAF. Untuk sepenuhnya menghentikan semua penagihan, Anda harus menghentikan tugas layanan WAF.

Nonaktifkan perlindungan WAF secara permanen: Saat Anda menonaktifkan perlindungan WAF, instans ALB Anda diturunkan spesifikasinya dari edisi yang diaktifkan WAF ke edisi Standard. Perubahan ini tidak mengganggu layanan Anda.
Nonaktifkan perlindungan sementara: Jika traffic layanan Anda memicu banyak false positive dan sebagian besar traffic diblokir, nonaktifkan sementara perlindungan WAF untuk segera memulihkan layanan Anda.
- Dalam kasus ini, instans ALB tetap berada pada edisi yang diaktifkan WAF. Traffic tetap mengalir melalui SDK WAF yang tertanam di ALB tetapi tidak lagi diteruskan ke kluster WAF untuk inspeksi. Sebaliknya, traffic diteruskan langsung ke kelompok server backend.
- Pastikan Anda memahami risiko ini sebelum menonaktifkan sementara instans WAF: Semua sumber daya yang dilindungi oleh instans WAF akan terpengaruh.

Console

Nonaktifkan perlindungan WAF secara permanen

Buka Konsol ALB - halaman Instans.
Arahkan kursor ke ikon di samping ID instans target. Di bagian WAF Protection, klik Disable WAF.

Nonaktifkan perlindungan sementara

Buka Konsol WAF - halaman Objek yang Dilindungi.
Di pojok kanan atas halaman, matikan WAF Protection Status.

API

Untuk menurunkan spesifikasi instans ALB yang diaktifkan WAF ke edisi Standard, panggil operasi UpdateLoadBalancerEdition dan atur parameter LoadBalancerEdition ke Standard.

Terapkan di lingkungan produksi

Pengujian canary: Mulailah dengan mengaktifkan perlindungan WAF untuk instans ALB di lingkungan yang menyerupai lingkungan produksi Anda, sebaiknya selama jam sepi. Setelah Anda memastikan layanan berjalan sesuai harapan, aktifkan perlindungan untuk instans ALB produksi Anda.
Pemantauan berkelanjutan: Untuk menerima notifikasi serangan dan event keamanan lainnya, periksa secara berkala laporan keamanan dan konfigurasikan notifikasi CloudMonitor.
Penyetelan aturan: Untuk menganalisis false positive dan menyempurnakan aturan perlindungan guna meningkatkan akurasinya, tinjau secara berkala log intersepsi WAF.

Penagihan

Biaya instans: Biaya instans = Harga satuan instans (USD/jam) × Durasi penagihan (jam)
Biaya Load Balancer Capacity Unit (LCU): Biaya LCU per jam = max{LCU untuk koneksi baru, LCU untuk koneksi bersamaan, LCU untuk data yang diproses, LCU untuk evaluasi aturan} × Harga satuan LCU
Biaya transfer data Internet:
- Hanya instans ALB yang menghadap Internet yang dikenai biaya transfer data Internet.
- Instans ALB yang menghadap Internet menggunakan Elastic IP Address (EIP) atau Anycast EIP untuk menyediakan layanan melalui Internet. Anda dikenai biaya untuk EIP atau Anycast EIP yang terkait dengan instans ALB Anda.
Penagihan WAF 3.0: WAF 3.0 mendukung subscription dan pay-as-you-go.
- Jika Anda tidak memiliki instans WAF, instans WAF bayar sesuai penggunaan akan dibuat secara otomatis, dan Anda dikenai biaya penggunaannya saat membuat instans ALB yang diaktifkan WAF.
- Jika Anda sudah memiliki instans WAF 3.0 subscription, Anda tidak dikenai biaya WAF tambahan saat membuat instans ALB yang diaktifkan WAF.

FAQ

Dapatkah saya mengaktifkan perlindungan WAF 2.0 untuk instans ALB?

Jika Anda memiliki instans WAF 2.0 yang sudah ada, Anda dapat mengintegrasikan instans ALB Basic dan Standard yang menghadap Internet dengan instans WAF 2.0 tersebut. Fitur ini didukung di wilayah berikut: China (Hangzhou), China (Shanghai), China (Shenzhen), China (Chengdu), China (Beijing), dan China (Zhangjiakou). Instans ALB internal tidak dapat diintegrasikan dengan instans WAF 2.0.
Jika Anda tidak memiliki instans WAF 2.0 atau belum mengaktifkan WAF, semua instans ALB Anda hanya dapat dilindungi oleh WAF 3.0 (ditingkatkan ke edisi yang diaktifkan WAF).