Testen und Bereitstellen von ACFP - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Testen und Bereitstellen von ACFP

Dieser Abschnitt enthält allgemeine Anleitungen zur Konfiguration und zum Testen einer Implementierung zur AWS WAF Betrugsbekämpfung (Fraud Control Account Creation Fraud Prevention, ACFP) für Ihre Website. Für welche Schritte Sie sich im Einzelnen entscheiden, hängt von Ihren Anforderungen, Ihren Ressourcen und den bei Ihnen eingehenden Webanforderungen ab.

Diese Informationen ergänzen die allgemeinen Informationen zum Testen und Optimieren unterTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen.

Anmerkung

AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des Modells der gemeinsamen Verantwortung können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind.

Risiken rund um Produktionsdatenverkehr

Bevor Sie Ihre ACFP-Implementierung für den Produktionsdatenverkehr einsetzen, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren.

AWS WAF stellt Testanmeldedaten bereit, mit denen Sie Ihre ACFP-Konfiguration überprüfen können. Im folgenden Verfahren konfigurieren Sie eine Test-Web-ACL für die Verwendung der verwalteten ACFP-Regelgruppe, konfigurieren eine Regel, um das von der Regelgruppe hinzugefügte Label zu erfassen, und führen dann mit diesen Testanmeldedaten einen Versuch durch, ein Konto zu erstellen. Sie überprüfen, ob Ihre Web-ACL den Versuch ordnungsgemäß bewältigt hat, indem Sie die CloudWatch Amazon-Metriken für den Versuch der Kontoerstellung überprüfen.

Diese Anleitung richtet sich an Benutzer, die im Allgemeinen wissen, wie man Web-ACLs, Regeln und Regelgruppen für AWS WAF erstellt und verwaltet. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt.

Um eine ACFP-Implementierung ( AWS WAF Fraud Control Account Creation Fraud Prevention) zu konfigurieren und zu testen

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

  1. Fügen Sie die AWS WAF verwaltete Regelgruppe zur Erstellung von Fraud Control-Konten und Fraud Prevention (ACFP) im Zählmodus hinzu
    Anmerkung

    Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF -Preisgestaltung.

    Fügen Sie die Regelgruppe AWSManagedRulesACFPRuleSet „ AWS Verwaltete Regeln“ einer neuen oder vorhandenen Web-ACL hinzu und konfigurieren Sie sie so, dass sie das aktuelle Verhalten der Web-ACL nicht verändert. Weitere Informationen zu den Regeln und Bezeichnungen für diese Regelgruppe finden Sie unter AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung.

    • Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor:

      • Geben Sie im Bereich „Konfiguration der Regelgruppe“ die Details zu den Seiten zur Kontoregistrierung und Kontoerstellung Ihrer Anwendung ein. Die ACFP-Regelgruppe verwendet diese Informationen zur Überwachung der Anmeldeaktivitäten. Weitere Informationen finden Sie unter Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL.

      • Öffnen Sie im Bereich Regeln die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie aus. Count Mit dieser Konfiguration wertet AWS WAF Anforderungen nach allen Regeln in der Regelgruppe aus und zählt nur die daraus resultierenden Übereinstimmungen. Gleichzeitig werden weiterhin Beschriftungen zu Anforderungen hinzugefügt. Weitere Informationen finden Sie unter Regelaktionen in einer Regelgruppe überschreiben.

        Mit dieser Außerkraftsetzung können Sie die potenziellen Auswirkungen der von ACFP verwalteten Regeln überwachen und entscheiden, ob Sie Ausnahmen hinzufügen möchten, z. B. Ausnahmen für interne Anwendungsfälle.

    • Positionieren Sie die Regelgruppe so, dass sie nach Ihren vorhandenen Regeln in der Web-ACL ausgewertet wird, mit einer Prioritätseinstellung, die numerisch höher ist als alle Regeln oder Regelgruppen, die Sie bereits verwenden. Weitere Informationen finden Sie unter Reihenfolge der Verarbeitung von Regeln und Regelgruppen in einer Web-ACL.

      Auf diese Weise wird Ihre derzeitige Handhabung des Datenverkehrs nicht gestört. Wenn Sie beispielsweise Regeln haben, die bösartigen Datenverkehr wie SQL-Injections oder Cross-Site-Scripting erkennen, erkennen und protokollieren sie diese Probleme weiterhin. Wenn Sie Regeln haben, die bekannten, nicht böswilligen Datenverkehr zulassen, können diese Regeln diesen Datenverkehr auch weiterhin zulassen, ohne dass er von der von ACFP verwalteten Regelgruppe blockiert wird. Möglicherweise entscheiden Sie sich, die Verarbeitungsreihenfolge während Ihrer Test- und Optimierungsaktivitäten anzupassen.

  2. Implementieren Sie die Anwendungsintegrations-SDKs

    Integrieren Sie das AWS WAF JavaScript SDK in die Kontoregistrierungs- und Kontoerstellungspfade Ihres Browsers. AWS WAF bietet auch mobile SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zum den Integrations-SDKs finden Sie unter AWS WAF Integration von Client-Anwendungen. Informationen zu dieser Empfehlung finden Sie unterWarum sollten Sie die Anwendungsintegrations-SDKs mit ACFP verwenden.

    Anmerkung

    Wenn Sie die Anwendungsintegrations-SDKs nicht verwenden können, können Sie die ACFP-Regelgruppe testen, indem Sie sie in Ihrer Web-ACL bearbeiten und die Überschreibung entfernen, die Sie der AllRequests Regel zugewiesen haben. Dadurch wird die Challenge Aktionseinstellung der Regel aktiviert, um sicherzustellen, dass Anfragen ein gültiges Challenge-Token enthalten.

    Tun Sie dies zuerst in einer Testumgebung und dann mit größter Sorgfalt in Ihrer Produktionsumgebung. Dieser Ansatz hat das Potenzial, Benutzer zu blockieren. Wenn der Pfad Ihrer Registrierungsseite beispielsweise keine GET Text-/HTML-Anfragen akzeptiert, kann diese Regelkonfiguration effektiv alle Anfragen auf der Registrierungsseite blockieren.

  3. Aktivieren Sie die Protokollierung und Metriken für die Web-ACL

    Konfigurieren Sie bei Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für die Web-ACL. Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der von ACFP verwalteten Regelgruppe mit Ihrem Datenverkehr zu überwachen.

  4. Zuordnen der Web-ACL zu einer Ressource

    Wenn die Web-ACL noch keiner Testressource zugeordnet ist, ordnen Sie sie zu. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung einer Web-ACL zu einer Ressource AWS.

  5. Überwachen Sie den Datenverkehr und die Übereinstimmung mit den ACFP-Regeln

    Stellen Sie sicher, dass Ihr normaler Datenverkehr fließt und dass die Regeln für verwaltete ACFP-Regelgruppen übereinstimmende Webanfragen mit Labels versehen. Sie können die Labels in den Protokollen und die ACFP- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, in der Liste mit auf zählen action gesetzt und ruleGroupList mit der overriddenAction Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben.

  6. Testen der Regelgruppenfunktionen zur Überprüfung von Anmeldeinformationen

    Führen Sie einen Versuch zur Kontoerstellung mit manipulierten Testanmeldedaten durch und überprüfen Sie, ob die Regelgruppe erwartungsgemäß mit ihnen übereinstimmt.

    1. Rufen Sie die Kontoregistrierungsseite Ihrer geschützten Ressource auf und versuchen Sie, ein neues Konto hinzuzufügen. Verwenden Sie das folgende Paar AWS WAF Testanmeldeinformationen und geben Sie einen beliebigen Test ein

      • Benutzer: WAF_TEST_CREDENTIAL@wafexample.com

      • Passwort: WAF_TEST_CREDENTIAL_PASSWORD

      Diese Testanmeldedaten werden als kompromittierte Anmeldeinformationen eingestuft, und die von ACFP verwaltete Regelgruppe fügt der Anfrage zur Kontoerstellung die awswaf:managed:aws:acfp:signal:credential_compromised Bezeichnung hinzu, die Sie in den Protokollen sehen können.

    2. Suchen Sie in Ihren Web-ACL-Protokollen nach der awswaf:managed:aws:acfp:signal:credential_compromised Bezeichnung im labels Feld in den Protokolleinträgen für Ihre Anfrage zur Erstellung eines Testkontos. Weitere Informationen zur Protokollierung finden Sie unter AWS WAF Web-ACL-Verkehr protokollieren.

    Nachdem Sie sich vergewissert haben, dass die Regelgruppe kompromittierte Anmeldeinformationen wie erwartet erfasst, können Sie Maßnahmen ergreifen, um die Implementierung für Ihre geschützte Ressource nach Bedarf zu konfigurieren.

  7. Testen Sie bei CloudFront Verteilungen, wie die Regelgruppe versucht, mehrere Konten gleichzeitig zu erstellen

    Führen Sie diesen Test für jedes Erfolgskriterium aus, das Sie für die ACFP-Regelgruppe konfiguriert haben. Warten Sie zwischen den Tests mindestens 30 Minuten.

    1. Identifizieren Sie für jedes Ihrer Erfolgskriterien einen Versuch, ein Konto zu erstellen, der mit diesen Erfolgskriterien in der Antwort erfolgreich sein wird. Führen Sie dann von einer einzigen Kundensitzung aus mindestens 5 erfolgreiche Versuche zur Kontoerstellung in weniger als 30 Minuten durch. Ein Benutzer würde normalerweise nur ein einziges Konto auf Ihrer Site erstellen.

      Nach der ersten erfolgreichen Kontoerstellung sollte die VolumetricSessionSuccessfulResponse Regel beginnen, sie mit den übrigen Antworten auf die Kontoerstellung abzugleichen, sie zu kennzeichnen und zu zählen, je nachdem, welche Regelaktion Sie außer Kraft gesetzt haben. Bei der Regel fehlen aufgrund der Latenz möglicherweise die ersten ein oder zwei Antworten.

    2. Suchen Sie in Ihren Web-ACL-Protokollen nach der awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high Bezeichnung im labels Feld in den Protokolleinträgen für Ihre Webanfragen zur Erstellung von Testkonten. Weitere Informationen zur Protokollierung finden Sie unter AWS WAF Web-ACL-Verkehr protokollieren.

    Diese Tests überprüfen, ob Ihre Erfolgskriterien mit Ihren Antworten übereinstimmen, indem geprüft wird, ob die Anzahl der erfolgreichen Ergebnisse, die durch die Regel aggregiert wurden, den Schwellenwert der Regel überschreitet. Wenn Sie nach Erreichen des Schwellenwerts weiterhin Anfragen zur Kontoerstellung aus derselben Sitzung senden, gilt die Regel weiterhin, bis die Erfolgsquote unter den Schwellenwert fällt. Solange der Schwellenwert überschritten ist, berücksichtigt die Regel sowohl erfolgreiche als auch fehlgeschlagene Kontoerstellungsversuche von der Sitzungsadresse aus.

  8. Passen Sie die Behandlung von ACFP-Webanfragen an

    Fügen Sie nach Bedarf Ihre eigenen Regeln hinzu, die Anfragen explizit zulassen oder blockieren, um zu ändern, wie ACFP-Regeln sie sonst behandeln würden.

    Beispielsweise können Sie ACFP-Labels verwenden, um Anfragen zuzulassen oder zu blockieren oder die Bearbeitung von Anfragen anzupassen. Sie können hinter der verwalteten ACFP-Regelgruppe eine Regel für den Label-Abgleich hinzufügen, um markierte Anfragen nach der Bearbeitung zu filtern, die Sie anwenden möchten. Behalten Sie nach dem Testen die zugehörigen ACFP-Regeln im Zählmodus bei und behalten Sie die Entscheidungen zur Bearbeitung von Anfragen in Ihrer benutzerdefinierten Regel bei. Ein Beispiel finden Sie unter ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen.

  9. Entfernen Sie Ihre Testregeln und aktivieren Sie die Einstellungen für verwaltete ACFP-Regelgruppen

    Abhängig von Ihrer Situation haben Sie sich möglicherweise entschieden, einige ACFP-Regeln im Zählmodus zu belassen. Für die Regeln, die Sie wie in der Regelgruppe konfiguriert ausführen möchten, deaktivieren Sie den Zählmodus in der Web-ACL-Regelgruppenkonfiguration. Wenn Sie mit dem Testen fertig sind, können Sie auch Ihre Testlabel-Vergleichsregeln entfernen.

  10. Überwachen und Anpassen

    Um sicherzustellen, dass Webanfragen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau beobachten, nachdem Sie die ACFP-Funktionalität aktiviert haben, die Sie verwenden möchten. Passen Sie das Verhalten nach Bedarf mit der Überschreibung der Regelzählung für die Regelgruppe und mit Ihren eigenen Regeln an.

Wenn Sie das AWS WAF JavaScript SDK nach Abschluss des Tests Ihrer ACFP-Regelgruppenimplementierung noch nicht in die Seiten zur Kontoregistrierung und Kontoerstellung Ihres Browsers integriert haben, empfehlen wir Ihnen dringend, dies zu tun. AWS WAF bietet auch mobile SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zum den Integrations-SDKs finden Sie unter AWS WAF Integration von Client-Anwendungen. Informationen zu dieser Empfehlung finden Sie unterWarum sollten Sie die Anwendungsintegrations-SDKs mit ACFP verwenden.