Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Testen und Bereitstellen von ACFP
Dieser Abschnitt enthält allgemeine Anleitungen zur Konfiguration und zum Testen einer Implementierung zur AWS WAF Betrugsbekämpfung (Fraud Control Account Creation Fraud Prevention, ACFP) für Ihre Website. Für welche Schritte Sie sich im Einzelnen entscheiden, hängt von Ihren Anforderungen, Ihren Ressourcen und den bei Ihnen eingehenden Webanforderungen ab.
Diese Informationen ergänzen die allgemeinen Informationen zum Testen und Optimieren unterTesten und Tunen Ihres AWS WAF Schutzmaßnahmen.
Anmerkung
AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des Modells der gemeinsamen Verantwortung
Risiken rund um Produktionsdatenverkehr
Bevor Sie Ihre ACFP-Implementierung für den Produktionsdatenverkehr einsetzen, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren.
AWS WAF stellt Testanmeldedaten bereit, mit denen Sie Ihre ACFP-Konfiguration überprüfen können. Im folgenden Verfahren konfigurieren Sie eine Test-Web-ACL für die Verwendung der verwalteten ACFP-Regelgruppe, konfigurieren eine Regel, um das von der Regelgruppe hinzugefügte Label zu erfassen, und führen dann mit diesen Testanmeldedaten einen Versuch durch, ein Konto zu erstellen. Sie überprüfen, ob Ihre Web-ACL den Versuch ordnungsgemäß bewältigt hat, indem Sie die CloudWatch Amazon-Metriken für den Versuch der Kontoerstellung überprüfen.
Diese Anleitung richtet sich an Benutzer, die im Allgemeinen wissen, wie man Web-ACLs, Regeln und Regelgruppen für AWS WAF erstellt und verwaltet. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt.
Um eine ACFP-Implementierung ( AWS WAF Fraud Control Account Creation Fraud Prevention) zu konfigurieren und zu testen
Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.
-
Fügen Sie die AWS WAF verwaltete Regelgruppe zur Erstellung von Fraud Control-Konten und Fraud Prevention (ACFP) im Zählmodus hinzu
Anmerkung
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF -Preisgestaltung
. Fügen Sie die Regelgruppe
AWSManagedRulesACFPRuleSet
„ AWS Verwaltete Regeln“ einer neuen oder vorhandenen Web-ACL hinzu und konfigurieren Sie sie so, dass sie das aktuelle Verhalten der Web-ACL nicht verändert. Weitere Informationen zu den Regeln und Bezeichnungen für diese Regelgruppe finden Sie unter AWS WAF Regelgruppe zur Erstellung von Fraud Control-Konten zur Betrugsprävention (ACFP).-
Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor:
-
Geben Sie im Bereich „Konfiguration der Regelgruppe“ die Details zu den Seiten zur Kontoregistrierung und Kontoerstellung Ihrer Anwendung ein. Die ACFP-Regelgruppe verwendet diese Informationen zur Überwachung der Anmeldeaktivitäten. Weitere Informationen finden Sie unter Hinzufügen der ACFP verwalteten Regelgruppe zu Ihrer Website ACL.
-
Öffnen Sie im Bereich Regeln die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie aus. Count Mit dieser Konfiguration wertet AWS WAF Anforderungen nach allen Regeln in der Regelgruppe aus und zählt nur die daraus resultierenden Übereinstimmungen. Gleichzeitig werden weiterhin Beschriftungen zu Anforderungen hinzugefügt. Weitere Informationen finden Sie unter Regelaktionen in einer Regelgruppe überschreiben.
Mit dieser Außerkraftsetzung können Sie die potenziellen Auswirkungen der von ACFP verwalteten Regeln überwachen und entscheiden, ob Sie Ausnahmen hinzufügen möchten, z. B. Ausnahmen für interne Anwendungsfälle.
-
-
Positionieren Sie die Regelgruppe so, dass sie nach Ihren vorhandenen Regeln in der Web-ACL ausgewertet wird, mit einer Prioritätseinstellung, die numerisch höher ist als alle Regeln oder Regelgruppen, die Sie bereits verwenden. Weitere Informationen finden Sie unter Regelpriorität in einem Web festlegen ACL.
Auf diese Weise wird Ihre derzeitige Handhabung des Datenverkehrs nicht gestört. Wenn Sie beispielsweise Regeln haben, die bösartigen Datenverkehr wie SQL-Injections oder Cross-Site-Scripting erkennen, erkennen und protokollieren sie diese Probleme weiterhin. Wenn Sie Regeln haben, die bekannten, nicht böswilligen Datenverkehr zulassen, können diese Regeln diesen Datenverkehr auch weiterhin zulassen, ohne dass er von der von ACFP verwalteten Regelgruppe blockiert wird. Möglicherweise entscheiden Sie sich, die Verarbeitungsreihenfolge während Ihrer Test- und Optimierungsaktivitäten anzupassen.
-
-
Implementieren Sie die Anwendungsintegrations-SDKs
Integrieren Sie das AWS WAF JavaScript SDK in die Kontoregistrierungs- und Kontoerstellungspfade Ihres Browsers. AWS WAF bietet auch mobile SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zum den Integrations-SDKs finden Sie unter Integrationen von Client-Anwendungen in AWS WAF. Informationen zu dieser Empfehlung finden Sie unterVerwenden der Anwendungsintegration SDKs mit ACFP.
Anmerkung
Wenn Sie die Anwendungsintegrations-SDKs nicht verwenden können, können Sie die ACFP-Regelgruppe testen, indem Sie sie in Ihrer Web-ACL bearbeiten und die Überschreibung entfernen, die Sie der
AllRequests
Regel zugewiesen haben. Dadurch wird die Challenge Aktionseinstellung der Regel aktiviert, um sicherzustellen, dass Anfragen ein gültiges Challenge-Token enthalten.Tun Sie dies zuerst in einer Testumgebung und dann mit größter Sorgfalt in Ihrer Produktionsumgebung. Dieser Ansatz hat das Potenzial, Benutzer zu blockieren. Wenn der Pfad Ihrer Registrierungsseite beispielsweise keine
GET
Text-/HTML-Anfragen akzeptiert, kann diese Regelkonfiguration effektiv alle Anfragen auf der Registrierungsseite blockieren. -
Aktivieren Sie die Protokollierung und Metriken für die Web-ACL
Konfigurieren Sie bei Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für die Web-ACL. Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der von ACFP verwalteten Regelgruppe mit Ihrem Datenverkehr zu überwachen.
-
Weitere Informationen zur Protokollierung finden Sie unter Protokollierung AWS WAF ACLWeb-Traffic.
-
Informationen zu Amazon Security Lake finden Sie unter Was ist Amazon Security Lake? und Sammeln von Daten von AWS Diensten im Amazon Security Lake-Benutzerhandbuch.
-
Informationen zu CloudWatch Amazon-Metriken finden Sie unterÜberwachung mit Amazon CloudWatch.
-
Informationen zum Sampling von Webanforderungen finden Sie unter Anzeigen einer Stichprobe von Webanforderungen.
-
-
Zuordnen der Web-ACL zu einer Ressource
Wenn die Web-ACL noch keiner Testressource zugeordnet ist, ordnen Sie sie zu. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung eines Webs zu einem ACL AWS Ressource.
-
Überwachen Sie den Datenverkehr und die Übereinstimmung mit den ACFP-Regeln
Stellen Sie sicher, dass Ihr normaler Datenverkehr fließt und dass die Regeln für verwaltete ACFP-Regelgruppen übereinstimmende Webanfragen mit Labels versehen. Sie können die Labels in den Protokollen und die ACFP- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, in der Liste mit auf zählen
action
gesetzt undruleGroupList
mit deroverriddenAction
Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben. -
Testen der Regelgruppenfunktionen zur Überprüfung von Anmeldeinformationen
Führen Sie einen Versuch zur Kontoerstellung mit manipulierten Testanmeldedaten durch und überprüfen Sie, ob die Regelgruppe erwartungsgemäß mit ihnen übereinstimmt.
-
Rufen Sie die Kontoregistrierungsseite Ihrer geschützten Ressource auf und versuchen Sie, ein neues Konto hinzuzufügen. Verwenden Sie das folgende Paar AWS WAF Testanmeldeinformationen und geben Sie einen beliebigen Test ein
-
Benutzer:
WAF_TEST_CREDENTIAL@wafexample.com
-
Passwort:
WAF_TEST_CREDENTIAL_PASSWORD
Diese Testanmeldedaten werden als kompromittierte Anmeldeinformationen eingestuft, und die von ACFP verwaltete Regelgruppe fügt der Anfrage zur Kontoerstellung die
awswaf:managed:aws:acfp:signal:credential_compromised
Bezeichnung hinzu, die Sie in den Protokollen sehen können. -
-
Suchen Sie in Ihren Web-ACL-Protokollen nach der
awswaf:managed:aws:acfp:signal:credential_compromised
Bezeichnung imlabels
Feld in den Protokolleinträgen für Ihre Anfrage zur Erstellung eines Testkontos. Weitere Informationen zur Protokollierung finden Sie unter Protokollierung AWS WAF ACLWeb-Traffic.
Nachdem Sie sich vergewissert haben, dass die Regelgruppe kompromittierte Anmeldeinformationen wie erwartet erfasst, können Sie Maßnahmen ergreifen, um die Implementierung für Ihre geschützte Ressource nach Bedarf zu konfigurieren.
-
-
Testen Sie bei CloudFront Verteilungen, wie die Regelgruppe versucht, mehrere Konten gleichzeitig zu erstellen
Führen Sie diesen Test für jedes Erfolgskriterium aus, das Sie für die ACFP-Regelgruppe konfiguriert haben. Warten Sie zwischen den Tests mindestens 30 Minuten.
-
Identifizieren Sie für jedes Ihrer Erfolgskriterien einen Versuch, ein Konto zu erstellen, der mit diesen Erfolgskriterien in der Antwort erfolgreich sein wird. Führen Sie dann von einer einzigen Kundensitzung aus mindestens 5 erfolgreiche Versuche zur Kontoerstellung in weniger als 30 Minuten durch. Ein Benutzer würde normalerweise nur ein einziges Konto auf Ihrer Site erstellen.
Nach der ersten erfolgreichen Kontoerstellung sollte die
VolumetricSessionSuccessfulResponse
Regel beginnen, sie mit den übrigen Antworten auf die Kontoerstellung abzugleichen, sie zu kennzeichnen und zu zählen, je nachdem, welche Regelaktion Sie außer Kraft gesetzt haben. Bei der Regel fehlen aufgrund der Latenz möglicherweise die ersten ein oder zwei Antworten. -
Suchen Sie in Ihren Web-ACL-Protokollen nach der
awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high
Bezeichnung imlabels
Feld in den Protokolleinträgen für Ihre Webanfragen zur Erstellung von Testkonten. Weitere Informationen zur Protokollierung finden Sie unter Protokollierung AWS WAF ACLWeb-Traffic.
Diese Tests überprüfen, ob Ihre Erfolgskriterien mit Ihren Antworten übereinstimmen, indem geprüft wird, ob die Anzahl der erfolgreichen Ergebnisse, die durch die Regel aggregiert wurden, den Schwellenwert der Regel überschreitet. Wenn Sie nach Erreichen des Schwellenwerts weiterhin Anfragen zur Kontoerstellung aus derselben Sitzung senden, gilt die Regel weiterhin, bis die Erfolgsquote unter den Schwellenwert fällt. Solange der Schwellenwert überschritten ist, berücksichtigt die Regel sowohl erfolgreiche als auch fehlgeschlagene Kontoerstellungsversuche von der Sitzungsadresse aus.
-
-
Passen Sie die Behandlung von ACFP-Webanfragen an
Fügen Sie nach Bedarf Ihre eigenen Regeln hinzu, die Anfragen explizit zulassen oder blockieren, um zu ändern, wie ACFP-Regeln sie sonst behandeln würden.
Beispielsweise können Sie ACFP-Labels verwenden, um Anfragen zuzulassen oder zu blockieren oder die Bearbeitung von Anfragen anzupassen. Sie können hinter der verwalteten ACFP-Regelgruppe eine Regel für den Label-Abgleich hinzufügen, um markierte Anfragen nach der Bearbeitung zu filtern, die Sie anwenden möchten. Behalten Sie nach dem Testen die zugehörigen ACFP-Regeln im Zählmodus bei und behalten Sie die Entscheidungen zur Bearbeitung von Anfragen in Ihrer benutzerdefinierten Regel bei. Ein Beispiel finden Sie unter ACFPBeispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen.
-
Entfernen Sie Ihre Testregeln und aktivieren Sie die Einstellungen für verwaltete ACFP-Regelgruppen
Abhängig von Ihrer Situation haben Sie sich möglicherweise entschieden, einige ACFP-Regeln im Zählmodus zu belassen. Für die Regeln, die Sie wie in der Regelgruppe konfiguriert ausführen möchten, deaktivieren Sie den Zählmodus in der Web-ACL-Regelgruppenkonfiguration. Wenn Sie mit dem Testen fertig sind, können Sie auch Ihre Testlabel-Vergleichsregeln entfernen.
-
Überwachen und Anpassen
Um sicherzustellen, dass Webanfragen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau beobachten, nachdem Sie die ACFP-Funktionalität aktiviert haben, die Sie verwenden möchten. Passen Sie das Verhalten nach Bedarf mit der Überschreibung der Regelzählung für die Regelgruppe und mit Ihren eigenen Regeln an.
Wenn Sie das AWS WAF JavaScript SDK nach Abschluss des Tests Ihrer ACFP-Regelgruppenimplementierung noch nicht in die Seiten zur Kontoregistrierung und Kontoerstellung Ihres Browsers integriert haben, empfehlen wir Ihnen dringend, dies zu tun. AWS WAF bietet auch mobile SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zum den Integrations-SDKs finden Sie unter Integrationen von Client-Anwendungen in AWS WAF. Informationen zu dieser Empfehlung finden Sie unterVerwenden der Anwendungsintegration SDKs mit ACFP.