Testen und Bereitstellen von ATP - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Testen und Bereitstellen von ATP

Dieser Abschnitt enthält allgemeine Anleitungen zur Konfiguration und zum Testen einer ATP-Implementierung ( AWS WAF Fraud Control Account Takeover Prevention) für Ihre Website. Für welche Schritte Sie sich im Einzelnen entscheiden, hängt von Ihren Anforderungen, Ihren Ressourcen und den bei Ihnen eingehenden Webanforderungen ab.

Diese Informationen ergänzen die allgemeinen Informationen zum Testen und Optimieren, die Sie unter findenTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen.

Anmerkung

AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des Modells der gemeinsamen Verantwortung können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind.

Risiken rund um Produktionsdatenverkehr

Bevor Sie Ihre ATP-Implementierung für den Produktionsdatenverkehr bereitstellen, sollten Sie sie in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren.

AWS WAF stellt Testanmeldedaten bereit, mit denen Sie Ihre ATP-Konfiguration überprüfen können. Im Folgenden konfigurieren Sie eine Test-Web-ACL, um die verwaltete ATP-Regelgruppe zu verwenden, konfigurieren eine Regel, um die von der Regelgruppe hinzugefügte Bezeichnung zu erfassen, und führen dann einen Anmeldeversuch mit diesen Testanmeldeinformationen durch. Sie überprüfen, ob Ihre Web-ACL den Versuch ordnungsgemäß verwaltet hat, indem Sie die CloudWatch Amazon-Metriken für den Anmeldeversuch überprüfen.

Diese Anleitung richtet sich an Benutzer, die im Allgemeinen wissen, wie man Web-ACLs, Regeln und Regelgruppen für AWS WAF erstellt und verwaltet. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt.

Um eine ATP-Implementierung ( AWS WAF Fraud Control Account Takeover Prevention) zu konfigurieren und zu testen

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

  1. Fügen Sie die verwaltete Regelgruppe zur Verhinderung von Kontoübernahmen ( AWS WAF Fraud Control Account Takeover Prevention, ATP) im Zählmodus hinzu
    Anmerkung

    Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF -Preisgestaltung.

    Fügen Sie die Regelgruppe AWSManagedRulesATPRuleSet „ AWS Verwaltete Regeln“ einer neuen oder vorhandenen Web-ACL hinzu und konfigurieren Sie sie so, dass sie das aktuelle Verhalten der Web-ACL nicht verändert. Weitere Informationen zu den Regeln und Bezeichnungen für diese Regelgruppe finden Sie unter AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung.

    • Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor:

      • Geben Sie im Bereich Rule group configuration (Regelgruppenkonfiguration) die Details der Anmeldeseite Ihrer Anwendung an. Die ATP-Regelgruppe verwendet diese Informationen, um Anmeldeaktivitäten zu überwachen. Weitere Informationen finden Sie unter Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrer Web-ACL.

      • Öffnen Sie im Bereich Regeln die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie Count. Mit dieser Konfiguration wertet AWS WAF Anforderungen nach allen Regeln in der Regelgruppe aus und zählt nur die daraus resultierenden Übereinstimmungen. Gleichzeitig werden weiterhin Beschriftungen zu Anforderungen hinzugefügt. Weitere Informationen finden Sie unter Regelaktionen in einer Regelgruppe überschreiben.

        Mit dieser Außerkraftsetzung können Sie die potenziellen Auswirkungen der von ATP verwalteten Regeln überwachen und entscheiden, ob Sie Ausnahmen hinzufügen möchten, z. B. Ausnahmen für interne Anwendungsfälle.

    • Positionieren Sie die Regelgruppe so, dass sie nach Ihren vorhandenen Regeln in der Web-ACL ausgewertet wird, mit einer Prioritätseinstellung, die numerisch höher ist als alle Regeln oder Regelgruppen, die Sie bereits verwenden. Weitere Informationen finden Sie unter Reihenfolge der Verarbeitung von Regeln und Regelgruppen in einer Web-ACL.

      Auf diese Weise wird Ihre derzeitige Handhabung des Datenverkehrs nicht gestört. Wenn Sie beispielsweise Regeln haben, die bösartigen Datenverkehr wie SQL-Injections oder Cross-Site-Scripting erkennen, erkennen und protokollieren sie diese Probleme weiterhin. Wenn Sie über Regeln verfügen, die bekannten nicht böswilligen Datenverkehr zulassen, lassen diese derartigen Datenverkehr weiterhin zu, ohne dass er von der durch ATP verwalteten Regelgruppe blockiert wird. Möglicherweise entscheiden Sie sich, die Verarbeitungsreihenfolge während Ihrer Test- und Optimierungsaktivitäten anzupassen.

  2. Aktivieren Sie die Protokollierung und Metriken für die Web-ACL

    Konfigurieren Sie bei Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für die Web-ACL. Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der von ATP verwalteten Regelgruppe mit Ihrem Datenverkehr zu überwachen.

  3. Zuordnen der Web-ACL zu einer Ressource

    Wenn die Web-ACL noch keiner Testressource zugeordnet ist, ordnen Sie sie zu. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung einer Web-ACL zu einer Ressource AWS.

  4. Überwachen des Datenverkehrs und der ATP-Regelübereinstimmungen

    Stellen Sie sicher, dass Ihr normaler Datenverkehr fließt und dass durch die Regeln der durch ATP verwalteten Regelgruppe Bezeichnungen zu übereinstimmenden Webanforderungen hinzugefügt werden. Sie können die Labels in den Protokollen und die ATP- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, im Feld mit auf Anzahl action gesetzt und ruleGroupList mit der overriddenAction Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben.

  5. Testen der Regelgruppenfunktionen zur Überprüfung von Anmeldeinformationen

    Führen Sie einen Anmeldeversuch durch, bei dem Sie kompromittierte Anmeldeinformationen testen, und überprüfen Sie, ob die Regelgruppe wie erwartet mit ihnen übereinstimmt.

    1. Melden Sie sich mit dem folgenden AWS WAF Test-Anmeldeinformationspaar auf der Anmeldeseite Ihrer geschützten Ressource an:

      • Benutzer: WAF_TEST_CREDENTIAL@wafexample.com

      • Passwort: WAF_TEST_CREDENTIAL_PASSWORD

      Diese Testanmeldedaten werden als kompromittierte Anmeldeinformationen eingestuft, und die von ATP verwaltete Regelgruppe fügt der Anmeldeanforderung die awswaf:managed:aws:atp:signal:credential_compromised Bezeichnung hinzu, die Sie in den Protokollen sehen können.

    2. Suchen Sie in Ihren Web-ACL-Protokollen nach der awswaf:managed:aws:atp:signal:credential_compromised Bezeichnung im labels Feld in den Protokolleinträgen für Ihre Webanfragen zur Testanmeldung. Weitere Informationen zur Protokollierung finden Sie unter AWS WAF Web-ACL-Verkehr protokollieren.

    Nachdem Sie sich vergewissert haben, dass die Regelgruppe kompromittierte Anmeldeinformationen wie erwartet erfasst, können Sie Maßnahmen ergreifen, um die Implementierung für Ihre geschützte Ressource nach Bedarf zu konfigurieren.

  6. Testen Sie bei CloudFront Verteilungen die Verwaltung von Anmeldefehlern durch die Regelgruppe

    1. Führen Sie für jedes Fehlerreaktionskriterium, das Sie für die ATP-Regelgruppe konfiguriert haben, einen Test durch. Warten Sie zwischen den Tests mindestens 10 Minuten.

      Um ein einzelnes Fehlschlagkriterium zu testen, identifizieren Sie in der Antwort einen Anmeldeversuch, der mit diesen Kriterien fehlschlagen wird. Führen Sie dann von einer einzigen Client-IP-Adresse aus mindestens 10 fehlgeschlagene Anmeldeversuche in weniger als 10 Minuten durch.

      Nach den ersten 6 Fehlschlägen sollte die Regel für volumetrische fehlgeschlagene Anmeldeversuche mit den übrigen Versuchen vergleichen und diese kennzeichnen und zählen. Aufgrund der Latenz kann es sein, dass die Regel die ersten ein oder zwei nicht berücksichtigt.

    2. Suchen Sie in Ihren Web-ACL-Protokollen nach der awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high Bezeichnung im labels Feld in den Protokolleinträgen für Ihre Webanfragen zur Testanmeldung. Weitere Informationen zur Protokollierung finden Sie unter AWS WAF Web-ACL-Verkehr protokollieren.

    Diese Tests überprüfen, ob Ihre Fehlerkriterien Ihren Antworten entsprechen, indem geprüft wird, ob die Anzahl der fehlgeschlagenen Anmeldungen die Schwellenwerte für die Regel überschreitet. VolumetricIpFailedLoginResponseHigh Wenn Sie nach Erreichen der Schwellenwerte weiterhin Anmeldeanfragen von derselben IP-Adresse senden, gilt die Regel weiterhin, bis die Ausfallrate unter den Schwellenwert fällt. Solange die Schwellenwerte überschritten werden, berücksichtigt die Regel sowohl erfolgreiche als auch fehlgeschlagene Anmeldungen von der IP-Adresse aus.

  7. Anpassen der Bearbeitung von ATP-Webanforderungen

    Fügen Sie bei Bedarf Ihre eigenen Regeln hinzu, die Anforderungen explizit zulassen oder blockieren. Dadurch ändern Sie, wie ATP-Regeln andernfalls damit umgehen würden.

    Sie können beispielsweise ATP-Bezeichnungen verwenden, um Anforderungen zuzulassen oder zu blockieren oder die Anforderungsbehandlung anzupassen. Sie können nach der durch ATP verwalteten Regelgruppe eine Übereinstimmungsregel für die Bezeichnung hinzufügen, um entsprechend bezeichnete Anforderungen für die Behandlung zu filtern, die Sie anwenden möchten. Behalten Sie nach dem Testen die zugehörigen ATP-Regeln im Zählmodus und die Entscheidungen zur Anforderungsbehandlung in Ihrer benutzerdefinierten Regel. Ein Beispiel finden Sie unter ATP-Beispiel: Benutzerdefinierte Behandlung fehlender und kompromittierter Anmeldeinformationen.

  8. Entfernen Sie Ihre Testregeln und aktivieren Sie die Einstellungen für verwaltete ATP-Regelgruppen

    Abhängig von Ihrer Situation haben Sie möglicherweise entschieden, dass Sie einige ATP-Regeln im Zählmodus belassen möchten. Für die Regeln, die Sie wie in der Regelgruppe konfiguriert ausführen möchten, deaktivieren Sie den Zählmodus in der Web-ACL-Regelgruppenkonfiguration. Wenn Sie mit dem Testen fertig sind, können Sie auch Ihre Testlabel-Vergleichsregeln entfernen.

  9. Überwachen und Anpassen

    Damit Webanforderungen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau überwachen, nachdem Sie die gewünschte ATP-Funktionalität aktiviert haben. Passen Sie das Verhalten nach Bedarf mit der Überschreibung der Regelzählung für die Regelgruppe und mit Ihren eigenen Regeln an.

Wenn Sie mit dem Testen Ihrer ATP-Regelgruppenimplementierung fertig sind, empfehlen wir Ihnen dringend, das AWS WAF JavaScript SDK in Ihre Browser-Anmeldeseite zu integrieren, falls Sie dies noch nicht getan haben, um die Erkennungsmöglichkeiten zu verbessern. AWS WAF bietet auch mobile SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zum den Integrations-SDKs finden Sie unter AWS WAF Integration von Client-Anwendungen. Informationen zu dieser Empfehlung finden Sie unterWarum Sie die Anwendungsintegrations-SDKs mit ATP verwenden sollten.