Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF

Folgen Sie den bewährten Methoden in diesem Abschnitt, um die Funktionen zur intelligenten Bedrohungsabwehr am effizientesten und kostengünstigsten zu implementieren.

Implementierung der Integration JavaScript und Integration mobiler Anwendungen SDKs — Implementieren Sie die Anwendungsintegration, um den vollen Funktionsumfang von ACFP, ATP oder Bot Control so effektiv wie möglich zu nutzen. Die verwalteten Regelgruppen verwenden die von der bereitgestellten Token SDKs , um legitimen Client-Verkehr von unerwünschtem Datenverkehr auf Sitzungsebene zu trennen. Die Anwendungsintegration SDKs stellt sicher, dass diese Token immer verfügbar sind. Details dazu finden Sie unter:
Verwenden Sie die Integrationen, um Herausforderungen in Ihrem Client zu implementieren und beispielsweise die Art und Weise anzupassen JavaScript, wie CAPTCHA-Rätsel Ihren Endbenutzern präsentiert werden. Details hierzu finden Sie unter Integrationen von Client-Anwendungen in AWS WAF.

Wenn Sie CAPTCHA-Rätsel mithilfe der API anpassen und die JavaScript CAPTCHA Wenn Sie eine Aktion an einer beliebigen Stelle in Ihrer Web-ACL regeln, folgen Sie den Anweisungen zur Handhabung der AWS WAF CAPTCHA-Antwort in Ihrem Client unter. Umgang mit einer CAPTCHA-Antwort von AWS WAF Diese Anleitung gilt für alle Regeln, die den CAPTCHA Maßnahmen, einschließlich der Aktionen in der verwalteten ACFP-Regelgruppe und der angestrebten Schutzstufe der verwalteten Regelgruppe Bot Control.
Beschränken Sie die Anfragen, die Sie an die Regelgruppen ACFP, ATP und Bot Control senden. Für die Nutzung der Regelgruppen mit intelligenten AWS verwalteten Regeln zur Abwehr von Bedrohungen fallen zusätzliche Gebühren an. Die ACFP-Regelgruppe überprüft Anfragen an die von Ihnen angegebenen Endpunkte für die Kontoregistrierung und Kontoerstellung. Die ATP-Regelgruppe überprüft Anfragen an den von Ihnen angegebenen Anmeldeendpunkt. Die Bot Control-Regelgruppe überprüft jede Anfrage, die sie bei der Web-ACL-Bewertung erreicht.

Ziehen Sie die folgenden Ansätze in Betracht, um die Verwendung dieser Regelgruppen zu reduzieren:
- Schließen Sie Anfragen von der Prüfung aus, wenn Sie in der Erklärung zur verwalteten Regelgruppe eine Erklärung zum Umfang angeben. Sie können dies mit jeder verschachtelten Anweisung tun. Weitere Informationen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF.
- Schließen Sie Anfragen von der Prüfung aus, indem Sie Regeln vor der Regelgruppe hinzufügen. Für Regeln, die Sie nicht in einer Scope-down-Anweisung verwenden können, und für komplexere Situationen, wie z. B. die Kennzeichnung gefolgt von der Zuordnung von Bezeichnungen, möchten Sie möglicherweise Regeln hinzufügen, die vor den Regelgruppen ausgeführt werden. Weitere Informationen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF und Verwenden von Regelanweisungen in AWS WAF.
- Führen Sie die Regelgruppen nach kostengünstigeren Regeln aus. Wenn Sie andere AWS WAF Standardregeln haben, die Anfragen aus irgendeinem Grund blockieren, führen Sie sie vor diesen kostenpflichtigen Regelgruppen aus. Weitere Informationen zu Regeln und Regelverwaltung finden Sie unterVerwenden von Regelanweisungen in AWS WAF.
- Wenn Sie mehr als eine der Regelgruppen mit intelligenter Bedrohungsabwehr verwenden, führen Sie sie aus Kostengründen in der folgenden Reihenfolge aus: Bot Control, ATP, ACFP.
Weitere Informationen finden Sie unter AWS WAF -Preise.
Aktivieren Sie die gezielte Schutzstufe der Regelgruppe Bot Control bei normalem Web-Verkehr — Einige Regeln der Zielschutzstufe benötigen Zeit, um Basiswerte für normale Datenverkehrsmuster festzulegen, bevor sie unregelmäßige oder bösartige Datenverkehrsmuster erkennen und darauf reagieren können. Zum Beispiel benötigen die TGT_ML_* Regeln bis zu 24 Stunden, um sich aufzuwärmen.

Fügen Sie diese Schutzmaßnahmen hinzu, wenn Sie nicht von einem Angriff betroffen sind, und geben Sie ihnen Zeit, ihre Ausgangswerte festzulegen, bevor sie erwarten, dass sie angemessen auf Angriffe reagieren. Wenn Sie diese Regeln während eines Angriffs hinzufügen, nachdem der Angriff abgeklungen ist, dauert die Erstellung einer Basislinie normalerweise doppelt bis dreimal so lange wie normalerweise erforderlich, da der Angriffsverkehr zu Verzerrungen führt. Weitere Informationen zu den Regeln und den dafür erforderlichen Aufwärmzeiten finden Sie unter. Liste der Regeln
Verwenden Sie für den Schutz vor verteiltem Denial of Service (DDoS) die automatische Abwehr von Anwendungen auf Anwendungsebene DDo S von Shield Advanced — Die Regelgruppen zur intelligenten Bedrohungsabwehr bieten DDo keinen S-Schutz. ACFP schützt vor betrügerischen Versuchen, auf der Anmeldeseite Ihrer Anwendung ein Konto zu erstellen. ATP schützt vor Kontoübernahmeversuchen auf Ihrer Anmeldeseite. Bot Control konzentriert sich auf die Durchsetzung menschenähnlicher Zugriffsmuster mithilfe von Tokens und dynamischer Ratenbegrenzung bei Clientsitzungen.

Wenn Sie Shield Advanced mit aktivierter automatischer Abwehr auf Anwendungsebene DDo S verwenden, reagiert Shield Advanced automatisch auf erkannte DDo S-Angriffe, indem es in Ihrem Namen benutzerdefinierte AWS WAF Abwehrmaßnahmen erstellt, auswertet und einsetzt. Weitere Informationen zu Shield Advanced finden Sie AWS Shield Advanced Überblick unter undSchutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF.
Feinabstimmung und Konfiguration der Token-Behandlung — Passen Sie die Token-Behandlung der Web-ACL an, um eine optimale Benutzererfahrung zu erzielen.
- Um die Betriebskosten zu senken und das Nutzererlebnis zu verbessern, sollten Sie die Immunitätszeiten Ihrer Tokenverwaltung so lange einstellen, wie es Ihre Sicherheitsanforderungen zulassen. Dadurch wird der Einsatz von CAPTCHA-Rätseln und stillen Herausforderungen auf ein Minimum reduziert. Weitere Informationen finden Sie unter Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF.
- Um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen, konfigurieren Sie eine Token-Domainliste für Ihre Web-ACL. Weitere Informationen finden Sie unter Angabe von Tokendomänen und Domänenlisten in AWS WAF.
Anfragen mit beliebigen Hostspezifikationen ablehnen — Konfigurieren Sie Ihre geschützten Ressourcen so, dass die Host Header in Webanfragen mit der Zielressource übereinstimmen müssen. Sie können einen Wert oder eine bestimmte Gruppe von Werten akzeptieren, z. B. myExampleHost.com undwww.myExampleHost.com, aber Sie können keine beliebigen Werte für den Host akzeptieren.
Für Application Load Balancer, die Ursprünge für CloudFront Distributionen sind, konfigurieren CloudFront und AWS WAF für die korrekte Token-Behandlung sorgen — Wenn Sie Ihre Web-ACL einem Application Load Balancer zuordnen und den Application Load Balancer als Ursprung für eine CloudFront Distribution bereitstellen, finden Sie weitere Informationen unter. Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront
Testen und Optimieren vor der Bereitstellung — Bevor Sie Änderungen an Ihrer Web-ACL vornehmen, sollten Sie die Test- und Optimierungsverfahren in diesem Handbuch befolgen, um sicherzustellen, dass Sie das erwartete Verhalten erhalten. Dies ist besonders wichtig für diese kostenpflichtigen Funktionen. Allgemeine Hinweise finden Sie unterTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen. Spezifische Informationen zu den kostenpflichtigen verwalteten Regelgruppen finden Sie unter Testen und Bereitstellen von ACFP Testen und Bereitstellen von ATP, undTesten und Bereitstellen von AWS WAF Bot Control.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ratenbegrenzung

Tokens zur intelligenten Abwehr von Bedrohungen