Pruebas e implementación de la ATP - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Pruebas e implementación de la ATP

Esta sección proporciona una guía general para configurar y probar una implementación de la prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF. Los pasos específicos que elija seguir dependerán de sus necesidades, recursos y solicitudes web que reciba.

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en Pruebas y ajustes de sus protecciones de AWS WAF.

nota

Las reglas administradas de AWS se han diseñado para protegerle de amenazas web comunes. Cuando se utilizan de acuerdo con la documentación, las reglas administradas de AWS agregan otra capa de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas administradas de AWS no están destinados a reemplazar sus responsabilidades de seguridad, que están determinadas por los recursos de AWS que seleccione. Consulte el Modelo de responsabilidad compartida para asegurarse de que los recursos de AWS estén protegidos correctamente.

Riesgo de tráfico de producción

Antes de implementar cambios en su ATP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas.

AWS WAF proporciona las credenciales de prueba que puede usar para verificar su configuración de la ATP. En el siguiente procedimiento, configurará una ACL web de prueba para usar el grupo de reglas administrado de ATP, configurará una regla para capturar la etiqueta agregada por el grupo de reglas y, a continuación, realizará un intento de inicio de sesión con estas credenciales de prueba. Comprobará que su ACL web ha gestionado correctamente el intento comprobando las métricas de Amazon CloudWatch correspondientes al intento de registro.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar las ACL web, las reglas y los grupos de reglas de AWS WAF. Estos temas se tratan en secciones anteriores de esta guía.

Configuración y prueba de una implementación de la prevención contra apropiación de cuentas (ATP) de control de fraudes de AWS WAF

Realice estos pasos primero en un entorno de prueba y, después, en producción.

  1. Agregue el grupo de reglas administrado de Prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF en el modo de recuento.
    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para más información, consulte Precios de AWS WAF.

    Agregue el grupo de reglas administrado AWSManagedRulesATPRuleSet de AWS a una ACL web nueva o existente, y configúrelo para que no altere el comportamiento actual de la ACL web. Para obtener más información sobre las reglas y etiquetas de este grupo de reglas, consulte AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) de Control de Fraude.

    • Cuando añada el grupo de reglas administrado, edítelo y haga lo siguiente:

      • En el panel de Configuración del grupo de reglas, proporcione los detalles de las páginas de registro de su aplicación. El grupo de reglas de la ATP utiliza esta información para monitorizar las actividades de inicio de sesión. Para obtener más información, consulte Adición del grupo de reglas administradas por ATP a la nueva ACL web.

      • En el panel Reglas, abra el menú desplegable Anular todas las acciones de reglas y elija Count. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte Invalidar acciones de reglas en un grupo de reglas.

        Con esta anulación puede supervisar el posible impacto de las reglas administradas de ATP para determinar si desea agregar excepciones, por ejemplo, excepciones para casos de uso interno.

    • Sitúe el grupo de reglas de forma que se evalúe según las reglas existentes en la ACL web, con una configuración de prioridad numéricamente superior a la de cualquier regla o grupo de reglas que ya esté utilizando. Para obtener más información, consulte Configuración de la prioridad de las reglas en una ACL web.

      De esta forma, no se interrumpe su gestión actual del tráfico. Por ejemplo, si tiene reglas que detectan tráfico malicioso, como la inyección de código SQL o el scripting entre sitios, seguirán detectándolo y registrándolo. Como alternativa, si tiene reglas que permiten el tráfico no malicioso conocido, estas pueden seguir permitiéndolo sin que el grupo de reglas administrado de ATP lo bloquee. Puede decidir ajustar el procesamiento de pedidos durante sus actividades de prueba y ajuste.

  2. Habilitación del registro y las métricas para la ACL web

    Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y las métricas de Amazon CloudWatch para la ACL web. Puede usar estas herramientas de visibilidad para monitorizar la interacción del grupo de reglas administrado de ATP con su tráfico.

  3. Asocie la ACL web con un recurso

    Si la ACL web aún no está asociada a un recurso de prueba, asóciela. Para obtener más información, consulte Asociar o disociar una ACL web con un recurso de AWS.

  4. Supervise el tráfico y las coincidencias de las reglas de la ATP

    Asegúrese de que el tráfico fluya normalmente y de que las reglas del grupo de reglas administrado de ATP agreguen etiquetas a las solicitudes web coincidentes. Puede ver las etiquetas en los registros y ver las métricas de la ATP y las etiquetas en las métricas de Amazon CloudWatch. En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en ruleGroupList con action establecida para el recuento y con overriddenAction indicando la acción de regla configurada que ha anulado.

  5. Verificación de las capacidades de comprobación de credenciales del grupo de reglas

    Realice un intento de registro probando las credenciales comprometidas y compruebe que el grupo de reglas coincide con ellas según lo esperado.

    1. Inicie sesión en la página de inicio de sesión del recurso protegido con el siguiente par de credenciales de prueba de AWS WAF:

      • Usuario: WAF_TEST_CREDENTIAL@wafexample.com

      • Contraseña: WAF_TEST_CREDENTIAL_PASSWORD

      Estas credenciales de prueba se clasifican como credenciales comprometidas y el grupo de reglas administrado de ATP agregará la etiqueta awswaf:managed:aws:atp:signal:credential_compromised a la solicitud de registro, lo que se puede ver en los registros.

    2. En los registros de la ACL web, busque la etiqueta awswaf:managed:aws:atp:signal:credential_compromised en el campo labels de las entradas de registro de las solicitudes de registro de web de prueba. Para obtener más información acerca del registro, consulte Registro del tráfico de ACL AWS WAF web.

    Una vez que haya comprobado que el grupo de reglas captura las credenciales comprometidas según lo esperado, puede tomar las medidas necesarias para configurar su implementación según lo necesite para el recurso protegido.

  6. Para las distribuciones de CloudFront, pruebe la administración de errores de inicio de sesión del grupo de reglas.

    1. Realice esta prueba para cada criterio de respuesta al fallo que haya configurado para el grupo de reglas de la ATP. Espere al menos 10 minutos entre las pruebas.

      Para probar un único criterio de error, identifique en la respuesta un intento de inicio de sesión que no funcione con ese criterio. A continuación, desde una única dirección IP de cliente, realice al menos 10 intentos de inicio de sesión fallidos en menos de 10 minutos.

      Tras los primeros 6 errores, la regla de inicio de sesión fallido volumétrico debería empezar a coincidir con el resto de los intentos, etiquetándolos y contándolos. Es posible que la regla omita la primera o las dos primeras debido a la latencia.

    2. En los registros de la ACL web, busque la etiqueta awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high en el campo labels de las entradas de registro de las solicitudes de registro de web de prueba. Para obtener más información acerca del registro, consulte Registro del tráfico de ACL AWS WAF web.

    Estas pruebas verifican que los criterios de error coincidan con las respuestas comprobando que los recuentos de inicios de sesión fallidos superen los umbrales de la regla VolumetricIpFailedLoginResponseHigh. Una vez alcanzado el umbral, si sigue enviando solicitudes de registro desde la misma dirección IP, la regla seguirá siendo válida hasta que la tasa de éxito caiga por debajo del umbral. Si se supera el umbral, la regla compara los intentos de registro exitosos o fallidos desde la dirección IP.

  7. Personalización la gestión de las solicitudes web de la ATP

    Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas de la ATP las gestionarían.

    Por ejemplo, puede utilizar las etiquetas de la ATP para permitir o bloquear las solicitudes o para personalizar su gestión. Puede agregar una regla de coincidencia de etiquetas después del grupo de reglas administrado de ATP para filtrar las solicitudes etiquetadas según la gestión que desee aplicar. Tras realizar las pruebas, mantenga las reglas de la ATP relacionadas en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. Para ver un ejemplo, consulte Ejemplo de ATP: gestión personalizada de las credenciales faltantes o comprometidas.

  8. Elimine las reglas de prueba y active la configuración del grupo de reglas administrado de ATP

    Según su situación, es posible que haya decidido dejar algunas reglas de la ATP en modo de recuento. Para las reglas que desee ejecutar tal como están configuradas dentro del grupo de reglas, deshabilite el modo de recuento en la configuración del grupo de reglas de la ACL web. Cuando termine de realizar las pruebas, también puede eliminar las reglas de coincidencia de etiquetas de prueba.

  9. Monitorización y ajuste

    Para asegurarse de que las solicitudes web se gestionen como desee, monitorice de cerca el tráfico después de activar la funcionalidad de la ATP que pretende utilizar. Ajuste el comportamiento según sea necesario con la anulación del recuento de reglas en el grupo de reglas y con sus propias reglas.

Cuando termine de probar la implementación del grupo de reglas de ATP , si aún no lo ha hecho, le recomendamos encarecidamente que integre el SDK de JavaScript de AWS WAF en las páginas de registro y del navegador, para mejorar las capacidades de detección. AWS WAF también proporciona SDK para móviles para integrar dispositivos iOS y Android. Para obtener más información acerca de la integración de los SDK, consulte Integraciones de aplicaciones cliente en AWS WAF. Para obtener más información sobre esta recomendación, consulte Uso de SDK de integración de aplicaciones con ATP.