Prueba e implementación de AWS WAF Bot Control - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prueba e implementación de AWS WAF Bot Control

En esta sección, se proporcionan instrucciones generales para configurar y probar una implementación de AWS WAF Bot Control para su sitio. Los pasos específicos que elija seguir dependerán de sus necesidades, recursos y las solicitudes web que reciba.

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en Probando y ajustando sus AWS WAF protecciones.

nota

AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el modelo de responsabilidad compartida para asegurarse de que sus recursos AWS estén debidamente protegidos.

Riesgo de tráfico de producción

Antes de implementar cambios en su control de bots para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar las ACL web, las reglas y los grupos de reglas de AWS WAF . Estos temas se tratan en secciones anteriores de esta guía.

Configuración y prueba de una implementación de control de bots

Realice estos pasos primero en un entorno de prueba y, después, en producción.

  1. Adición del grupo de reglas administrado de control de bots
    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para obtener más información, consulte AWS WAF Precios.

    Agregue el grupo de AWS reglas administrado AWSManagedRulesBotControlRuleSet a una ACL web nueva o existente y configúrelo para que no altere el comportamiento actual de la ACL web.

    • Cuando añada el grupo de reglas administrado, edítelo y haga lo siguiente:

      • En el panel Nivel de inspección, seleccione el nivel de inspección que desea utilizar.

        • Común: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar.

        • Objetivo: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano.

          • TGT_: las reglas que proporcionan una protección específica tienen nombres que comienzan por TGT_. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado.

          • TGT_ML_: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por TGT_ML_. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico del sitio web para detectar comportamientos anómalos indicativos de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas.

        Para obtener más información sobre esta opción, consulte AWS WAF Grupo de reglas de control de bots.

      • En el panel Reglas, abra el menú desplegable Anular todas las acciones de reglas y elija Count. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de añadir etiquetas a las solicitudes. Para obtener más información, consulte Invalidar acciones de reglas en un grupo de reglas.

        Con esta modificación, puede supervisar el posible impacto de las reglas de control de bots en su tráfico para determinar si desea agregar excepciones para casos de uso interno o para los bots deseados.

    • Sitúe el grupo de reglas de forma que se evalúe según las reglas existentes en la ACL web, con una configuración de prioridad que sea numéricamente superior a la de cualquier regla o grupo de reglas que ya esté utilizando. Para obtener más información, consulte Procesamiento del orden de las reglas y los grupos de reglas en una ACL web.

      De esta forma, no se interrumpe su gestión actual del tráfico. Por ejemplo, si tiene reglas que detectan tráfico malicioso, como la inyección de código SQL o el uso de scripts entre sitios, seguirán detectando y registrando estas solicitudes. Como alternativa, si tiene reglas que permiten el tráfico no malicioso conocido, estas pueden seguir permitiéndolo sin que el grupo de reglas administrado del control de bots lo bloquee. Puede decidir ajustar el procesamiento de pedidos durante sus actividades de prueba y ajuste. Esta es una buena forma de empezar.

  2. Habilite el registro y las métricas para la ACL web

    Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y CloudWatch las métricas de Amazon para la ACL web. Puede utilizar estas herramientas de visibilidad para supervisar la interacción del grupo de reglas gestionado por Bot Control con su tráfico.

  3. Asocie la ACL web con un recurso

    Si la ACL web aún no está asociada a un recurso, asóciela. Para obtener más información, consulte Asociar o desasociar una ACL web a un recurso AWS.

  4. Supervise el tráfico y las coincidencias de las reglas del control de bots

    Asegúrese de que el tráfico fluya y de que las reglas del grupo de reglas administrado del control de bots agreguen etiquetas a las solicitudes web coincidentes. Puedes ver las etiquetas en los registros y ver las métricas de bots y etiquetas en las CloudWatch métricas de Amazon. En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en ruleGroupList con action establecida para el recuento y con overriddenAction indicando la acción de regla configurada que ha anulado.

    nota

    El grupo de reglas administrado de control de bots verifica los bots mediante las direcciones IP de AWS WAF. Si utiliza el control de bots y ha verificado bots enrutados a través de un proxy o un equilibrador de carga, debe permitirlos de forma explícita usando una regla personalizada. Para obtener información sobre cómo crear una regla personalizada, consulte Dirección IP reenviada. Para obtener información sobre cómo puede usar la regla para personalizar la gestión de las solicitudes web de control de bots, consulte el siguiente paso.

    Revise detenidamente la gestión de las solicitudes web para ver si hay falsos positivos que deba mitigar con una gestión personalizada. Para ver ejemplos de falsos positivos, consulte Falsos positivos con AWS WAF Bot Control.

  5. Personalización la gestión de las solicitudes web del control de bots

    Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas del control de bots las gestionarían.

    La forma de hacerlo depende del caso de uso, pero las siguientes son soluciones habituales:

    • Permita solicitudes de forma explícita con una regla que añada antes del grupo de reglas administrado de control de bots. De este modo, las solicitudes permitidas nunca llegan al grupo de reglas para su evaluación. Esto puede ayudar a reducir el coste de usar el grupo de reglas administrado de control de bots.

    • Excluya las solicitudes de la evaluación del control de bots añadiendo una instrucción de restricción de acceso dentro de la instrucción del grupo de reglas administrado de control de bots. Funciona igual que la opción anterior. Puede ayudar a reducir el coste de usar el grupo de reglas administrado de control de bots, ya que las solicitudes que no coinciden con la instrucción de restricción de acceso nunca llegan a la evaluación del grupo de reglas. Para obtener información sobre las instrucciones de restricción de acceso, consulte Instrucciones de restricción de acceso.

      Para ver ejemplos de , consulte lo siguiente:

    • Use las etiquetas de control de bots en la gestión de solicitudes para permitir o bloquear las solicitudes. Añada una regla de coincidencia de etiquetas después del grupo de reglas administrado de control de bots para filtrar las solicitudes etiquetadas que quiera permitir de las que quiera bloquear.

      Tras realizar las pruebas, mantenga las reglas del control de bots en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. Para obtener información sobre las instrucciones del control de bots, consulte Instrucción de regla de coincidencia de etiquetas.

      Para ver ejemplos de este tipo de personalización, consulte lo siguiente:

    Para ver otros ejemplos, consulte AWS WAF Ejemplos de control de bots.

  6. Habilite la configuración del grupo de reglas administrado de control de bots, según sea necesario.

    Según su situación, es posible que haya decidido dejar algunas reglas del control de bots en modo de recuento o con una regla de anulación diferente. Para las reglas que quiera que se ejecuten tal como están configuradas dentro del grupo de reglas, habilite la configuración de reglas normal. Para ello, edite la instrucción del grupo de reglas en su ACL web y realice los cambios en el panel Reglas.