Comprobación e implementación del control de bots de AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Comprobación e implementación del control de bots de AWS WAF

Esta sección proporciona una guía general para configurar y probar una implementación del control de bots de AWS WAF. Los pasos específicos que elija seguir dependerán de sus necesidades, recursos y las solicitudes web que reciba.

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en Pruebas y ajustes de sus protecciones de AWS WAF.

nota

Las reglas administradas de AWS se han diseñado para protegerle de amenazas web comunes. Cuando se utilizan de acuerdo con la documentación, las reglas administradas de AWS agregan otra capa de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas administradas de AWS no están destinados a reemplazar sus responsabilidades de seguridad, que están determinadas por los recursos de AWS que seleccione. Consulte el Modelo de responsabilidad compartida para asegurarse de que los recursos de AWS estén protegidos correctamente.

Riesgo de tráfico de producción

Antes de implementar cambios en su control de bots para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar las ACL web, las reglas y los grupos de reglas de AWS WAF. Estos temas se tratan en secciones anteriores de esta guía.

Configuración y prueba de una implementación de control de bots

Realice estos pasos primero en un entorno de prueba y, después, en producción.

  1. Adición del grupo de reglas administrado de control de bots
    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para más información, consulte Precios de AWS WAF.

    Agregue el grupo de reglas administradas AWSManagedRulesBotControlRuleSet de AWS a una ACL web nueva o existente, y configúrelo para que no altere el comportamiento actual de ACL web.

    • Cuando añada el grupo de reglas administrado, edítelo y haga lo siguiente:

      • En el panel Nivel de inspección, seleccione el nivel de inspección que desea utilizar.

        • Común: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar.

        • Objetivo: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano.

          • TGT_: las reglas que proporcionan una protección específica tienen nombres que comienzan por TGT_. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado.

          • TGT_ML_: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por TGT_ML_. Estas reglas utilizan un análisis automatizado y de machine learning de las estadísticas de tráfico de sitios web para detectar comportamientos anómalos indicativos de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas de tiempo, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de machine learning del control de bots. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el machine learning está desactivado, AWS WAF no evalúa estas reglas.

        Para obtener más información sobre esta opción, consulte AWS WAF Grupo de reglas de control de bots.

      • En el panel Reglas, abra el menú desplegable Anular todas las acciones de reglas y elija Count. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte Invalidar acciones de reglas en un grupo de reglas.

        Con esta modificación, puede supervisar el posible impacto de las reglas de control de bots en su tráfico para determinar si desea agregar excepciones para casos de uso interno o para los bots deseados.

    • Sitúe el grupo de reglas de forma que se evalúe según las reglas existentes en la ACL web, con una configuración de prioridad que sea numéricamente superior a la de cualquier regla o grupo de reglas que ya esté utilizando. Para obtener más información, consulte Configuración de la prioridad de las reglas en una ACL web.

      De esta forma, no se interrumpe su gestión actual del tráfico. Por ejemplo, si tiene reglas que detectan tráfico malicioso, como la inyección de código SQL o el uso de scripts entre sitios, seguirán detectando y registrando estas solicitudes. Como alternativa, si tiene reglas que permiten el tráfico no malicioso conocido, estas pueden seguir permitiéndolo sin que el grupo de reglas administrado del control de bots lo bloquee. Puede decidir ajustar el procesamiento de pedidos durante sus actividades de prueba y ajuste. Esta es una buena forma de empezar.

  2. Habilitación del registro y las métricas para la ACL web

    Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y las métricas de Amazon CloudWatch para la ACL web. Puede utilizar estas herramientas de visibilidad para supervisar la interacción del grupo de reglas administrado del control de bots con su tráfico.

  3. Asocie la ACL web con un recurso

    Si la ACL web aún no está asociada a un recurso, asóciela. Para obtener más información, consulte Asociar o disociar una ACL web con un recurso de AWS.

  4. Supervise el tráfico y las coincidencias de las reglas del control de bots

    Asegúrese de que el tráfico fluya y de que las reglas del grupo de reglas administrado del control de bots agreguen etiquetas a las solicitudes web coincidentes. Puede ver las etiquetas en los registros y ver las métricas de los bots y las etiquetas en las métricas de Amazon CloudWatch. En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en ruleGroupList con action establecida para el recuento y con overriddenAction indicando la acción de regla configurada que ha anulado.

    nota

    El grupo de reglas administrado de control de bots verifica los bots mediante las direcciones IP de AWS WAF. Si utiliza el control de bots y ha verificado bots enrutados a través de un proxy o un equilibrador de carga, debe permitirlos de forma explícita usando una regla personalizada. Para obtener información sobre cómo crear una regla personalizada, consulte Uso de direcciones IP reenviadas en AWS WAF. Para obtener información sobre cómo puede usar la regla para personalizar la gestión de las solicitudes web de control de bots, consulte el siguiente paso.

    Revise detenidamente la gestión de las solicitudes web para ver si hay falsos positivos que deba mitigar con una gestión personalizada. Para ver ejemplos de falsos positivos, consulte Ejemplos de escenarios de falsos positivos con el control de bots de AWS WAF.

  5. Personalización la gestión de las solicitudes web del control de bots

    Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas del control de bots las gestionarían.

    La forma de hacerlo depende del caso de uso, pero las siguientes son soluciones habituales:

    • Permita solicitudes de forma explícita con una regla que añada antes del grupo de reglas administrado de control de bots. De este modo, las solicitudes permitidas nunca llegan al grupo de reglas para su evaluación. Esto puede ayudar a reducir el coste de usar el grupo de reglas administrado de control de bots.

    • Excluya las solicitudes de la evaluación del control de bots añadiendo una instrucción de restricción de acceso dentro de la instrucción del grupo de reglas administrado de control de bots. Funciona igual que la opción anterior. Puede ayudar a reducir el coste de usar el grupo de reglas administrado de control de bots, ya que las solicitudes que no coinciden con la instrucción de restricción de acceso nunca llegan a la evaluación del grupo de reglas. Para obtener información sobre las instrucciones de restricción de acceso, consulte Uso de instrucciones de restricción de acceso en AWS WAF.

      Para ver ejemplos de , consulte lo siguiente:

    • Use las etiquetas de control de bots en la gestión de solicitudes para permitir o bloquear las solicitudes. Añada una regla de coincidencia de etiquetas después del grupo de reglas administrado de control de bots para filtrar las solicitudes etiquetadas que quiera permitir de las que quiera bloquear.

      Tras realizar las pruebas, mantenga las reglas del control de bots en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. Para obtener información sobre las instrucciones del control de bots, consulte Instrucción de regla de coincidencia de etiquetas.

      Para ver ejemplos de este tipo de personalización, consulte lo siguiente:

    Para ver otros ejemplos, consulte Ejemplos de control de bots de AWS WAF.

  6. Habilite la configuración del grupo de reglas administrado de control de bots, según sea necesario.

    Según su situación, es posible que haya decidido dejar algunas reglas del control de bots en modo de recuento o con una regla de anulación diferente. Para las reglas que quiera que se ejecuten tal como están configuradas dentro del grupo de reglas, habilite la configuración de reglas normal. Para ello, edite la instrucción del grupo de reglas en su ACL web y realice los cambios en el panel Reglas.