Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas para la mitigación inteligente de amenazas en AWS WAF
Siga las prácticas recomendadas de esta sección para lograr la implementación más eficiente y rentable de las características de mitigación de amenazas inteligentes.
-
Implementar los SDK de integración de aplicaciones para móviles y JavaScript: implemente la integración de aplicaciones para habilitar el conjunto completo de funciones de ACFP, ATP o control de bots de la manera más eficaz posible. Los grupos de reglas administrados utilizan los tokens proporcionados por los SDK para separar el tráfico de clientes legítimo del tráfico no deseado a nivel de sesión. Los SDK de integración de aplicaciones garantizan que estos tokens estén siempre disponibles. Para obtener más información, consulte los siguientes temas:
Utilice las integraciones para implementar desafíos en su cliente y, en el caso de JavaScript, para personalizar la forma en que se presentan los rompecabezas de CAPTCHA a sus usuarios finales. Para obtener más información, consulte Integraciones de aplicaciones cliente en AWS WAF.
Si personaliza los rompecabezas de CAPTCHA con la API de JavaScript y utiliza la acción de regla CAPTCHA en cualquier parte de su ACL web, siga las instrucciones para gestionar la respuesta del CAPTCHA de AWS WAF en su cliente en Gestión de una respuesta de CAPTCHA de AWS WAF. Esta guía se aplica a todas las reglas que utilicen esta acción CAPTCHA, incluidas las del grupo de reglas administrado de la ACFP y el nivel de protección específica del grupo de reglas administrado de control de bots.
-
Limite las solicitudes que envíe a los grupos de reglas de la ACFP, la ATP y el control de bots: si utiliza los grupos de reglas administrados de AWS para la mitigación de amenazas inteligentes, tendrá que pagar tarifas adicionales. El grupo de reglas de la ACFP inspecciona las solicitudes dirigidas a los puntos conexión de registro y creación de cuentas que especifique. El grupo de reglas de la ATP inspecciona las solicitudes al punto de conexión de inicio de sesión que especifique. El grupo de reglas de control de bots inspecciona todas las solicitudes que llegan a él en la evaluación de la ACL web.
Tenga en cuenta los siguientes enfoques para reducir el uso de estos grupos de reglas:
-
Excluya las solicitudes de la inspección con una instrucción de restricción de acceso en la instrucción del grupo de reglas administrado. Puede hacerlo con cualquier instrucción anidable. Para obtener más información, consulte Uso de instrucciones de restricción de acceso en AWS WAF.
-
Para excluir las solicitudes de la inspección, agregue reglas antes del grupo de reglas. En el caso de las reglas que no puede utilizar en una instrucción de restricción de acceso y en situaciones más complejas, como el etiquetado seguido de una coincidencia de etiquetas, tal vez desee agregar reglas que se ejecuten antes que los grupos de reglas. Para obtener más información, consulte Uso de instrucciones de restricción de acceso en AWS WAF y Uso de instrucciones de reglas en AWS WAF.
-
Ejecute los grupos de reglas tras las reglas menos costosas. Si tiene otras reglas estándar de AWS WAF que bloqueen las solicitudes por cualquier motivo, ejecútelas antes de estos grupos de reglas de pago. Para obtener más información acerca de las reglas y la administración de reglas, consulte Uso de instrucciones de reglas en AWS WAF.
-
Si utiliza más de uno de los grupos de reglas administrados de mitigación de amenazas inteligentes, ejecútelos en el siguiente orden para mantener bajos los costos: control de bots, ATP y ACFP.
Para obtener información detallada sobre precios, consulte Precios de AWS WAF
. -
-
Activar el nivel de protección específico del grupo de reglas de control de bots durante el tráfico web normal: algunas reglas del nivel de protección específico necesitan tiempo para establecer líneas base para los patrones de tráfico normales antes de poder reconocer los patrones de tráfico irregulares o maliciosos, y responder a ellos. Por ejemplo, las reglas
TGT_ML_*necesitan hasta 24 horas para prepararse.Añada estas protecciones cuando no esté sufriendo un ataque y deje tiempo para que establezcan sus líneas base antes de esperar que respondan adecuadamente a los ataques. Si agrega estas reglas durante un ataque, después de que el ataque disminuya, el tiempo necesario para establecer una línea base suele oscilar entre el doble y el triple del tiempo normal requerido debido a la asimetría que añade el tráfico de ataques. Para obtener información adicional sobre las reglas y los tiempos de preparación que requieren, consulte Lista de reglas.
-
Para la protección contra la denegación de servicio distribuido (DDoS), utilice la mitigación automática de DDoS de la capa de aplicación de Shield Advanced: los grupos de reglas de mitigación de amenazas inteligentes no ofrecen protección contra DDoS. La ACFP lo protege de los intentos fraudulentos de creación de cuentas en la página de registro de su aplicación. La ATP protege su página de inicio de sesión contra los intentos de apropiación de cuentas. El control de bots se centra en aplicar patrones de acceso similares a los humanos mediante tokens y una limitación dinámica de las tasas en las sesiones de los clientes.
Cuando utiliza Shield Advanced con la mitigación automática de DDoS de la capa de aplicación habilitada, Shield Advanced responde automáticamente a los ataques DDoS detectados creando, evaluando e implementando mitigaciones personalizadas de AWS WAF en su nombre. Para obtener más información sobre Shield Advanced, consulte Información general de AWS Shield Advanced y Protección de la capa de aplicación (capa 7) con AWS Shield Advanced y AWS WAF.
-
Ajustar y configurar la gestión de los tokens: ajuste la gestión de los tokens de la ACL web para obtener la mejor experiencia de usuario.
-
Para reducir los costos operativos y mejorar la experiencia del usuario final, ajuste los tiempos de inmunidad para la gestión de los tokens al máximo que permitan sus requisitos de seguridad. Esto reduce al mínimo el uso de rompecabezas de CAPTCHA y desafíos silenciosos. Para obtener más información, consulte Configuración del vencimiento de la marca de tiempo y de los tiempos de inmunidad de los tóquenes en AWS WAF.
-
Para permitir el uso compartido de tokens entre aplicaciones protegidas, configure una lista de dominios tokens para su ACL web. Para obtener más información, consulte Especificación de dominios y listas de dominios de tóquenes en AWS WAF.
-
-
Rechazar las solicitudes con especificaciones de host arbitrarias: configure sus recursos protegidos para que los encabezados de
Hostde las solicitudes web coincidan con el recurso objetivo. Puede aceptar un valor o un conjunto específico de valores, por ejemplo,myExampleHost.comywww.myExampleHost.com, pero no acepte valores arbitrarios para el host. -
En el caso de los equilibradores de carga de aplicación que son el origen de las distribuciones de CloudFront, configure CloudFront y AWS WAF para gestionar los tokens de forma adecuada: si asocia su ACL web a un equilibrador de carga de aplicación e implementa el equilibrador de carga de aplicación como origen de una distribución de CloudFront, consulte Configuración requerida para los equilibradores de carga de aplicaciones que tengan su origen en CloudFront.
-
Probar y ajustar antes de la implementación: antes de implementar cualquier cambio en su ACL web, siga los procedimientos de prueba y ajuste de esta guía para asegurarse de que obtiene el comportamiento esperado. Esto es especialmente importante para estas características de pago. Para obtener orientación general, consulte Pruebas y ajustes de sus protecciones de AWS WAF. Para obtener información específica a los grupos de reglas de reglas administradas pagadas, consulte Pruebas implementación de la ACFP, Pruebas e implementación de la ATP y Comprobación e implementación del control de bots de AWS WAF.
