Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF

Siga las prácticas recomendadas de esta sección para lograr la implementación más eficiente y rentable de las características de mitigación de amenazas inteligentes.

Implemente la JavaScript integración con las aplicaciones móviles SDKs: implemente la integración de aplicaciones para habilitar el conjunto completo de ACFP funciones de control de bots de la manera más eficaz posible. ATP Los grupos de reglas gestionados utilizan los tokens proporcionados por el SDKs para separar el tráfico de clientes legítimo del tráfico no deseado a nivel de sesión. La integración de la aplicación SDKs garantiza que estos tokens estén siempre disponibles. Para obtener más información, consulte los siguientes temas:
Utilice las integraciones para implementar desafíos en su cliente y, además JavaScript, para personalizar la forma en que se presentan los CAPTCHA rompecabezas a sus usuarios finales. Para obtener más información, consulte Uso de integraciones de aplicaciones cliente con AWS WAF.

Si personaliza CAPTCHA los rompecabezas con el JavaScript API y usa el CAPTCHA regule la acción en cualquier parte de su webACL, siga las instrucciones para gestionar la AWS WAF CAPTCHArespuesta en su cliente enGestionar una CAPTCHA respuesta de AWS WAF. Esta guía se aplica a cualquier regla que utilice la CAPTCHA acción, incluidas las del grupo de reglas ACFP gestionado y el nivel de protección objetivo del grupo de reglas gestionado por Bot Control.
Limite las solicitudes que envíe a los ACFP grupos de reglas de control de bots y a los grupos de reglas de control de bots. Si utiliza la mitigación inteligente de amenazas, incurrirá en cargos adicionales ATP AWS Grupos de reglas de Managed Rules. El grupo de ACFP reglas inspecciona las solicitudes dirigidas a los puntos finales de registro y creación de cuentas que especifique. El grupo de ATP reglas inspecciona las solicitudes al punto final de inicio de sesión que especifique. El grupo de reglas de control de bots inspecciona todas las solicitudes que llegan a él en la evaluación webACL.

Tenga en cuenta los siguientes enfoques para reducir el uso de estos grupos de reglas:
- Excluya las solicitudes de la inspección con una instrucción de restricción de acceso en la instrucción del grupo de reglas administrado. Puede hacerlo con cualquier instrucción anidable. Para obtener más información, consulte Uso de declaraciones de alcance reducido en AWS WAF.
- Para excluir las solicitudes de la inspección, agregue reglas antes del grupo de reglas. En el caso de las reglas que no puede utilizar en una instrucción de restricción de acceso y en situaciones más complejas, como el etiquetado seguido de una coincidencia de etiquetas, tal vez desee agregar reglas que se ejecuten antes que los grupos de reglas. Para obtener más información, consulte Uso de declaraciones de alcance reducido en AWS WAF y Uso de declaraciones de reglas en AWS WAF.
- Ejecute los grupos de reglas tras las reglas menos costosas. Si tienes otro estándar AWS WAF las reglas que bloquean las solicitudes por cualquier motivo, ejecútelas antes que estos grupos de reglas de pago. Para obtener más información acerca de las reglas y la administración de reglas, consulte Uso de declaraciones de reglas en AWS WAF.
- Si utilizas más de uno de los grupos de reglas gestionados para la mitigación inteligente de amenazas, ejecútalos en el siguiente orden para mantener bajos los costes: Control de bots,ATP,ACFP.
Para obtener información detallada sobre los precios, consulte AWS WAF Precios.
Activar el nivel de protección específico del grupo de reglas de control de bots durante el tráfico web normal: algunas reglas del nivel de protección específico necesitan tiempo para establecer líneas base para los patrones de tráfico normales antes de poder reconocer los patrones de tráfico irregulares o maliciosos, y responder a ellos. Por ejemplo, las reglas TGT_ML_* necesitan hasta 24 horas para prepararse.

Añada estas protecciones cuando no esté sufriendo un ataque y deje tiempo para que establezcan sus líneas base antes de esperar que respondan adecuadamente a los ataques. Si agrega estas reglas durante un ataque, después de que el ataque disminuya, el tiempo necesario para establecer una línea base suele oscilar entre el doble y el triple del tiempo normal requerido debido a la asimetría que añade el tráfico de ataques. Para obtener información adicional sobre las reglas y los tiempos de preparación que requieren, consulte Lista de reglas.
Para la protección contra la denegación de servicio distribuida (DDoS), utilice la DDoS mitigación automática de la capa de aplicación Shield Advanced: los grupos de reglas de mitigación de amenazas inteligentes no ofrecen DDoS protección. ACFPprotege contra los intentos fraudulentos de creación de cuentas en la página de registro de su aplicación. ATPprotege tu página de inicio de sesión contra los intentos de apropiación de cuentas. El control de bots se centra en aplicar patrones de acceso similares a los humanos mediante tokens y una limitación dinámica de las tasas en las sesiones de los clientes.

Cuando utiliza Shield Advanced con la DDoS mitigación automática de la capa de aplicación habilitada, Shield Advanced responde automáticamente a DDoS los ataques detectados mediante la creación, evaluación e implementación personalizados AWS WAF mitigaciones en su nombre. Para obtener más información sobre Shield Advanced, consulte AWS Shield Advanced visión general y Proteger la capa de aplicación (capa 7) con AWS Shield Advanced y AWS WAF.
Ajuste y configure el manejo de los tokens: ajuste el manejo de los tokens ACL de la web para obtener la mejor experiencia de usuario.
- Para reducir los costos operativos y mejorar la experiencia del usuario final, ajuste los tiempos de inmunidad para la gestión de los tokens al máximo que permitan sus requisitos de seguridad. Esto reduce al mínimo el uso de CAPTCHA acertijos y desafíos silenciosos. Para obtener más información, consulte Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF.
- Para permitir el uso compartido de tokens entre aplicaciones protegidas, configure una lista de dominios simbólicos para su webACL. Para obtener más información, consulte Especificar dominios simbólicos y listas de dominios en AWS WAF.
Rechazar las solicitudes con especificaciones de host arbitrarias: configure sus recursos protegidos para que los encabezados de Host de las solicitudes web coincidan con el recurso objetivo. Puede aceptar un valor o un conjunto específico de valores, por ejemplo, myExampleHost.com y www.myExampleHost.com, pero no acepte valores arbitrarios para el host.
En el caso de los balanceadores de carga de aplicaciones que son el origen de CloudFront las distribuciones, configure y CloudFront AWS WAF para una gestión adecuada de los tokens: si asocia su web ACL a un Application Load Balancer e implementa el Application Load Balancer como origen de CloudFront una distribución, consulte. Configuración requerida para los balanceadores de carga de aplicaciones que son orígenes CloudFront
Pruebe y ajuste antes de la implementación: antes de implementar cualquier cambio en su webACL, siga los procedimientos de prueba y ajuste de esta guía para asegurarse de que está obteniendo el comportamiento esperado. Esto es especialmente importante para estas características de pago. Para obtener orientación general, consulte Probando y ajustando su AWS WAF protecciones. Para obtener información específica a los grupos de reglas de reglas administradas pagadas, consulte Pruebas implementación de la ACFP, Pruebas e implementación de la ATP y Prueba e implementación de AWS WAF Bot Control.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Limitación de velocidad

Uso de tokens en solicitudes web