Supervisión y ajustes de sus protecciones de AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Supervisión y ajustes de sus protecciones de AWS WAF

En esta sección se describe cómo supervisar y ajustar AWS WAF las protecciones.

nota

Para seguir las instrucciones de esta sección, debe comprender de una forma general cómo crear y administrar protecciones de AWS WAF, como las ACL web, las reglas y los grupos de reglas. Esta información se describe en secciones anteriores de esta guía.

Supervise el tráfico web y las coincidencias de reglas para verificar el comportamiento de la ACL web. Si encuentra problemas, ajuste las reglas para corregirlas y, a continuación, supervise para verificar los ajustes.

Repita el siguiente procedimiento hasta que la ACL web administre su tráfico web como lo necesite.

Monitorizar y ajustar
  1. Supervise el tráfico y las coincidencias de reglas

    Asegúrese de que el tráfico fluya y de que las reglas de prueba encuentren solicitudes coincidentes.

    Busque la siguiente información sobre las protecciones que está probando:

    • Registros: acceda a la información sobre las reglas que coinciden con una solicitud web:

      • Sus reglas: las reglas de la ACL web que requieren la acción Count se enumeran en nonTerminatingMatchingRules. Las reglas con Allow o Block se enumeran en terminatingRule. Las reglas con CAPTCHA o Challenge pueden ser de finalización o no, y, por lo tanto, se incluyen en una de las dos categorías, según el resultado de la coincidencia de reglas.

      • Grupos de reglas: los grupos de reglas se identifican en el campo ruleGroupId y sus coincidencias de reglas se clasifican de la misma manera que en el caso de las reglas independientes.

      • Etiquetas: las etiquetas que las reglas han aplicado a la solicitud aparecen en el campo Labels.

      Para obtener más información, consulte Campos de registro para el tráfico de la ACL web.

    • Métricas de Amazon CloudWatch: puede acceder a las siguientes métricas para la evaluación de solicitudes de la ACL web.

      • Sus reglas: las métricas se agrupan según la acción de la regla. Por ejemplo, si prueba una regla en modo Count, sus coincidencias se enumeran como métricas de Countpara la ACL web.

      • Sus grupos de reglas: las métricas para sus grupos de reglas aparecen en las métricas de los grupos de reglas.

      • Grupos de reglas que son propiedad de otra cuenta: las métricas de los grupos de reglas suelen ser visibles solo para el propietario del grupo de reglas. Sin embargo, si anula la acción de la regla para una regla, las métricas para esa regla aparecerán en las métricas de la ACL web. Además, las etiquetas agregadas por cualquier grupo de reglas aparecen en las métricas de su ACL web

        Los grupos de reglas de esta categoría son Protección contra las amenazas web más comunes mediante las Reglas administradas de AWS para AWS WAF, Grupos de reglas administrados por AWS Marketplace, Reconocimiento de grupos de reglas proporcionados por otros servicios y los grupos de reglas que otra cuenta comparte con usted.

      • Etiquetas: las etiquetas que se agregaron a una solicitud web durante la evaluación aparecen en las métricas de etiquetas de la ACL web. Puede acceder a las métricas de todas las etiquetas, sin importar si las agregaron sus reglas y grupos de reglas o por reglas en un grupo de reglas que es propiedad de otra cuenta.

      Para obtener más información, consulte Visualización de las métricas para la ACL web.

    • Paneles de información general sobre el tráfico de las ACL web: para acceder a los resúmenes del tráfico web que ha evaluado una ACL web, vaya a la página de la ACL web en la consola AWS WAF y abra la pestaña Resumen del tráfico.

      Los paneles de información general del tráfico proporcionan resúmenes casi en tiempo real de las métricas de Amazon CloudWatch que AWS WAF recopila cuando evalúa el tráfico web de su aplicación.

      Para obtener más información, consulte Paneles de información general sobre el tráfico de ACL web.

    • Solicitudes web muestreadas: acceda a la información de las reglas que coinciden con una muestra de solicitudes web. La información de muestra identifica las reglas coincidentes por el nombre de la métrica de la regla en la ACL web. En el caso de los grupos de reglas, la métrica identifica la instrucción de referencia del grupo de reglas. En el caso de las reglas incluidas en los grupos de reglas, la muestra indica el nombre de la regla coincidente en RuleWithinRuleGroup.

      Para obtener más información, consulte Visualizar una muestra de solicitudes web.

  2. Configuración de las mitigaciones para abordar los falsos positivos

    Si determina que una regla genera falsos positivos, al hacer coincidir las solicitudes web cuando no debería, las siguientes opciones pueden ayudarle a ajustar las protecciones de las ACL web para mitigarlos.

    Corrección de los criterios de inspección de las reglas

    Para sus propias reglas, a menudo solo necesita ajustar la configuración que utiliza para inspeccionar las solicitudes web. Algunos ejemplos incluyen cambiar las especificaciones de un conjunto de patrones de regex, ajustar las transformaciones de texto que se aplican a un componente de la solicitud antes de la inspección o cambiar a una dirección IP reenviada. Consulte la guía sobre el tipo de regla que está causando problemas en Uso de instrucciones de reglas en AWS WAF.

    Corrección de problemas más complejos

    En el caso de los criterios de inspección que no controla y de algunas reglas complejas, es posible que tenga que realizar otros cambios, como agregar reglas que permitan o bloqueen las solicitudes de forma explícita, o que eliminen las solicitudes de la evaluación por la regla problemática. Los grupos de reglas administrados suelen necesitar este tipo de mitigación, pero otras reglas, también. Los ejemplos incluyen la instrucción de regla basada en tasas y la instrucción de reglas de los ataques de inyección de código SQL.

    Lo que haga para mitigar los falsos positivos depende de su caso de uso. A continuación, se muestran algunos enfoques comunes:

    • Añadir una regla de mitigación: añada una regla que se ejecute antes que la nueva regla y que permita de forma explícita las solicitudes que provoquen falsos positivos. Para obtener más información sobre el orden de evaluación de las reglas en una ACL web, consulte Configuración de la prioridad de las reglas en una ACL web.

      Con este enfoque, las solicitudes permitidas se envían al recurso protegido, por lo que nunca llegan a la nueva regla para su evaluación. Si la nueva regla es un grupo de reglas administrado de pago, este enfoque también puede ayudar a contener el coste de usar el grupo de reglas.

    • Agregar una regla lógica con una regla de mitigación: utilice enunciados de reglas lógicas para combinar la nueva regla con una regla que excluya los falsos positivos. Para obtener más información, consulte Uso de instrucciones de reglas lógicas en AWS WAF.

      Por ejemplo, supongamos que va a agregar una instrucción de coincidencia de un ataque de inyección de código SQL que genera falsos positivos para una categoría de solicitudes. Cree una regla que coincida con esas solicitudes y, a continuación, combine las reglas mediante instrucciones de reglas lógicas para que solo coincidan con las solicitudes que no coincidan con los criterios de falsos positivos y sí con los criterios de ataque de inyección de código SQL.

    • Agregar una instrucción de restricción de acceso: en el caso de las instrucciones basadas en tasas y las instrucciones de referencia de grupos de reglas administrados, excluya de la evaluación las solicitudes que den como resultado falsos positivos agregando una instrucción de restricción de acceso dentro de la instrucción principal.

      Las solicitudes que no coincidan con la instrucción de restricción de acceso nunca llegan al grupo de reglas ni a la evaluación basada en tasas. Para obtener información sobre las instrucciones de restricción de acceso, consulte Uso de instrucciones de restricción de acceso en AWS WAF. Para ver un ejemplo, consulte Exclusión de un rango de IP de la administración de bots.

    • Agregar una regla de coincidencia de etiquetas: en el caso de los grupos de reglas que utilizan el etiquetado, identifique la etiqueta que la regla problemática aplica a las solicitudes. Es posible que primero deba configurar las reglas del grupo de reglas en el modo de recuento si aún no lo ha hecho. Añada una regla de coincidencia de etiquetas, posicionada de forma que se ejecute después del grupo de reglas, que coincida con la etiqueta que está agregando la regla problemática. En la regla de coincidencia de etiquetas, puede filtrar las solicitudes que quiere permitir de las que quiere bloquear.

      Si utiliza este enfoque, cuando termine de realizar las pruebas, mantenga la regla problemática en modo de recuento en el grupo de reglas y conserve su regla de coincidencia de etiquetas personalizada. Para obtener información sobre las instrucciones del control de bots, consulte Instrucción de regla de coincidencia de etiquetas. Para ver ejemplos, consulte Permisión de un bot bloqueado específico y Ejemplo de ATP: gestión personalizada de las credenciales faltantes o comprometidas.

    • Cambiar la versión de un grupo de reglas administrado: en el caso de los grupos de reglas administrados con control de versiones, cambie la versión que esté usando. Por ejemplo, puede volver a la última versión estática que utilizó correctamente.

      Por lo general, se trata de una solución temporal. Puede cambiar la versión de su tráfico de producción mientras continúa probando la última versión en su entorno de prueba o ensayo, o mientras espera a que el proveedor proporcione una versión más compatible. Para obtener información acerca de las versiones de los grupos de reglas administrados, consulte Uso de grupos de reglas administrados en AWS WAF.

Cuando esté seguro de que las nuevas reglas coinciden con las solicitudes que necesita, pase a la siguiente fase de las pruebas y repita este procedimiento. Realice la fase final de pruebas y ajustes en su entorno de producción.