Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Test et déploiement de l'ACFP
Cette section fournit des conseils généraux pour configurer et tester une implémentation de prévention de AWS WAF la fraude (ACFP) lors de la création de comptes Fraud Control pour votre site. Les étapes spécifiques que vous choisirez de suivre dépendront de vos besoins, des ressources et des demandes Web que vous recevrez.
Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies surTester et régler votre AWS WAF protections.
Note
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au modèle de responsabilité partagée
Risque lié au trafic de production
Avant de déployer votre implémentation ACFP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer.
AWS WAF fournit des informations d'identification de test que vous pouvez utiliser pour vérifier votre configuration ACFP. Dans la procédure suivante, vous allez configurer une ACL Web de test pour utiliser le groupe de règles géré par l'ACFP, configurer une règle pour capturer l'étiquette ajoutée par le groupe de règles, puis exécuter une tentative de création de compte à l'aide de ces informations d'identification de test. Vous allez vérifier que votre ACL Web a correctement géré la tentative en consultant les CloudWatch statistiques Amazon relatives à la tentative de création de compte.
Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des ACL, des règles et des groupes de règles AWS WAF Web. Ces sujets sont abordés dans les sections précédentes de ce guide.
Pour configurer et tester une implémentation de la prévention des AWS WAF fraudes (ACFP) lors de la création de comptes de contrôle des fraudes
Effectuez ces étapes d'abord dans un environnement de test, puis en production.
-
Ajouter le groupe de règles géré par AWS WAF Fraud Control pour la création de comptes et la prévention des fraudes (ACFP) en mode décompte
Note
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF
. Ajoutez le groupe de règles AWS gérées
AWSManagedRulesACFPRuleSet
à une ACL Web nouvelle ou existante et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel de l'ACL Web. Pour plus de détails sur les règles et les libellés de ce groupe de règles, consultezAWS WAF Groupe de règles Fraud Control : création de comptes, prévention des fraudes (ACFP).-
Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit :
-
Dans le volet de configuration du groupe de règles, fournissez les détails des pages d'enregistrement et de création de compte de votre application. Le groupe de règles ACFP utilise ces informations pour surveiller les activités de connexion. Pour plus d’informations, consultez Ajouter le groupe de règles ACFP géré à votre site Web ACL.
-
Dans le volet Règles, ouvrez le menu déroulant Remplacer toutes les actions des règles et choisissez. Count Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour plus d’informations, consultez Remplacer les actions des règles dans un groupe de règles.
Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles gérées par l'ACFP afin de déterminer si vous souhaitez ajouter des exceptions, telles que des exceptions pour des cas d'utilisation internes.
-
-
Positionnez le groupe de règles de manière à ce qu'il soit évalué selon vos règles existantes dans l'ACL Web, avec un paramètre de priorité numériquement supérieur à celui des règles ou groupes de règles que vous utilisez déjà. Pour plus d’informations, consultez Définition de la priorité des règles sur un site Web ACL.
De cette façon, votre gestion actuelle du trafic n'est pas perturbée. Par exemple, si vous avez des règles qui détectent le trafic malveillant tel que l'injection SQL ou les scripts intersites, elles continueront à le détecter et à le consigner. Par ailleurs, si vous avez des règles qui autorisent le trafic connu non malveillant, elles peuvent continuer à autoriser ce trafic, sans qu'il soit bloqué par le groupe de règles géré par l'ACFP. Vous pouvez décider d'ajuster l'ordre de traitement lors de vos activités de test et de réglage.
-
-
Implémenter les SDK d'intégration des applications
Intégrez le AWS WAF JavaScript SDK dans les processus d'enregistrement et de création de compte de votre navigateur. AWS WAF fournit également des SDK mobiles pour intégrer les appareils iOS et Android. Pour plus d'informations sur les kits de développement logiciel (SDK) d'intégration, consultezIntégrations d'applications clientes dans AWS WAF. Pour plus d'informations sur cette recommandation, consultezUtilisation de l'intégration d'applications SDKs avec ACFP.
Note
Si vous ne parvenez pas à utiliser les SDK d'intégration d'applications, il est possible de tester le groupe de règles ACFP en le modifiant dans votre ACL Web et en supprimant la dérogation que vous avez accordée à la règle.
AllRequests
Cela active le paramètre Challenge d'action de la règle, afin de garantir que les demandes incluent un jeton de défi valide.Faites-le d'abord dans un environnement de test, puis avec le plus grand soin dans votre environnement de production. Cette approche est susceptible de bloquer des utilisateurs. Par exemple, si le chemin de votre page d'inscription n'accepte pas les requêtes
GET
texte/html, cette configuration de règles peut bloquer efficacement toutes les demandes sur la page d'enregistrement. -
Activer la journalisation et les métriques pour l'ACL Web
Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour l'ACL Web. Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles géré par l'ACFP avec votre trafic.
-
Pour de plus amples informations sur la journalisation, veuillez consulter Journalisation AWS WAF ACLtrafic Web.
-
Pour plus d'informations sur Amazon Security Lake, consultez Qu'est-ce qu'Amazon Security Lake ? et Collecte de données à partir AWS des services décrits dans le guide de l'utilisateur d'Amazon Security Lake.
-
Pour plus d'informations sur CloudWatch les métriques Amazon, consultezSurveillance avec Amazon CloudWatch.
-
Pour plus d'informations sur l'échantillonnage des requêtes Web, consultezAffichage d'un exemple de demandes web.
-
-
Associer l'ACL Web à une ressource
Si l'ACL Web n'est pas déjà associée à une ressource de test, associez-la. Pour plus d’informations, veuillez consulter Associer ou dissocier un site Web ACL à un AWS ressource.
-
Surveillez le trafic et les correspondances aux règles ACFP
Assurez-vous que votre trafic normal circule et que les règles du groupe de règles géré par l'ACFP ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux, ainsi que l'ACFP et les métriques relatives aux étiquettes dans les CloudWatch métriques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le
ruleGroupList
champ «action
set to count » etoverriddenAction
indiquent l'action de règle configurée que vous avez remplacée. -
Testez les capacités de vérification des informations d'identification du groupe de règles
Effectuez une tentative de création de compte en testant les informations d'identification compromises et vérifiez que le groupe de règles correspond à celles-ci, comme prévu.
-
Accédez à la page d'enregistrement du compte de votre ressource protégée et essayez d'ajouter un nouveau compte. Utilisez la paire d'identifiants de AWS WAF test suivante et participez à n'importe quel test
-
Utilisateur :
WAF_TEST_CREDENTIAL@wafexample.com
-
Mot de passe :
WAF_TEST_CREDENTIAL_PASSWORD
Ces informations d'identification de test sont classées dans la catégorie des informations d'identification compromises, et le groupe de règles géré par l'ACFP ajoutera l'
awswaf:managed:aws:acfp:signal:credential_compromised
étiquette à la demande de création de compte, que vous pouvez consulter dans les journaux. -
-
Dans vos journaux ACL Web, recherchez l'
awswaf:managed:aws:acfp:signal:credential_compromised
étiquette dans lelabels
champ des entrées du journal pour votre demande de création de compte de test. Pour de plus amples informations sur la journalisation, veuillez consulter Journalisation AWS WAF ACLtrafic Web.
Après avoir vérifié que le groupe de règles capture les informations d'identification compromises comme prévu, vous pouvez prendre des mesures pour configurer sa mise en œuvre en fonction de vos besoins pour votre ressource protégée.
-
-
Pour les CloudFront distributions, testez la gestion par le groupe de règles des tentatives de création de comptes en masse
Exécutez ce test pour chaque critère de réponse positive que vous avez configuré pour le groupe de règles ACFP. Attendez au moins 30 minutes entre les tests.
-
Pour chacun de vos critères de succès, identifiez une tentative de création de compte qui sera couronnée de succès avec ce critère de succès dans la réponse. Ensuite, à partir d'une seule session client, effectuez au moins 5 tentatives de création de compte réussies en moins de 30 minutes. Un utilisateur ne crée normalement qu'un seul compte sur votre site.
Une fois la première création de compte réussie, la
VolumetricSessionSuccessfulResponse
règle devrait commencer à correspondre aux autres réponses à la création de votre compte, à les étiqueter et à les compter, en fonction de votre dérogation à l'action de la règle. Il se peut que la règle omette le premier ou les deux premiers en raison de la latence. -
Dans vos journaux ACL Web, recherchez l'
awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high
étiquette dans lelabels
champ des entrées du journal pour vos demandes Web de création de compte de test. Pour de plus amples informations sur la journalisation, veuillez consulter Journalisation AWS WAF ACLtrafic Web.
Ces tests vérifient que vos critères de réussite correspondent à vos réponses en vérifiant que le nombre de réussites agrégés par la règle dépasse le seuil de la règle. Une fois le seuil atteint, si vous continuez à envoyer des demandes de création de compte depuis la même session, la règle continuera de correspondre jusqu'à ce que le taux de réussite tombe en dessous du seuil. Lorsque le seuil est dépassé, la règle fait correspondre les tentatives de création de compte réussies ou non à partir de l'adresse de session.
-
-
Personnaliser le traitement des requêtes Web ACFP
Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles ACFP les traiteraient autrement.
Par exemple, vous pouvez utiliser les étiquettes ACFP pour autoriser ou bloquer les demandes ou pour personnaliser le traitement des demandes. Vous pouvez ajouter une règle de correspondance d'étiquettes après le groupe de règles géré par l'ACFP afin de filtrer les demandes étiquetées pour le traitement que vous souhaitez appliquer. Après le test, maintenez les règles ACFP associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée. Pour obtenir un exemple, consultez ACFPexemple : réponse personnalisée pour des informations d'identification compromises.
-
Supprimez vos règles de test et activez les paramètres du groupe de règles géré par l'ACFP
Selon votre situation, vous avez peut-être décidé de laisser certaines règles ACFP en mode décompte. Pour les règles que vous souhaitez exécuter telles que configurées au sein du groupe de règles, désactivez le mode de comptage dans la configuration du groupe de règles ACL Web. Lorsque vous avez terminé le test, vous pouvez également supprimer les règles de correspondance de vos étiquettes de test.
-
Surveillez et réglez
Pour vous assurer que les requêtes Web sont traitées comme vous le souhaitez, surveillez attentivement votre trafic après avoir activé la fonctionnalité ACFP que vous souhaitez utiliser. Ajustez le comportement selon vos besoins en annulant le nombre de règles sur le groupe de règles et en appliquant vos propres règles.
Une fois que vous avez terminé de tester l'implémentation de votre groupe de règles ACFP, si vous n'avez pas encore intégré le AWS WAF JavaScript SDK dans les pages d'enregistrement et de création de compte de votre navigateur, nous vous recommandons vivement de le faire. AWS WAF fournit également des SDK mobiles pour intégrer les appareils iOS et Android. Pour plus d'informations sur les kits de développement logiciel (SDK) d'intégration, consultezIntégrations d'applications clientes dans AWS WAF. Pour plus d'informations sur cette recommandation, consultezUtilisation de l'intégration d'applications SDKs avec ACFP.