Tester et déployer AWS WAF Bot Control - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tester et déployer AWS WAF Bot Control

Cette section fournit des conseils généraux pour configurer et tester une implémentation de AWS WAF Bot Control pour votre site. Les étapes spécifiques que vous choisirez de suivre dépendront de vos besoins, de vos ressources et des demandes Web que vous recevrez.

Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies surTester et régler votre AWS WAF protections.

Note

AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au modèle de responsabilité partagée pour vous assurer que vos ressources AWS sont correctement protégées.

Risque lié au trafic de production

Avant de déployer votre implémentation Bot Control pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer.

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des ACL, des règles et des groupes de règles AWS WAF Web. Ces sujets sont abordés dans les sections précédentes de ce guide.

Pour configurer et tester une implémentation de Bot Control

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

  1. Ajouter le groupe de règles géré par Bot Control
    Note

    Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

    Ajoutez le groupe de AWS règles géré AWSManagedRulesBotControlRuleSet à une ACL Web nouvelle ou existante et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel de l'ACL Web.

    • Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit :

      • Dans le volet Niveau d'inspection, sélectionnez le niveau d'inspection que vous souhaitez utiliser.

        • Fréquent : détecte une variété de robots auto-identifiables, tels que les frameworks de scraping Web, les moteurs de recherche et les navigateurs automatisés. Les protections Bot Control à ce niveau identifient les robots courants à l'aide de techniques de détection de bots traditionnelles, telles que l'analyse statique des données des demandes. Les règles étiquettent le trafic provenant de ces robots et bloquent ceux qu'ils ne peuvent pas vérifier.

        • Ciblé : inclut les protections de niveau commun et ajoute une détection ciblée pour les robots sophistiqués qui ne s'identifient pas eux-mêmes. Des protections ciblées atténuent l'activité des robots en combinant la limitation du débit, les CAPTCHA et les défis liés au navigateur en arrière-plan.

          • TGT_— Les règles qui fournissent une protection ciblée portent des noms commençant parTGT_. Toutes les protections ciblées utilisent des techniques de détection telles que l'interrogation du navigateur, la prise d'empreintes digitales et l'heuristique comportementale pour identifier le trafic de bots défectueux.

          • TGT_ML_— Les règles de protection ciblées qui utilisent l'apprentissage automatique portent des noms commençant parTGT_ML_. Ces règles utilisent une analyse automatisée par apprentissage automatique des statistiques de trafic du site Web pour détecter les comportements anormaux indiquant une activité distribuée et coordonnée des bots. AWS WAF analyse les statistiques relatives au trafic de votre site Web, telles que les horodatages, les caractéristiques du navigateur et les URL précédemment visitées, afin d'améliorer le modèle d'apprentissage automatique de Bot Control. Les fonctionnalités d'apprentissage automatique sont activées par défaut, mais vous pouvez les désactiver dans la configuration de votre groupe de règles. Lorsque l'apprentissage automatique est désactivé, AWS WAF n'évalue pas ces règles.

        Pour plus d'informations sur ce choix, consultezAWS WAF Groupe de règles Bot Control.

      • Dans le volet Règles, ouvrez le menu déroulant Remplacer toutes les actions des règles et choisissez. Count Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour plus d’informations, consultez Remplacer les actions des règles dans un groupe de règles.

        Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles de contrôle des bots sur votre trafic, afin de déterminer si vous souhaitez ajouter des exceptions pour des éléments tels que les cas d'utilisation internes ou les robots souhaités.

    • Positionnez le groupe de règles de manière à ce qu'il soit évalué en dernier dans l'ACL Web, avec un paramètre de priorité numériquement supérieur à celui des autres règles ou groupes de règles que vous utilisez déjà. Pour plus d’informations, consultez Définition de la priorité des règles sur un site Web ACL.

      Ainsi, votre gestion actuelle du trafic n'est pas perturbée. Par exemple, si vous avez des règles qui détectent le trafic malveillant tel que l'injection SQL ou les scripts intersites, elles continueront à détecter et à enregistrer ces demandes. Par ailleurs, si vous avez des règles qui autorisent le trafic connu non malveillant, elles peuvent continuer à autoriser ce trafic, sans qu'il soit bloqué par le groupe de règles géré par Bot Control. Vous pouvez décider d'ajuster l'ordre de traitement lors de vos activités de test et de réglage, mais c'est une bonne façon de commencer.

  2. Activer la journalisation et les métriques pour l'ACL Web

    Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour l'ACL Web. Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles géré par Bot Control avec votre trafic.

  3. Associer l'ACL Web à une ressource

    Si l'ACL Web n'est pas déjà associée à une ressource, associez-la. Pour plus d’informations, veuillez consulter Associer ou dissocier un site Web ACL à un AWS ressource.

  4. Surveillez le trafic et les correspondances aux règles du Bot Control

    Assurez-vous que le trafic circule et que les règles du groupe de règles géré par Bot Control ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux et voir les statistiques relatives aux robots et aux étiquettes dans les CloudWatch statistiques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le ruleGroupList champ « action set to count » et overriddenAction indiquent l'action de règle configurée que vous avez remplacée.

    Note

    Le groupe de règles géré par Bot Control vérifie les robots à l'aide des adresses IP de AWS WAF. Si vous utilisez Bot Control et que vous avez vérifié les bots qui acheminent via un proxy ou un équilibreur de charge, vous devrez peut-être les autoriser explicitement à l'aide d'une règle personnalisée. Pour plus d'informations sur la création d'une règle personnalisée, consultezUtilisation des adresses IP transférées dans AWS WAF. Pour plus d'informations sur la façon dont vous pouvez utiliser la règle pour personnaliser le traitement des requêtes Web par Bot Control, reportez-vous à l'étape suivante.

    Examinez attentivement le traitement des requêtes Web pour détecter tout faux positif que vous pourriez avoir besoin d'atténuer grâce à un traitement personnalisé. Pour des exemples de faux positifs, voirExemples de scénarios de faux positifs avec AWS WAF Contrôle des robots.

  5. Personnaliser le traitement des requêtes Web par Bot Control

    Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles de contrôle des bots les traiteraient autrement.

    La manière de procéder dépend de votre cas d'utilisation, mais les solutions les plus courantes sont les suivantes :

    • Autorisez explicitement les demandes avec une règle que vous ajoutez avant le groupe de règles géré par Bot Control. Ainsi, les demandes autorisées n'atteignent jamais le groupe de règles pour être évaluées. Cela peut aider à réduire les coûts liés à l'utilisation du groupe de règles géré par Bot Control.

    • Excluez les demandes de l'évaluation de Bot Control en ajoutant une instruction scope-down dans l'instruction du groupe de règles géré par Bot Control. Cela fonctionne de la même manière que l'option précédente. Cela peut aider à réduire les coûts liés à l'utilisation du groupe de règles géré par Bot Control, car les demandes qui ne correspondent pas à l'instruction scope-down ne sont jamais évaluées par le groupe de règles. Pour plus d'informations sur les instructions de portée réduite, voir. Utilisation d'instructions scope-down dans AWS WAF

      Pour obtenir des exemples relatifs à , consultez les rubriques suivantes :

    • Utilisez les étiquettes Bot Control dans le traitement des demandes pour autoriser ou bloquer les demandes. Ajoutez une règle de correspondance des libellés après le groupe de règles géré par Bot Control pour filtrer les demandes étiquetées que vous souhaitez autoriser de celles que vous souhaitez bloquer.

      Après le test, maintenez les règles de contrôle des robots associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée. Pour plus d'informations sur les déclarations de correspondance des étiquettes, voirDéclaration de règle de correspondance des étiquettes.

      Pour des exemples de ce type de personnalisation, consultez les pages suivantes :

    Pour accéder à des exemples supplémentaires, consultez AWS WAF Exemples de Bot Control.

  6. Si nécessaire, activez les paramètres du groupe de règles géré par Bot Control

    En fonction de votre situation, vous avez peut-être décidé de laisser certaines règles de contrôle des bots en mode décompte ou de les remplacer par une autre action. Pour les règles que vous souhaitez exécuter telles qu'elles sont configurées dans le groupe de règles, activez la configuration des règles standard. Pour ce faire, modifiez l'instruction du groupe de règles dans votre ACL Web et apportez vos modifications dans le volet Règles.