Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF

Suivez les meilleures pratiques décrites dans cette section pour mettre en œuvre les fonctionnalités intelligentes d'atténuation des menaces de la manière la plus efficace et la plus rentable possible.

  • Mise en œuvre JavaScript de l'intégration des applications mobiles SDKs : implémentez l'intégration des applications pour activer l'ensemble complet des ACFP fonctionnalités ou de contrôle des robots de la manière la plus efficace possible. ATP Les groupes de règles gérés utilisent les jetons fournis par le SDKs pour séparer le trafic client légitime du trafic indésirable au niveau de la session. L'intégration de l'application SDKs garantit que ces jetons sont toujours disponibles. Pour plus d'informations, consultez la:

    Utilisez les intégrations pour mettre en œuvre les défis de votre client et, pour JavaScript, pour personnaliser la façon dont les CAPTCHA puzzles sont présentés à vos utilisateurs finaux. Pour plus de détails, consultez Utilisation des intégrations d'applications clientes avec AWS WAF.

    Si vous personnalisez CAPTCHA des puzzles à l'aide du JavaScript API et que vous utilisez le CAPTCHA appliquez des règles n'importe où sur votre site WebACL, suivez les instructions pour gérer les AWS WAF CAPTCHAréponse chez votre client à l'adresseGestion d'une CAPTCHA réponse de AWS WAF. Ce guide s'applique à toutes les règles qui utilisent le CAPTCHA action, y compris celles du groupe de règles ACFP géré et le niveau de protection ciblé du groupe de règles géré par Bot Control.

  • Limitez les demandes que vous envoyez aux groupes de règles ACFPATP,, et Bot Control : vous devez payer des frais supplémentaires pour utiliser l'atténuation intelligente des menaces AWS Groupes de règles gérées. Le groupe de ACFP règles inspecte les demandes adressées aux points de terminaison d'enregistrement et de création de comptes que vous spécifiez. Le groupe de ATP règles inspecte les demandes adressées au point de terminaison de connexion que vous spécifiez. Le groupe de règles Bot Control inspecte chaque demande qui lui parvient lors de l'ACLévaluation Web.

    Envisagez les approches suivantes pour réduire votre utilisation de ces groupes de règles :

    • Exclure les demandes de l'inspection à l'aide d'une instruction scope-down dans l'instruction du groupe de règles géré. Vous pouvez le faire avec n'importe quel énoncé emboîtable. Pour plus d’informations, veuillez consulter Utilisation d'instructions scope-down dans AWS WAF.

    • Exclure les demandes de l'inspection en ajoutant des règles avant le groupe de règles. Pour les règles que vous ne pouvez pas utiliser dans une instruction de portée réduite et pour les situations plus complexes, telles que l'étiquetage suivi d'une correspondance d'étiquettes, vous souhaiterez peut-être ajouter des règles qui s'exécutent avant les groupes de règles. Pour plus d'informations, consultez Utilisation d'instructions scope-down dans AWS WAF et Utilisation d'instructions de règle dans AWS WAF.

    • Exécutez les groupes de règles selon des règles moins coûteuses. Si vous avez une autre norme AWS WAF les règles qui bloquent les demandes pour quelque raison que ce soit, exécutez-les avant ces groupes de règles payants. Pour plus d'informations sur les règles et leur gestion, consultezUtilisation d'instructions de règle dans AWS WAF.

    • Si vous utilisez plusieurs groupes de règles gérés d'atténuation intelligente des menaces, exécutez-les dans l'ordre suivant pour réduire les coûts : Bot Control,ATP,ACFP.

    Pour obtenir des informations détaillées sur les prix, voir AWS WAF Tarification.

  • Activez le niveau de protection ciblé du groupe de règles Bot Control pendant le trafic Web normal : certaines règles du niveau de protection ciblé ont besoin de temps pour établir des bases de référence pour les modèles de trafic normaux avant de pouvoir reconnaître les modèles de trafic irréguliers ou malveillants et y répondre. Par exemple, les TGT_ML_* règles ont besoin de 24 heures pour s'échauffer.

    Ajoutez ces protections lorsque vous n'êtes pas victime d'une attaque et donnez-leur le temps d'établir leurs bases de référence avant de s'attendre à ce qu'ils répondent de manière appropriée aux attaques. Si vous ajoutez ces règles au cours d'une attaque, une fois celle-ci terminée, le temps nécessaire pour établir une base de référence est généralement du double au triple du temps normalement requis, en raison de la distorsion ajoutée par le trafic d'attaque. Pour plus d'informations sur les règles et les temps de préchauffage requis, consultezListe des règles.

  • Pour la protection par déni de service distribué (DDoS), utilisez l'atténuation automatique de la couche DDoS d'application Shield Advanced : les groupes de règles d'atténuation intelligente des menaces ne fournissent pas de DDoS protection. ACFPprotège contre les tentatives frauduleuses de création de compte sur la page d'inscription de votre application. ATPprotège contre les tentatives de piratage de votre compte sur votre page de connexion. Bot Control se concentre sur l'application de modèles d'accès de type humain à l'aide de jetons et sur la limitation dynamique du débit lors des sessions client.

    Lorsque vous utilisez Shield Advanced avec l'DDoSatténuation automatique de la couche applicative activée, Shield Advanced répond automatiquement aux DDoS attaques détectées en créant, en évaluant et en déployant des solutions personnalisées AWS WAF mesures d'atténuation en votre nom. Pour plus d'informations sur Shield AdvancedAWS Shield Advanced vue d'ensemble, reportez-vous aux sections etAWS Shield Advanced protections de la couche d'application (couche 7).

  • Régler et configurer la gestion des jetons : ajustez la gestion des jetons sur le Web ACL pour optimiser l'expérience utilisateur.

  • Rejeter les demandes avec des spécifications d'hôte arbitraires : configurez vos ressources protégées pour exiger que Host les en-têtes des requêtes Web correspondent à la ressource ciblée. Vous pouvez accepter une valeur ou un ensemble de valeurs spécifique, par exemple myExampleHost.com etwww.myExampleHost.com, mais n'acceptez pas de valeurs arbitraires pour l'hôte.

  • Pour les équilibreurs de charge d'application qui sont à l'origine de CloudFront distributions, configurez CloudFront et AWS WAF pour une gestion correcte des jetons  : si vous associez votre site Web ACL à un Application Load Balancer et que vous déployez l'Application Load Balancer comme origine d' CloudFront une distribution, consultez. Configuration requise pour les équilibreurs de charge d'application qui sont des origines CloudFront

  • Testez et ajustez avant le déploiement : avant d'implémenter des modifications sur votre site WebACL, suivez les procédures de test et de réglage décrites dans ce guide pour vous assurer que vous obtenez le comportement que vous attendez. Cela est particulièrement important pour ces fonctionnalités payantes. Pour des conseils généraux, voirTester et régler votre AWS WAF protections. Pour obtenir des informations spécifiques aux groupes de règles gérés payants, reportez-vous aux Tester et déployer ATP sectionsTest et déploiement de l'ACFP, etTester et déployer AWS WAF Bot Control.