Menguji dan menerapkan ACFP - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menguji dan menerapkan ACFP

Bagian ini memberikan panduan umum untuk mengonfigurasi dan menguji implementasi pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP) untuk situs Anda. Langkah-langkah spesifik yang Anda pilih untuk diikuti akan tergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima.

Informasi ini merupakan tambahan dari informasi umum tentang pengujian dan penyetelan yang disediakan diMenguji dan menyetel AWS WAF perlindungan.

catatan

AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat Model Tanggung Jawab Bersama untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar.

Risiko lalu lintas produksi

Sebelum Anda menerapkan implementasi ACFP Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya.

AWS WAF menyediakan kredensyal pengujian yang dapat Anda gunakan untuk memverifikasi konfigurasi ACFP Anda. Dalam prosedur berikut, Anda akan mengonfigurasi ACL web uji untuk menggunakan grup aturan terkelola ACFP, mengonfigurasi aturan untuk menangkap label yang ditambahkan oleh grup aturan, dan kemudian menjalankan upaya pembuatan akun menggunakan kredenal pengujian ini. Anda akan memverifikasi bahwa ACL web Anda telah mengelola upaya dengan benar dengan memeriksa CloudWatch metrik Amazon untuk upaya pembuatan akun.

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola ACL AWS WAF web, aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini.

Untuk mengkonfigurasi dan menguji implementasi pencegahan AWS WAF penipuan (ACFP) pembuatan akun Kontrol Penipuan

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

  1. Tambahkan grup aturan AWS WAF terkelola pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan dalam mode hitung
    catatan

    Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat Harga AWS WAF.

    Tambahkan grup aturan Aturan AWS Terkelola AWSManagedRulesACFPRuleSet ke ACL web baru atau yang sudah ada dan konfigurasikan agar tidak mengubah perilaku ACL web saat ini. Untuk detail tentang aturan dan label untuk grup aturan ini, lihatAWS WAF Fraud Control pembuatan akun pencegahan penipuan (ACFP) kelompok aturan.

    • Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut:

      • Di panel konfigurasi grup Aturan, berikan detail halaman pendaftaran dan pembuatan akun aplikasi Anda. Grup aturan ACFP menggunakan informasi ini untuk memantau aktivitas masuk. Untuk informasi selengkapnya, lihat Menambahkan grup aturan ACFP terkelola ke web Anda ACL.

      • Di panel Aturan, buka dropdown Override all rule actions dan pilih. Count Dengan konfigurasi ini, AWS WAF mengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat Mengesampingkan tindakan aturan dalam grup aturan.

        Dengan penggantian ini, Anda dapat memantau dampak potensial dari aturan terkelola ACFP untuk menentukan apakah Anda ingin menambahkan pengecualian, seperti pengecualian untuk kasus penggunaan internal.

    • Posisikan grup aturan sehingga dievaluasi setelah aturan yang ada di ACL web, dengan pengaturan prioritas yang secara numerik lebih tinggi daripada aturan atau grup aturan apa pun yang sudah Anda gunakan. Untuk informasi selengkapnya, lihat Menetapkan prioritas aturan di web ACL.

      Dengan cara ini, penanganan lalu lintas Anda saat ini tidak terganggu. Misalnya, jika Anda memiliki aturan yang mendeteksi lalu lintas berbahaya seperti injeksi SQL atau skrip lintas situs, mereka akan terus mendeteksi dan mencatatnya. Sebagai alternatif, jika Anda memiliki aturan yang memungkinkan lalu lintas non-berbahaya yang diketahui, mereka dapat terus mengizinkan lalu lintas itu, tanpa diblokir oleh grup aturan terkelola ACFP. Anda mungkin memutuskan untuk menyesuaikan urutan pemrosesan selama aktivitas pengujian dan penyetelan Anda.

  2. Menerapkan SDK integrasi aplikasi

    Integrasikan AWS WAF JavaScript SDK ke dalam jalur pendaftaran akun dan pembuatan akun browser Anda. AWS WAF juga menyediakan SDK seluler untuk mengintegrasikan perangkat iOS dan Android. Untuk informasi selengkapnya tentang SDK integrasi, lihatIntegrasi aplikasi klien di AWS WAF. Untuk informasi tentang rekomendasi ini, lihatMenggunakan integrasi aplikasi SDKs dengan ACFP.

    catatan

    Jika Anda tidak dapat menggunakan SDK integrasi aplikasi, Anda dapat menguji grup aturan ACFP dengan mengeditnya di ACL web Anda dan menghapus penggantian yang Anda tempatkan pada aturan. AllRequests Ini memungkinkan pengaturan Challenge tindakan aturan, untuk memastikan bahwa permintaan menyertakan token tantangan yang valid.

    Lakukan ini terlebih dahulu di lingkungan pengujian dan kemudian dengan sangat hati-hati di lingkungan produksi Anda. Pendekatan ini memiliki potensi untuk memblokir pengguna. Misalnya, jika jalur halaman pendaftaran Anda tidak menerima permintaan GET teks/html, konfigurasi aturan ini dapat secara efektif memblokir semua permintaan di halaman pendaftaran.

  3. Aktifkan pencatatan dan metrik untuk ACL web

    Jika diperlukan, konfigurasikan pencatatan, pengumpulan data Amazon Security Lake, pengambilan sampel permintaan, dan CloudWatch metrik Amazon untuk ACL web. Anda dapat menggunakan alat visibilitas ini untuk memantau interaksi grup aturan terkelola ACFP dengan lalu lintas Anda.

  4. Kaitkan ACL web dengan sumber daya

    Jika ACL web belum dikaitkan dengan sumber daya pengujian, kaitkan. Untuk informasi, lihat Mengaitkan atau memisahkan web dengan ACL AWS sumber daya.

  5. Pantau lalu lintas dan kecocokan aturan ACFP

    Pastikan lalu lintas normal Anda mengalir dan aturan grup aturan terkelola ACFP menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat metrik ACFP dan label di metrik Amazon. CloudWatch Di log, aturan yang telah Anda ganti untuk dihitung dalam grup aturan muncul di action set to count, dan ruleGroupList dengan overriddenAction menunjukkan tindakan aturan yang dikonfigurasi yang Anda timpa.

  6. Uji kemampuan pemeriksaan kredensi grup aturan

    Lakukan upaya pembuatan akun dengan menguji kredensi yang dikompromikan dan periksa apakah grup aturan cocok dengan mereka seperti yang diharapkan.

    1. Akses halaman pendaftaran akun sumber daya terlindungi Anda dan coba tambahkan akun baru. Gunakan pasangan kredensi AWS WAF uji berikut dan masukkan tes apa pun

      • Pengguna: WAF_TEST_CREDENTIAL@wafexample.com

      • Kata Sandi: WAF_TEST_CREDENTIAL_PASSWORD

      Kredensi pengujian ini dikategorikan sebagai kredenal yang dikompromikan, dan grup aturan terkelola ACFP akan menambahkan awswaf:managed:aws:acfp:signal:credential_compromised label ke permintaan pembuatan akun, yang dapat Anda lihat di log.

    2. Di log ACL web Anda, cari awswaf:managed:aws:acfp:signal:credential_compromised label di labels bidang pada entri log untuk permintaan pembuatan akun pengujian Anda. Untuk informasi tentang pencatatan, lihatPencatatan log AWS WAF ACLlalu lintas web.

    Setelah memverifikasi bahwa grup aturan menangkap kredensional yang dikompromikan seperti yang diharapkan, Anda dapat mengambil langkah-langkah untuk mengonfigurasi implementasinya sesuai kebutuhan untuk sumber daya yang dilindungi.

  7. Untuk CloudFront distribusi, uji pengelolaan grup aturan atas upaya pembuatan akun massal

    Jalankan pengujian ini untuk setiap kriteria respons sukses yang Anda konfigurasikan untuk grup aturan ACFP. Tunggu setidaknya 30 menit di antara tes.

    1. Untuk setiap kriteria keberhasilan Anda, identifikasi upaya pembuatan akun yang akan berhasil dengan kriteria keberhasilan tersebut sebagai tanggapan. Kemudian, dari satu sesi klien, lakukan setidaknya 5 upaya pembuatan akun yang berhasil dalam waktu kurang dari 30 menit. Seorang pengguna biasanya hanya akan membuat satu akun di situs Anda.

      Setelah pembuatan akun pertama yang berhasil, VolumetricSessionSuccessfulResponse aturan harus mulai cocok dengan respons pembuatan akun lainnya, memberi label dan menghitungnya, berdasarkan penggantian tindakan aturan Anda. Aturan mungkin melewatkan satu atau dua yang pertama karena latensi.

    2. Di log ACL web Anda, cari awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high label di labels bidang pada entri log untuk permintaan web pembuatan akun pengujian Anda. Untuk informasi tentang pencatatan, lihatPencatatan log AWS WAF ACLlalu lintas web.

    Tes ini memverifikasi bahwa kriteria keberhasilan Anda sesuai dengan tanggapan Anda dengan memeriksa bahwa jumlah yang berhasil dikumpulkan oleh aturan melampaui ambang batas aturan. Setelah Anda mencapai ambang batas, jika Anda terus mengirim permintaan pembuatan akun dari sesi yang sama, aturan akan terus cocok hingga tingkat keberhasilan turun di bawah ambang batas. Meskipun ambang batas terlampaui, aturan tersebut cocok dengan upaya pembuatan akun yang berhasil atau gagal dari alamat sesi.

  8. Sesuaikan penanganan permintaan web ACFP

    Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan ACFP akan menanganinya.

    Misalnya, Anda dapat menggunakan label ACFP untuk mengizinkan atau memblokir permintaan atau untuk menyesuaikan penanganan permintaan. Anda dapat menambahkan aturan pencocokan label setelah grup aturan terkelola ACFP untuk memfilter permintaan berlabel untuk penanganan yang ingin Anda terapkan. Setelah pengujian, pertahankan aturan ACFP terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan kustom Anda. Sebagai contoh, lihat ACFPcontoh: Respons khusus untuk kredensi yang disusupi.

  9. Hapus aturan pengujian Anda dan aktifkan pengaturan grup aturan terkelola ACFP

    Tergantung pada situasi Anda, Anda mungkin telah memutuskan bahwa Anda ingin meninggalkan beberapa aturan ACFP dalam mode hitungan. Untuk aturan yang ingin Anda jalankan seperti yang dikonfigurasi di dalam grup aturan, nonaktifkan mode hitungan dalam konfigurasi grup aturan ACL web. Setelah selesai menguji, Anda juga dapat menghapus aturan pencocokan label pengujian.

  10. Memantau dan menyetel

    Untuk memastikan bahwa permintaan web ditangani seperti yang Anda inginkan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsionalitas ACFP yang ingin Anda gunakan. Sesuaikan perilaku sesuai kebutuhan dengan penggantian hitungan aturan pada grup aturan dan dengan aturan Anda sendiri.

Setelah Anda selesai menguji implementasi grup aturan ACFP Anda, jika Anda belum mengintegrasikan AWS WAF JavaScript SDK ke halaman pendaftaran akun dan pembuatan akun browser Anda, kami sangat menyarankan Anda melakukannya. AWS WAF juga menyediakan SDK seluler untuk mengintegrasikan perangkat iOS dan Android. Untuk informasi selengkapnya tentang SDK integrasi, lihatIntegrasi aplikasi klien di AWS WAF. Untuk informasi tentang rekomendasi ini, lihatMenggunakan integrasi aplikasi SDKs dengan ACFP.