Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF

Ikuti praktik terbaik di bagian ini untuk implementasi fitur mitigasi ancaman cerdas yang paling efisien dan hemat biaya.

Menerapkan integrasi aplikasi JavaScript dan seluler SDKs - Menerapkan integrasi aplikasi untuk mengaktifkan set lengkapACFP,ATP, atau fungsionalitas Kontrol Bot dengan cara yang paling efektif. Grup aturan terkelola menggunakan token yang disediakan oleh SDKs untuk memisahkan lalu lintas klien yang sah dari lalu lintas yang tidak diinginkan di tingkat sesi. Integrasi aplikasi SDKs memastikan bahwa token ini selalu tersedia. Untuk detailnya, lihat berikut ini:
Gunakan integrasi untuk mengimplementasikan tantangan di klien Anda dan, untuk JavaScript, untuk menyesuaikan bagaimana CAPTCHA teka-teki disajikan kepada pengguna akhir Anda. Untuk detailnya, lihat Menggunakan integrasi aplikasi klien dengan AWS WAF.

Jika Anda menyesuaikan CAPTCHA teka-teki menggunakan JavaScript API dan Anda menggunakan CAPTCHA aturan tindakan di mana saja di web AndaACL, ikuti panduan untuk menangani AWS WAF CAPTCHArespon pada klien Anda diMenangani CAPTCHA respon dari AWS WAF. Panduan ini berlaku untuk setiap aturan yang menggunakan CAPTCHA tindakan, termasuk yang ada di grup aturan ACFP terkelola dan tingkat perlindungan yang ditargetkan dari grup aturan terkelola Kontrol Bot.
Batasi permintaan yang Anda kirim ke grup aturan ACFPATP,, dan Kontrol Bot — Anda dikenakan biaya tambahan untuk menggunakan mitigasi ancaman cerdas AWS Kelompok aturan Aturan Terkelola. Grup ACFP aturan memeriksa permintaan ke titik akhir pendaftaran dan pembuatan akun yang Anda tentukan. Grup ATP aturan memeriksa permintaan ke titik akhir login yang Anda tentukan. Grup aturan Bot Control memeriksa setiap permintaan yang mencapainya dalam ACL evaluasi web.

Pertimbangkan pendekatan berikut untuk mengurangi penggunaan kelompok aturan ini:
- Kecualikan permintaan dari inspeksi dengan pernyataan cakupan bawah dalam pernyataan grup aturan terkelola. Anda dapat melakukan ini dengan pernyataan nestable apa pun. Untuk informasi, lihat Menggunakan pernyataan scope-down di AWS WAF.
- Kecualikan permintaan dari inspeksi dengan menambahkan aturan sebelum grup aturan. Untuk aturan yang tidak dapat digunakan dalam pernyataan scope-down dan untuk situasi yang lebih kompleks, seperti pelabelan diikuti dengan pencocokan label, Anda mungkin ingin menambahkan aturan yang berjalan sebelum grup aturan. Untuk informasi selengkapnya, lihat Menggunakan pernyataan scope-down di AWS WAF dan Menggunakan pernyataan aturan di AWS WAF.
- Jalankan kelompok aturan setelah aturan yang lebih murah. Jika Anda memiliki standar lain AWS WAF aturan yang memblokir permintaan karena alasan apa pun, jalankan sebelum grup aturan berbayar ini. Untuk informasi selengkapnya tentang aturan dan manajemen aturan, lihatMenggunakan pernyataan aturan di AWS WAF.
- Jika Anda menggunakan lebih dari satu grup aturan terkelola mitigasi ancaman cerdas, jalankan dalam urutan berikut untuk menekan biaya: Kontrol Bot,,ATP. ACFP
Untuk informasi harga terperinci, lihat AWS WAF Harga.
Aktifkan tingkat perlindungan yang ditargetkan dari grup aturan Kontrol Bot selama lalu lintas web normal — Beberapa aturan tingkat perlindungan yang ditargetkan memerlukan waktu untuk menetapkan garis dasar untuk pola lalu lintas normal sebelum mereka dapat mengenali dan merespons pola lalu lintas yang tidak teratur atau berbahaya. Misalnya, TGT_ML_* aturan membutuhkan waktu hingga 24 jam untuk pemanasan.

Tambahkan perlindungan ini ketika Anda tidak mengalami serangan dan beri mereka waktu untuk menetapkan garis dasar mereka sebelum mengharapkan mereka merespons serangan dengan tepat. Jika Anda menambahkan aturan ini selama serangan, setelah serangan mereda, waktu untuk menetapkan garis dasar biasanya dari dua kali lipat menjadi tiga kali lipat waktu normal yang diperlukan, karena kemiringan yang ditambahkan oleh lalu lintas serangan. Untuk informasi tambahan tentang aturan dan waktu pemanasan yang mereka butuhkan, lihatDaftar aturan.
Untuk perlindungan penolakan layanan (DDoS) terdistribusi, gunakan DDoS mitigasi lapisan aplikasi otomatis Shield Advanced — Grup aturan mitigasi ancaman cerdas tidak memberikan perlindungan. DDoS ACFPmelindungi terhadap upaya pembuatan akun palsu ke halaman pendaftaran aplikasi Anda. ATPmelindungi terhadap upaya pengambilalihan akun ke halaman login Anda. Bot Control berfokus pada penegakan pola akses seperti manusia menggunakan token dan pembatasan laju dinamis pada sesi klien.

Saat Anda menggunakan Shield Advanced dengan DDoS mitigasi lapisan aplikasi otomatis diaktifkan, Shield Advanced secara otomatis merespons DDoS serangan yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan kustom AWS WAF mitigasi atas nama Anda. Untuk informasi selengkapnya tentang Shield Advanced, lihatAWS Shield Advanced ikhtisar, danMelindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF.
Sesuaikan dan konfigurasikan penanganan token — ACL Sesuaikan penanganan token web untuk pengalaman pengguna terbaik.
- Untuk mengurangi biaya pengoperasian dan meningkatkan pengalaman pengguna akhir Anda, sesuaikan waktu kekebalan manajemen token Anda ke waktu terlama yang diizinkan oleh persyaratan keamanan Anda. Ini membuat penggunaan CAPTCHA teka-teki dan tantangan diam seminimal mungkin. Untuk informasi, lihat Menyetel kedaluwarsa stempel waktu dan waktu kekebalan token di AWS WAF.
- Untuk mengaktifkan berbagi token antar aplikasi yang dilindungi, konfigurasikan daftar domain token untuk web AndaACL. Untuk informasi, lihat Menentukan domain token dan daftar domain di AWS WAF.
Tolak permintaan dengan spesifikasi host arbitrer — Konfigurasikan sumber daya yang dilindungi agar Host header dalam permintaan web cocok dengan sumber daya yang ditargetkan. Anda dapat menerima satu nilai atau satu set nilai tertentu, misalnya myExampleHost.com danwww.myExampleHost.com, tetapi tidak menerima nilai arbitrer untuk host.
Untuk Application Load Balancer yang merupakan asal untuk CloudFront distribusi, konfigurasi dan CloudFront AWS WAF untuk penanganan token yang tepat — Jika Anda mengaitkan web Anda ACL ke Application Load Balancer dan Anda menggunakan Application Load Balancer sebagai asal untuk CloudFront distribusi, lihat. Konfigurasi yang diperlukan untuk Application Load Balancer yang berasal CloudFront
Uji dan sesuaikan sebelum menerapkan — Sebelum Anda menerapkan perubahan apa pun pada web AndaACL, ikuti prosedur pengujian dan penyetelan dalam panduan ini untuk memastikan bahwa Anda mendapatkan perilaku yang Anda harapkan. Ini sangat penting untuk fitur-fitur berbayar ini. Untuk panduan umum, lihatMenguji dan menyetel AWS WAF perlindungan. Untuk informasi khusus tentang grup aturan terkelola berbayar, lihatMenguji dan menerapkan ACFP,Menguji dan menerapkan ATP, danMenguji dan menerapkan Kontrol AWS WAF Bot.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pembatasan tarif

Menggunakan token pada permintaan web