Test e implementazione di ACFP - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Test e implementazione di ACFP

Questa sezione fornisce linee guida generali per la configurazione e il test di un'implementazione di prevenzione delle AWS WAF frodi (ACFP) per la creazione di account Fraud Control per il tuo sito. I passaggi specifici che scegli di seguire dipenderanno dalle tue esigenze, dalle risorse e dalle richieste web che ricevi.

Queste informazioni si aggiungono alle informazioni generali su test e ottimizzazione fornite all'indirizzoTest e ottimizzazione delle protezioni AWS WAF.

Nota

AWS Le Managed Rules sono progettate per proteggerti dalle minacce web più comuni. Se utilizzati in conformità con la documentazione, i gruppi di regole AWS Managed Rules aggiungono un altro livello di sicurezza per le applicazioni. Tuttavia, i gruppi di regole AWS Managed Rules non sono intesi come sostituti delle responsabilità in materia di sicurezza, che sono determinate dalle AWS risorse selezionate. Fai riferimento al modello di responsabilità condivisa per assicurarti che le tue risorse AWS siano adeguatamente protette.

Rischio legato al traffico di produzione

Prima di implementare l'implementazione ACFP per il traffico di produzione, testala e ottimizzala in un ambiente di staging o di test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testa e ottimizza le regole in modalità di conteggio con il traffico di produzione prima di abilitarle.

AWS WAF fornisce credenziali di test che è possibile utilizzare per verificare la configurazione ACFP. Nella procedura seguente, configurerai un ACL web di prova per utilizzare il gruppo di regole gestito ACFP, configurerai una regola per acquisire l'etichetta aggiunta dal gruppo di regole e quindi eseguirai un tentativo di creazione dell'account utilizzando queste credenziali di test. Verificherai che il tuo ACL web abbia gestito correttamente il tentativo controllando i CloudWatch parametri di Amazon per il tentativo di creazione dell'account.

Questa guida è destinata agli utenti che sanno in generale come creare e gestire ACL AWS WAF Web, regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida.

Per configurare e testare un'implementazione della prevenzione AWS WAF delle frodi (ACFP) per la creazione di un account Fraud Control

Esegui questi passaggi prima in un ambiente di test, poi in produzione.

  1. Aggiungi il gruppo AWS WAF di regole gestito per la prevenzione delle frodi (ACFP) per la creazione di account di Fraud Control in modalità count
    Nota

    Ti vengono addebitati costi aggiuntivi quando utilizzi questo gruppo di regole gestito. Per ulteriori informazioni, consulta la sezione Prezzi di AWS WAF.

    Aggiungi il gruppo di regole AWS Managed Rules AWSManagedRulesACFPRuleSet a un ACL web nuovo o esistente e configuralo in modo che non alteri il comportamento corrente dell'ACL web. Per informazioni dettagliate sulle regole e le etichette per questo gruppo di regole, consulta. AWS WAF Gruppo di regole per la prevenzione delle frodi (ACFP) per la creazione di account Fraud Control

    • Quando aggiungi il gruppo di regole gestito, modificalo e procedi come segue:

      • Nel riquadro di configurazione del gruppo di regole, fornisci i dettagli delle pagine di registrazione e creazione dell'account dell'applicazione. Il gruppo di regole ACFP utilizza queste informazioni per monitorare le attività di accesso. Per ulteriori informazioni, consulta Aggiungere il gruppo di regole gestite ACFP all'ACL Web.

      • Nel riquadro Regole, apri il menu a discesa Sostituisci tutte le azioni delle regole e scegli. Count Con questa configurazione, AWS WAF valuta le richieste in base a tutte le regole del gruppo di regole e conta solo le corrispondenze risultanti, pur continuando ad aggiungere etichette alle richieste. Per ulteriori informazioni, consulta Sovrascrivere le azioni delle regole in un gruppo di regole.

        Con questo override, è possibile monitorare il potenziale impatto delle regole gestite ACFP per determinare se aggiungere eccezioni, ad esempio eccezioni per casi d'uso interni.

    • Posiziona il gruppo di regole in modo che venga valutato in base alle regole esistenti nell'ACL Web, con un'impostazione di priorità numericamente superiore a qualsiasi regola o gruppo di regole che stai già utilizzando. Per ulteriori informazioni, consulta Ordine di elaborazione delle regole e dei gruppi di regole in un ACL Web.

      In questo modo, la tua attuale gestione del traffico non viene interrotta. Ad esempio, se hai regole che rilevano il traffico dannoso come SQL injection o cross-site scripting, continueranno a rilevarlo e registrarlo. In alternativa, se disponi di regole che consentono il traffico noto e non dannoso, queste possono continuare a consentire tale traffico senza che venga bloccato dal gruppo di regole gestito ACFP. Potresti decidere di modificare l'ordine di elaborazione durante le attività di test e ottimizzazione.

  2. Implementa gli SDK di integrazione delle applicazioni

    Integra l' AWS WAF JavaScript SDK nei percorsi di registrazione e creazione dell'account del browser. AWS WAF fornisce anche SDK mobili per integrare dispositivi iOS e Android. Per ulteriori informazioni sugli SDK di integrazione, consulta. AWS WAF integrazione delle applicazioni client Per informazioni su questa raccomandazione, consultaPerché dovresti usare gli SDK di integrazione delle applicazioni con ACFP.

    Nota

    Se non riesci a utilizzare gli SDK per l'integrazione delle applicazioni, puoi testare il gruppo di regole ACFP modificandolo nell'ACL Web e rimuovendo l'override che hai inserito nella regola. AllRequests Ciò abilita l'impostazione delle Challenge azioni della regola, per garantire che le richieste includano un token di sfida valido.

    Eseguite questa operazione prima in un ambiente di test e poi con grande attenzione nell'ambiente di produzione. Questo approccio ha il potenziale di bloccare gli utenti. Ad esempio, se il percorso della pagina di registrazione non accetta richieste GET text/html, questa configurazione delle regole può bloccare efficacemente tutte le richieste nella pagina di registrazione.

  3. Abilita la registrazione e le metriche per l'ACL web

    Se necessario, configura la registrazione, la raccolta dei dati di Amazon Security Lake, il campionamento delle richieste e i CloudWatch parametri Amazon per l'ACL Web. Puoi utilizzare questi strumenti di visibilità per monitorare l'interazione del gruppo di regole gestito ACFP con il tuo traffico.

  4. Associare l'ACL Web a una risorsa

    Se l'ACL web non è già associato a una risorsa di test, associala. Per informazioni, consulta Associazione o dissociazione di un ACL Web con una risorsa AWS.

  5. Monitora il traffico e la corrispondenza delle regole ACFP

    Assicurati che il traffico normale fluisca e che le regole del gruppo di regole gestite da ACFP aggiungano etichette alle richieste web corrispondenti. Puoi vedere le etichette nei log e vedere i parametri ACFP e delle etichette nei parametri di Amazon. CloudWatch Nei log, le regole che hai sostituito per conteggiare nel gruppo di regole vengono visualizzate nel comando ruleGroupList con action set to count e overriddenAction indicano l'azione della regola configurata che hai ignorato.

  6. Verifica le funzionalità di controllo delle credenziali del gruppo di regole

    Esegui un tentativo di creazione di account utilizzando le credenziali di test compromised e verifica che il gruppo di regole corrisponda a tali credenziali come previsto.

    1. Accedi alla pagina di registrazione dell'account della risorsa protetta e prova ad aggiungere un nuovo account. Usa la seguente coppia AWS WAF di credenziali di test e inserisci un test

      • Utente: WAF_TEST_CREDENTIAL@wafexample.com

      • Password: WAF_TEST_CREDENTIAL_PASSWORD

      Queste credenziali di test sono classificate come credenziali compromesse e il gruppo di regole gestite ACFP aggiungerà l'awswaf:managed:aws:acfp:signal:credential_compromisedetichetta alla richiesta di creazione dell'account, che puoi vedere nei log.

    2. Nei registri ACL Web, cerca l'awswaf:managed:aws:acfp:signal:credential_compromisedetichetta nel labels campo delle voci di registro per la richiesta di creazione dell'account di prova. Per ulteriori informazioni sulla registrazione, consulta Registrazione del traffico AWS WAF ACL Web.

    Dopo aver verificato che il gruppo di regole acquisisca le credenziali compromesse come previsto, puoi adottare le misure necessarie per configurarne l'implementazione in base alle tue esigenze per la risorsa protetta.

  7. Per le CloudFront distribuzioni, verifica la gestione da parte del gruppo di regole dei tentativi di creazione di account in blocco

    Esegui questo test per ogni criterio di risposta riuscita configurato per il gruppo di regole ACFP. Attendi almeno 30 minuti tra un test e l'altro.

    1. Per ogni criterio di successo, identifica nella risposta un tentativo di creazione di account che abbia successo in base a quel criterio di successo. Quindi, da una singola sessione client, esegui almeno 5 tentativi di creazione dell'account con successo in meno di 30 minuti. Un utente normalmente crea un solo account sul tuo sito.

      Dopo la creazione del primo account avvenuta con successo, la VolumetricSessionSuccessfulResponse regola dovrebbe iniziare a corrispondere alle altre risposte alla creazione dell'account, etichettandole e conteggiandole in base all'azione sostituita dalla regola. La regola potrebbe non rispondere alla prima o due a causa della latenza.

    2. Nei registri ACL Web, cerca l'awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:highetichetta nel labels campo delle voci di registro per le richieste web di creazione dell'account di prova. Per ulteriori informazioni sulla registrazione, consulta Registrazione del traffico AWS WAF ACL Web.

    Questi test verificano che i criteri di successo corrispondano alle risposte, verificando che i conteggi di successo aggregati dalla regola superino la soglia della regola. Dopo aver raggiunto la soglia, se continui a inviare richieste di creazione di account dalla stessa sessione, la regola continuerà a corrispondere finché la percentuale di successo non scenderà al di sotto della soglia. Anche se la soglia viene superata, la regola corrisponde ai tentativi di creazione dell'account riusciti o falliti dall'indirizzo di sessione.

  8. Personalizza la gestione delle richieste web ACFP

    Se necessario, aggiungi le tue regole che consentono o bloccano esplicitamente le richieste, per modificare il modo in cui le regole ACFP le gestirebbero altrimenti.

    Ad esempio, puoi utilizzare le etichette ACFP per consentire o bloccare le richieste o per personalizzare la gestione delle richieste. È possibile aggiungere una regola di corrispondenza delle etichette dopo il gruppo di regole gestite ACFP per filtrare le richieste etichettate in base alla gestione che si desidera applicare. Dopo il test, mantieni le relative regole ACFP in modalità di conteggio e mantieni le decisioni sulla gestione delle richieste nella tua regola personalizzata. Per vedere un esempio, consulta Esempio ACFP: risposta personalizzata per credenziali compromesse.

  9. Rimuovi le regole di test e abilita le impostazioni del gruppo di regole gestito ACFP

    A seconda della situazione, potresti aver deciso di lasciare alcune regole ACFP in modalità conteggio. Per le regole che desideri eseguire secondo la configurazione configurata all'interno del gruppo di regole, disabilita la modalità di conteggio nella configurazione del gruppo di regole ACL Web. Al termine del test, puoi anche rimuovere le regole di corrispondenza delle etichette di test.

  10. Monitora e sintonizza

    Per assicurarti che le richieste web vengano gestite come desideri, monitora attentamente il traffico dopo aver abilitato la funzionalità ACFP che intendi utilizzare. Modificate il comportamento in base alle esigenze applicando le regole (rules count override) sul gruppo di regole e con le vostre regole.

Dopo aver terminato il test dell'implementazione del gruppo di regole ACFP, se non hai già integrato l' AWS WAF JavaScript SDK nelle pagine di registrazione e creazione dell'account del browser, ti consigliamo vivamente di farlo. AWS WAF fornisce anche SDK mobili per integrare dispositivi iOS e Android. Per ulteriori informazioni sugli SDK di integrazione, consulta. AWS WAF integrazione delle applicazioni client Per informazioni su questa raccomandazione, consultaPerché dovresti usare gli SDK di integrazione delle applicazioni con ACFP.