Test e implementazione di AWS WAF Bot Control

Questa sezione fornisce indicazioni generali per configurare e testare un'implementazione di AWS WAF Bot Control per il tuo sito. I passaggi specifici che sceglierai di seguire dipenderanno dalle tue esigenze, dalle tue risorse e dalle richieste web che ricevi.

Queste informazioni si aggiungono alle informazioni generali su test e ottimizzazione fornite all'indirizzoTestare e mettere a punto il tuo AWS WAF protezioni.

Nota

AWS Le Managed Rules sono progettate per proteggerti dalle minacce web più comuni. Se utilizzati in conformità con la documentazione, i gruppi di regole AWS Managed Rules aggiungono un altro livello di sicurezza per le applicazioni. Tuttavia, i gruppi di regole AWS Managed Rules non sono intesi come sostituti delle responsabilità in materia di sicurezza, che sono determinate dalle AWS risorse selezionate. Fai riferimento al modello di responsabilità condivisa per assicurarti che le tue risorse AWS siano adeguatamente protette.

Rischio legato al traffico di produzione

Prima di implementare l'implementazione di Bot Control per il traffico di produzione, testala e ottimizzala in un ambiente di staging o test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testa e ottimizza le regole in modalità di conteggio in base al traffico di produzione prima di attivarle.

Questa guida è destinata agli utenti che in generale sanno come creare e gestire ACL AWS WAF Web, regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida.

Per configurare e testare un'implementazione di Bot Control

Esegui questi passaggi prima in un ambiente di test, poi in produzione.

Aggiungi il gruppo di regole gestito da Bot Control

Nota
Ti vengono addebitati costi aggiuntivi quando utilizzi questo gruppo di regole gestito. Per ulteriori informazioni, consulta la sezione Prezzi di AWS WAF.

Aggiungi il gruppo di AWS regole gestito AWSManagedRulesBotControlRuleSet a un ACL web nuovo o esistente e configuralo in modo che non alteri il comportamento corrente dell'ACL web.
- Quando aggiungi il gruppo di regole gestito, modificalo e procedi come segue:
  - Nel riquadro Livello di ispezione, seleziona il livello di ispezione che desideri utilizzare.
    
    Comune: rileva una varietà di bot che si identificano automaticamente, come framework di web scraping, motori di ricerca e browser automatici. Le protezioni Bot Control a questo livello identificano i bot più comuni utilizzando tecniche di rilevamento dei bot tradizionali, come l'analisi statica dei dati delle richieste. Le regole etichettano il traffico proveniente da questi bot e bloccano quello che non possono verificare.
    
    Mirato: include le protezioni di livello comune e aggiunge il rilevamento mirato per bot sofisticati che non si identificano automaticamente. Le protezioni mirate mitigano l'attività dei bot utilizzando una combinazione di limitazioni della velocità e sfide legate al CAPTCHA e al browser in background.
    
    TGT_— Le regole che forniscono una protezione mirata hanno nomi che iniziano con. TGT_ Tutte le protezioni mirate utilizzano tecniche di rilevamento come l'interrogazione del browser, il rilevamento delle impronte digitali e l'euristica comportamentale per identificare il traffico di bot non valido.
    
    TGT_ML_— Le regole di protezione mirate che utilizzano l'apprendimento automatico hanno nomi che iniziano con. TGT_ML_ Queste regole utilizzano l'analisi automatizzata e basata sull'apprendimento automatico delle statistiche sul traffico dei siti Web per rilevare comportamenti anomali indicativi di un'attività distribuita e coordinata dei bot. AWS WAF analizza le statistiche sul traffico del sito Web, ad esempio timestamp, caratteristiche del browser e URL visitato in precedenza, per migliorare il modello di apprendimento automatico di Bot Control. Le funzionalità di machine learning sono abilitate per impostazione predefinita, ma puoi disabilitarle nella configurazione del gruppo di regole. Quando l'apprendimento automatico è disabilitato, AWS WAF non valuta queste regole.
    
    Per ulteriori informazioni su questa scelta, vedereAWS WAF Gruppo di regole Bot Control.
  - Nel riquadro Regole, apri il menu a discesa Sostituisci tutte le azioni delle regole e scegli. Count Con questa configurazione, AWS WAF valuta le richieste in base a tutte le regole del gruppo di regole e conta solo le corrispondenze risultanti, pur continuando ad aggiungere etichette alle richieste. Per ulteriori informazioni, consulta Sovrascrivere le azioni delle regole in un gruppo di regole.
    
    Con questo override, puoi monitorare il potenziale impatto delle regole di Bot Control sul tuo traffico, per determinare se desideri aggiungere eccezioni per cose come casi d'uso interni o bot desiderati.
- Posiziona il gruppo di regole in modo che venga valutato per ultimo nell'ACL Web, con un'impostazione di priorità numericamente più alta rispetto a qualsiasi altra regola o gruppo di regole che stai già utilizzando. Per ulteriori informazioni, consulta Impostazione della priorità delle regole in un Web ACL.
  
  In questo modo, la tua attuale gestione del traffico non viene interrotta. Ad esempio, se disponi di regole che rilevano traffico dannoso come SQL injection o cross-site scripting, continueranno a rilevare e registrare tali richieste. In alternativa, se disponi di regole che consentono il traffico noto e non dannoso, possono continuare a consentire tale traffico senza che venga bloccato dal gruppo di regole gestito da Bot Control. Potresti decidere di modificare l'ordine di elaborazione durante le attività di test e ottimizzazione, ma questo è un buon modo per iniziare.
Abilita la registrazione e le metriche per l'ACL web

Se necessario, configura la registrazione, la raccolta dei dati di Amazon Security Lake, il campionamento delle richieste e i CloudWatch parametri Amazon per l'ACL Web. Puoi utilizzare questi strumenti di visibilità per monitorare l'interazione del gruppo di regole gestito da Bot Control con il tuo traffico.
- Per ulteriori informazioni sulla registrazione, consulta Registrazione AWS WAF ACLtraffico web.
- Per informazioni su Amazon Security Lake, consulta Cos'è Amazon Security Lake? e Raccolta di dati dai AWS servizi nella guida per l'utente di Amazon Security Lake.
- Per informazioni sui CloudWatch parametri di Amazon, consultaMonitoraggio con Amazon CloudWatch.
- Per informazioni sul campionamento delle richieste web, consulta. Visualizzazione di un esempio di richieste Web
Associare l'ACL Web a una risorsa

Se l'ACL Web non è già associato a una risorsa, associala. Per informazioni, consulta Associare o dissociare un Web da un ACL AWS risorsa.
Monitora il traffico e la corrispondenza delle regole di Bot Control

Assicurati che il traffico scorra e che le regole del gruppo di regole gestito da Bot Control aggiungano etichette alle richieste web corrispondenti. Puoi vedere le etichette nei log e vedere le metriche dei bot e delle etichette nei parametri di Amazon CloudWatch . Nei log, le regole che hai sostituito per conteggiare nel gruppo di regole vengono visualizzate in ruleGroupList with action set to count e overriddenAction indicano l'azione della regola configurata che hai ignorato.

Nota
Il gruppo di regole gestito da Bot Control verifica i bot utilizzando gli indirizzi IP di. AWS WAF Se utilizzi Bot Control e hai verificato i bot che effettuano il routing attraverso un proxy o un sistema di bilanciamento del carico, potresti dover autorizzarli esplicitamente utilizzando una regola personalizzata. Per informazioni su come creare una regola personalizzata, consulta. Utilizzo degli indirizzi IP inoltrati in AWS WAF Per informazioni su come utilizzare la regola per personalizzare la gestione delle richieste web di Bot Control, consulta il passaggio successivo.

Esamina attentamente la gestione delle richieste web per eventuali falsi positivi che potresti dover mitigare con una gestione personalizzata. Per esempi di falsi positivi, vedere. Scenari di esempio di falsi positivi con AWS WAF Controllo dei bot
Personalizza la gestione delle richieste web di Bot Control

Se necessario, aggiungi le tue regole che consentono o bloccano esplicitamente le richieste, per modificare il modo in cui le regole di Bot Control le gestirebbero altrimenti.

Il modo in cui eseguire questa operazione dipende dal caso d'uso, ma le soluzioni più comuni sono le seguenti:
- Consenti esplicitamente le richieste con una regola che aggiungi prima del gruppo di regole gestito da Bot Control. In questo modo, le richieste consentite non raggiungono mai il gruppo di regole per la valutazione. Questo può aiutare a contenere il costo dell'utilizzo del gruppo di regole gestito da Bot Control.
- Escludi le richieste dalla valutazione di Bot Control aggiungendo un'istruzione scope-down all'interno dell'istruzione del gruppo di regole gestito da Bot Control. Funziona come l'opzione precedente. Può aiutare a contenere i costi dell'utilizzo del gruppo di regole gestito da Bot Control, poiché le richieste che non corrispondono all'istruzione scope-down non raggiungono mai la valutazione del gruppo di regole. Per informazioni sulle istruzioni scope-down, vedi. Utilizzo di istruzioni scope-down in AWS WAF
  
  Per esempi di , consulta le sezioni seguenti:
  - Esclusione dell'intervallo IP dalla gestione dei bot
  - Consentire il traffico proveniente da un bot che controlli
- Utilizza le etichette Bot Control nella gestione delle richieste per consentire o bloccare le richieste. Aggiungi una regola di corrispondenza delle etichette dopo il gruppo di regole gestito da Bot Control per filtrare le richieste etichettate che desideri consentire da quelle che desideri bloccare.
  
  Dopo il test, mantieni le relative regole di Bot Control in modalità count e mantieni le decisioni sulla gestione delle richieste nella tua regola personalizzata. Per informazioni sulle istruzioni label match, consultaDichiarazione della regola di corrispondenza delle etichette.
  
  Per esempi di questo tipo di personalizzazione, consulta quanto segue:
Per ulteriori esempi, consulta AWS WAF Esempi di Bot Control.
Se necessario, abilita le impostazioni del gruppo di regole gestito da Bot Control

A seconda della situazione, potresti aver deciso di lasciare alcune regole di Bot Control in modalità count o con un'azione diversa. Per le regole che desideri far eseguire così come sono configurate all'interno del gruppo di regole, abilita la normale configurazione delle regole. A tale scopo, modifica l'istruzione del gruppo di regole nell'ACL Web e apporta le modifiche nel riquadro Regole.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Falsi positivi con Bot Control

Esempi di Bot Control

Test e implementazione di AWS WAF Bot Control

Nota

Rischio legato al traffico di produzione

Per configurare e testare un'implementazione di Bot Control

Aggiungi il gruppo di regole gestito da Bot Control

Nota

Abilita la registrazione e le metriche per l'ACL web

Associare l'ACL Web a una risorsa

Monitora il traffico e la corrispondenza delle regole di Bot Control

Nota

Personalizza la gestione delle richieste web di Bot Control

Se necessario, abilita le impostazioni del gruppo di regole gestito da Bot Control