Le migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF

Segui le best practice riportate in questa sezione per l'implementazione più efficiente ed economica delle funzionalità intelligenti di mitigazione delle minacce.

  • Implementa l'integrazione delle JavaScript applicazioni mobili SDKs: implementa l'integrazione delle applicazioni per abilitare il set completo di ACFP funzionalità o Bot Control nel modo più efficace possibile. ATP I gruppi di regole gestiti utilizzano i token forniti da SDKs per separare il traffico client legittimo dal traffico indesiderato a livello di sessione. L'integrazione delle applicazioni SDKs garantisce che questi token siano sempre disponibili. Per ulteriori dettagli, consultare la sezione seguente:

    Utilizza le integrazioni per implementare le sfide del tuo cliente e, per esempio JavaScript, per personalizzare il modo in cui i CAPTCHA puzzle vengono presentati agli utenti finali. Per informazioni dettagliate, consultare Integrazioni di applicazioni client in AWS WAF.

    Se personalizzi i CAPTCHA puzzle usando JavaScript API e usi il CAPTCHA rule action ovunque nel tuo sito webACL, segui le istruzioni per la gestione dei AWS WAF CAPTCHArisposta nel tuo cliente all'indirizzoGestire una CAPTCHA risposta da AWS WAF. Questa guida si applica a tutte le regole che utilizzano il CAPTCHA azioni, incluse quelle incluse nel gruppo di regole ACFP gestito e il livello di protezione mirato del gruppo di regole gestito da Bot Control.

  • Limita le richieste che invii ACFP ai gruppi di regole Bot Control e Bot Control: dovrai sostenere costi aggiuntivi per l'utilizzo della mitigazione intelligente delle minacce ATP AWS Gruppi di regole gestite. Il gruppo di ACFP regole esamina le richieste agli endpoint di registrazione e creazione degli account specificati. Il gruppo di ATP regole esamina le richieste all'endpoint di accesso specificato. Il gruppo di regole Bot Control esamina ogni richiesta che gli perviene nella valutazione web. ACL

    Considerate i seguenti approcci per ridurre l'uso di questi gruppi di regole:

    • Escludi le richieste dall'ispezione con un'istruzione scope-down nell'istruzione del gruppo di regole gestito. Puoi farlo con qualsiasi istruzione nestable. Per informazioni, consultare Utilizzo di istruzioni scope-down in AWS WAF.

    • Escludi le richieste dall'ispezione aggiungendo regole prima del gruppo di regole. Per le regole che non è possibile utilizzare in un'istruzione riportata verso il basso e per situazioni più complesse, come l'etichettatura seguita dalla corrispondenza delle etichette, è possibile aggiungere regole che precedono i gruppi di regole. Per informazioni, consulta Utilizzo di istruzioni scope-down in AWS WAF e Utilizzo delle istruzioni delle regole in AWS WAF.

    • Esegui i gruppi di regole in base a regole meno costose. Se hai altri standard AWS WAF regole che bloccano le richieste per qualsiasi motivo, eseguile prima di questi gruppi di regole a pagamento. Per ulteriori informazioni sulle regole e sulla gestione delle regole, vedereUtilizzo delle istruzioni delle regole in AWS WAF.

    • Se utilizzi più di uno dei gruppi di regole gestiti per la mitigazione intelligente delle minacce, eseguili nell'ordine seguente per contenere i costi: Bot Control,ATP,ACFP.

    Per informazioni dettagliate sui prezzi, consulta AWS WAF Prezzi.

  • Abilita il livello di protezione mirato del gruppo di regole Bot Control durante il normale traffico web: alcune regole del livello di protezione mirato richiedono tempo per stabilire le linee di base per i normali schemi di traffico prima di poter riconoscere e rispondere a modelli di traffico irregolari o dannosi. Ad esempio, le TGT_ML_* regole richiedono fino a 24 ore per riscaldarsi.

    Aggiungi queste protezioni quando non subisci un attacco e concedi loro il tempo di stabilire le proprie linee di base prima di aspettarsi che rispondano in modo appropriato agli attacchi. Se si aggiungono queste regole durante un attacco, dopo che l'attacco si è placato, il tempo necessario per stabilire una linea di base è in genere dal doppio al triplo del tempo normalmente richiesto, a causa della distorsione causata dal traffico di attacco. Per ulteriori informazioni sulle regole e sugli eventuali tempi di riscaldamento richiesti, consulta. Elenco delle regole

  • Per la protezione da denial of service (DDoS) distribuita, utilizza la DDoS mitigazione automatica del livello di applicazione Shield Advanced: i gruppi di regole di mitigazione intelligente delle minacce non forniscono protezione. DDoS ACFPprotegge dai tentativi fraudolenti di creazione di account sulla pagina di registrazione dell'applicazione. ATPprotegge dai tentativi di acquisizione dell'account sulla pagina di accesso. Bot Control si concentra sull'applicazione di modelli di accesso simili a quelli umani utilizzando token e limiti dinamici della velocità nelle sessioni client.

    Quando si utilizza Shield Advanced con la DDoS mitigazione automatica a livello di applicazione abilitata, Shield Advanced risponde automaticamente DDoS agli attacchi rilevati creando, valutando e implementando soluzioni personalizzate AWS WAF mitigazioni per tuo conto. Per ulteriori informazioni su Shield Advanced, vedereAWS Shield Advanced panoramica, eProtezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF.

  • Ottimizza e configura la gestione dei token: modifica la gestione dei token sul Web ACL per la migliore esperienza utente.

  • Rifiuta le richieste con specifiche arbitrarie dell'host: configura le risorse protette in modo che le Host intestazioni delle richieste Web corrispondano alla risorsa di destinazione. Puoi accettare un valore o un set specifico di valori, ad esempio myExampleHost.com ewww.myExampleHost.com, ma non accettare valori arbitrari per l'host.

  • Per gli Application Load Balancer che sono l'origine delle CloudFront distribuzioni, configura e CloudFront AWS WAF per una corretta gestione dei token: se si associa il Web ACL a un Application Load Balancer e si implementa l'Application Load Balancer come origine per CloudFront una distribuzione, vedere. Configurazione richiesta per Application Load Balancer che sono origini CloudFront

  • Test e ottimizzazione prima della distribuzione: prima di implementare qualsiasi modifica al WebACL, segui le procedure di test e ottimizzazione riportate in questa guida per assicurarti di ottenere il comportamento previsto. Ciò è particolarmente importante per queste funzionalità a pagamento. Per indicazioni generali, vedereTestare e mettere a punto il tuo AWS WAF protezioni. Per informazioni specifiche sui gruppi di regole gestite a pagamentoTest e implementazione di ACFP, vedereTest e implementazione dell'ATP, eTest e implementazione di AWS WAF Bot Control.