SDKs とのアプリケーション統合の使用 ATP - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SDKs とのアプリケーション統合の使用 ATP

このセクションでは、 SDKsとのアプリケーション統合を使用する方法について説明しますATP。

ATP マネージドルールグループには、アプリケーション統合がSDKs生成するチャレンジトークンが必要です。トークンは、ルールグループが提供するすべての保護を有効にします。

ATP ルールグループを最も効果的に使用するためにSDKs、アプリケーション統合 を実装することを強くお勧めします。チャレンジスクリプトが取得するトークンをATPルールグループが活用するには、ルールグループの前にチャレンジスクリプトを実行する必要があります。これは、アプリケーション統合 で自動的に行われますSDKs。を使用できない場合はSDKs、 を実行するACLようにウェブを別の方法で設定できます。Challenge または CAPTCHA ルールグループによって検査されるすべてのリクエストに対する ATP ルールアクション。以下を使用 Challenge または CAPTCHA ルールアクションには追加料金が発生する場合があります。料金の詳細については、「」を参照してください。 AWS WAF 料金

トークンを必要としないATPルールグループの機能

ウェブリクエストにトークンがない場合、ATPマネージドルールグループは次のタイプのトラフィックをブロックできます。

  • 多数のログインリクエストを行う単一の IP アドレス。

  • 短時間で多数の失敗したログインリクエストが行われた単一の IP アドレス。

  • 同じユーザー名を使用してもパスワードを変更してパスワードトラバーサルでログイン試行。

トークンを必要とするATPルールグループの機能

チャレンジトークンで提供される情報により、ルールグループとクライアントアプリケーションセキュリティ全体の機能が拡張されます。

トークンは、各ウェブリクエストでクライアント情報を提供します。これにより、ATPルールグループは、正規のクライアントセッションと動作の悪いクライアントセッションを、両方が単一の IP アドレスから発信された場合でも分離できます。ルールグループは、トークン内の情報を使用してクライアントセッションリクエストの動作を集約し、微調整した検出および軽減を実現します。

トークンがウェブリクエストで利用可能になると、ATPルールグループはセッションレベルで次の追加のカテゴリのクライアントを検出してブロックできます。

  • がSDKs管理するサイレントチャレンジに失敗するクライアントセッション。

  • ユーザー名またはパスワードを経由するクライアントセッション。これはクレデンシャルスタッフィングとも呼ばれます。

  • 盗まれた認証情報を繰り返し使用してログインするクライアントセッション。

  • ログインに長時間かかるクライアントセッション。

  • 多数のログインリクエストを行うクライアントセッション。ATP ルールグループは、 よりも優れたクライアント分離を提供します。 AWS WAF レートベースのルール。IP アドレスでクライアントをブロックできます。ATP ルールグループも低いしきい値を使用します。

  • 短時間で多数の失敗したログインリクエストが行われたクライアントセッション。この機能は、保護された Amazon CloudFront ディストリビューションで使用できます。

ルールグループ機能の情報については、「AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ」を参照してください。

の詳細については、SDKs「」を参照してくださいでのクライアントアプリケーション統合の使用 AWS WAF。参考情報 AWS WAF トークンについては、「」を参照してくださいでのウェブリクエストでのトークンの使用 AWS WAF。ルールアクションの情報については、「使用 CAPTCHA また、Challenge in AWS WAF」を参照してください。