ATP でアプリケーション統合 SDK を使用する理由 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ATP でアプリケーション統合 SDK を使用する理由

ATP マネージドルールグループには、アプリケーション統合 SDK が生成するチャレンジトークンが必要です。トークンは、ルールグループが提供するすべての保護を有効にします。

ATP ルールグループを最も効果的に使用するためにも、アプリケーション統合 SDK を実装することを強くお勧めします。チャレンジスクリプトが取得するトークンからのメリットを ATP ルールグループが得るには、ATP ルールグループの前にチャレンジスクリプトを実行する必要があります。アプリケーション統合 SDK を使用すると、これが自動的に行われます。SDK を使用できない場合は、代替手段として、ATP ルールグループが検査するすべてのリクエストに対して CAPTCHA または Challenge ルールアクションを実行するようにウェブ ACL を設定することができます。Challenge または CAPTCHA ルールアクションを使用すると、追加料金が発生する場合があります。料金の詳細については、「AWS WAF の料金」を参照してください。

トークンを必要としない ATP ルールグループの機能

ウェブリクエストにトークンが含まれていないときは、ATP マネージドルールグループ以下のタイプのトラフィックをブロックできます。

  • 多数のログインリクエストを行う単一の IP アドレス。

  • 短時間で多数の失敗したログインリクエストが行われた単一の IP アドレス。

  • 同じユーザー名を使用してもパスワードを変更してパスワードトラバーサルでログイン試行。

トークンを必要とする ATP ルールグループの機能

チャレンジトークンで提供される情報により、ルールグループとクライアントアプリケーションセキュリティ全体の機能が拡張されます。

このトークンは、ウェブリクエストごとにクライアント情報を提供します。これにより、ATP ルールグループは、正規のクライアントセッションと動作の悪いクライアントセッションが両方とも単一の IP アドレスから発信された場合でも、前者を後者から分離できます。ルールグループは、トークン内の情報を使用してクライアントセッションリクエストの動作を集約し、微調整した検出および軽減を実現します。

トークンがウェブリクエストで使用可能な場合、ATP ルールグループは次の追加カテゴリのクライアントをセッションレベルで検出してブロックできます。

  • SDK が管理するサイレントチャレンジに失敗するクライアントセッション。

  • ユーザー名またはパスワードを経由するクライアントセッション。これはクレデンシャルスタッフィングとも呼ばれます。

  • 盗まれた認証情報を繰り返し使用してログインするクライアントセッション。

  • ログインに長時間かかるクライアントセッション。

  • 多数のログインリクエストを行うクライアントセッション。ATP ルールグループは、IP AWS WAF アドレスでクライアントをブロックできるレートベースのルールよりもクライアントを分離しやすくなります。ATP ルールグループでは、より低いしきい値も使用されています。

  • 短時間で多数の失敗したログインリクエストが行われたクライアントセッション。この機能は、保護対象の Amazon CloudFront ディストリビューションで使用できます。

ルールグループ機能の情報については、「AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ」を参照してください。

SDK の詳細については、「AWS WAF クライアントアプリケーション統合」を参照してください。 AWS WAF トークンの詳細については、を参照してくださいAWS WAF ウェブリクエストトークン。ルールアクションの情報については、「CAPTCHAChallengeの および AWS WAF」を参照してください。