Testando e implantando o ACFP - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Testando e implantando o ACFP

Esta seção fornece orientação geral para configurar e testar uma implementação de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control para seu site. As etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e solicitações da web que você receber.

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em Testar e ajustar suas proteções do AWS WAF.

nota

Regras gerenciadas da AWS são projetadas para protegê-lo contra ameaças comuns da web. Quando usadas de acordo com a documentação, as regras gerenciadas da AWS adicionam outra camada de segurança para seus aplicativos. No entanto, os grupos de regras das regras gerenciadas da AWS não se destinam a substituir suas responsabilidades de segurança, que são determinadas pelos recursos da AWS que você selecionou. Consulte o Modelo de responsabilidade compartilhada para certificar-se de que seus recursos do AWS estejam adequadamente protegidos.

Risco de tráfego de produção

Antes de implantar sua implementação de ACFP para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las.

O AWS WAF fornece credenciais de teste que você pode usar para verificar sua configuração de ACFP. No procedimento a seguir, você configurará uma web ACL de teste para usar o grupo de regras gerenciadas do ACFP, configurará uma regra para capturar o rótulo adicionado pelo grupo de regras e, em seguida, executará uma tentativa de criação de conta usando essas credenciais de teste. Você verificará se sua web ACL gerenciou adequadamente a tentativa verificando as métricas do Amazon CloudWatch para a tentativa de criação da conta.

Essa orientação é destinada a usuários que geralmente sabem como criar e gerenciar :web ACLs, regras e grupos de regras do AWS WAF. Esses tópicos são abordados nas seções anteriores deste guia.

Para configurar e testar uma implementação de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

  1. Adicione o grupo de regras gerenciadas de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control no modo de contagem
    nota

    Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

    Adicione o AWSManagedRulesACFPRuleSet do grupo de regras gerenciadas da AWS a uma web ACL nova ou existente e configure-a para que ele não altere o comportamento atual da web ACL. Para obter detalhes sobre as regras e rótulos desse grupo de regras, consulte AWS WAF Fraud Control: criação de contas, prevenção de fraudes (ACFP), grupo de regras.

    • Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte:

      • No painel Configuração de grupo de regras, forneça os detalhes das páginas de registro e criação da conta do seu aplicativo. O grupo de regras do ACFP usa essas informações para monitorar as atividades de login. Para ter mais informações, consulte Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL.

      • No painel Regras, abra o menu suspenso Substituir todas as ações da regra e escolha Count. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para ter mais informações, consulte Substituir ações de regra para um grupo de regras.

        Com essa substituição, você pode monitorar o impacto potencial das regras gerenciadas do ACFP para determinar se deseja adicionar exceções, como exceções para casos de uso internos.

    • Posicione o grupo de regras para que ele seja avaliado de acordo com as regras existentes na web ACL, com uma configuração de prioridade que seja numericamente maior do que qualquer regra ou grupo de regras que você já esteja usando. Para ter mais informações, consulte Como definir a prioridade da regra em uma ACL da Web.

      Dessa forma, seu tratamento atual de tráfego não é interrompido. Por exemplo, se você tiver regras que detectem tráfego mal-intencionado, como injeção de SQL ou scripts entre sites, elas continuarão detectando e registrando isso. Como alternativa, se você tiver regras que permitem tráfego não malicioso conhecido, elas podem continuar permitindo esse tráfego, sem que ele seja bloqueado pelo grupo de regras gerenciadas do ACFP. Você pode decidir ajustar a ordem de processamento durante suas atividades de teste e ajuste.

  2. Implemente os SDKs de integração de aplicativos

    Integre o SDK para JavaScript do AWS WAF aos caminhos de registro e de criação de conta do seu navegador. O AWS WAF também fornece SDKs para dispositivos móveis para a integração com dispositivos iOS e Android. Para obter mais informações sobre SDKs de integração, consulte Integrações de aplicativos clientes em AWS WAF. Para obter mais informações sobre essa recomendação, consulte Como usar os SDKs de integração de aplicativos com a ACFP.

    nota

    Se você não conseguir usar os SDKs de integração de aplicativos, é possível testar o grupo de regras do ACFP editando-o na sua web ACL e removendo a substituição que você colocou na regra AllRequests. Isso ativa a configuração da ação de regra Challenge, para garantir que as solicitações incluam um token de desafio válido.

    Faça isso primeiro em um ambiente de teste e depois com muito cuidado em seu ambiente de produção. Essa abordagem tem o potencial de bloquear usuários. Por exemplo, se o caminho da página de registro não aceitar solicitações GET de texto/html, essa configuração de regra poderá bloquear efetivamente todas as solicitações na página de registro.

  3. Ative o registro de logs e as métricas para a ACL da Web

    Conforme necessário, configure o registro de logs, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e as métricas do Amazon CloudWatch para a ACL da Web. Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do ACFP com seu tráfego.

  4. Associar a web ACL a um recurso

    Se a web ACL ainda não estiver associada a um recurso de teste, associe-a. Para ter mais informações, consulte Associar ou desassociar uma web ACL com um recurso AWS.

  5. Monitore o tráfego e as correspondências de regras do ACFP

    Verifique se o tráfego normal está fluindo e se as regras do grupo de regras gerenciadas do ACFP estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos logs e ver as métricas de rótulo e ACFP nas métricas do Amazon CloudWatch. Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em ruleGroupList com action definido para contar e com overriddenAction indicando a ação de regra configurada que você substituiu.

  6. Teste os recursos de verificação de credenciais do grupo de regras

    Execute uma tentativa de criação de conta com credenciais comprometidas de teste e verifique se o grupo de regras corresponde a elas conforme o esperado.

    1. Acesse a página de registro da conta do seu recurso protegido e tente adicionar uma nova conta. Use o seguinte par de credenciais de teste do AWS WAF e insira qualquer teste

      • Usuário: WAF_TEST_CREDENTIAL@wafexample.com

      • Senha: WAF_TEST_CREDENTIAL_PASSWORD

      Essas credenciais de teste são categorizadas como credenciais comprometidas, e o grupo de regras gerenciadas do ACFP adicionará o rótulo awswaf:managed:aws:acfp:signal:credential_compromised à solicitação de criação da conta, que você pode ver nos logs.

    2. Nos seus logs de web ACL, procure o rótulo awswaf:managed:aws:acfp:signal:credential_compromised no campo labels nas entradas de log da solicitação de criação da sua conta de teste. Para obter informações sobre registro em log, consulte Log de tráfego da web ACL AWS WAF.

    Depois de verificar se o grupo de regras captura as credenciais comprometidas conforme o esperado, você pode tomar medidas para configurar sua implementação conforme necessário para seu recurso protegido.

  7. Para distribuições do CloudFront, teste o gerenciamento de tentativas de criação de contas em massa pelo grupo de regras

    Execute esse teste para cada critério de resposta bem-sucedida que você configurou para o grupo de regras do ACFP. Espere pelo menos 30 minutos entre os testes.

    1. Para cada um dos seus critérios de sucesso, identifique uma tentativa de criação de conta que será bem-sucedida com esses critérios de sucesso na resposta. Em seguida, a partir de uma única sessão de cliente, realize pelo menos cinco tentativas bem-sucedidas de criação de conta em menos de 30 minutos. Normalmente, um usuário criaria apenas uma única conta em seu site.

      Após a primeira criação bem-sucedida da conta, a regra VolumetricSessionSuccessfulResponse deve começar a se comparar com o resto das respostas de criação da conta, rotulando-as e contando-as, com base na substituição da ação de regra. A regra pode perder a primeira ou duas primeiras devido à latência.

    2. Nos seus logs de web ACL, procure o rótulo awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high no campo labels nas entradas de log das solicitações da web de criação da sua conta de teste. Para obter informações sobre registro em log, consulte Log de tráfego da web ACL AWS WAF.

    Esses testes verificam se seus critérios de sucesso correspondem às suas respostas, verificando se as contagens bem-sucedidas agregadas pela regra ultrapassam o limite da regra. Depois de atingir o limite, se você continuar enviando solicitações de criação de conta da mesma sessão, a regra continuará a ser compatível até que a taxa de sucesso caia abaixo do limite. Embora o limite seja excedido, a regra corresponde às tentativas bem-sucedidas ou malsucedidas de criação de conta a partir do endereço da sessão.

  8. Personalize o tratamento de solicitações da web do ACFP

    Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras do ACFP lidariam com elas.

    Por exemplo, você pode usar rótulos do ACFP para permitir ou bloquear solicitações ou para personalizar o tratamento de solicitações. Você pode adicionar uma regra de correspondência de rótulos após o grupo de regras gerenciadas do ACFP para filtrar solicitações rotuladas para o tratamento que você deseja aplicar. Após o teste, mantenha as regras do ACFP relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. Para ver um exemplo, consulte ACFPexemplo: resposta personalizada para credenciais comprometidas.

  9. Remova suas regras de teste e ative as configurações do grupo de regras gerenciadas do ACFP

    Dependendo da sua situação, você pode ter decidido deixar algumas regras do ACFP no modo de contagem. Para as regras que você deseja executar conforme configuradas dentro do grupo de regras, desative o modo de contagem na configuração do grupo de regras da web ACL. Ao terminar o teste, você também pode remover as regras de correspondência do rótulo de teste.

  10. Monitore e ajuste

    Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a funcionalidade do ACFP que você pretende usar. Ajuste o comportamento conforme necessário com a substituição da contagem de regras no grupo de regras e com suas próprias regras.

Depois de terminar de testar a implementação do grupo de regras do ACFP, se você ainda não tiver integrado o SDK JavaScript do AWS WAF às páginas de registro e criação de conta do seu navegador, é altamente recomendável que você faça isso. O AWS WAF também fornece SDKs móveis para integrar dispositivos iOS e Android. Para obter mais informações sobre SDKs de integração, consulte Integrações de aplicativos clientes em AWS WAF. Para obter mais informações sobre essa recomendação, consulte Como usar os SDKs de integração de aplicativos com a ACFP.