Testando e implantando o ACFP - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Testando e implantando o ACFP

Esta seção fornece orientação geral para configurar e testar uma implementação de prevenção de AWS WAF fraudes na criação de contas de controle de fraudes (ACFP) para seu site. As etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e solicitações da web que você receber.

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em Testando e ajustando suas AWS WAF proteções.

nota

AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de regras AWS gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o Modelo de Responsabilidade Compartilhada para garantir que seus recursos AWS estejam devidamente protegidos.

Risco de tráfego de produção

Antes de implantar sua implementação de ACFP para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las.

AWS WAF fornece credenciais de teste que você pode usar para verificar sua configuração de ACFP. No procedimento a seguir, você configurará uma web ACL de teste para usar o grupo de regras gerenciadas do ACFP, configurará uma regra para capturar o rótulo adicionado pelo grupo de regras e, em seguida, executará uma tentativa de criação de conta usando essas credenciais de teste. Você verificará se sua ACL da web gerenciou adequadamente a tentativa verificando as CloudWatch métricas da Amazon para a tentativa de criação da conta.

Essa orientação é destinada a usuários que geralmente sabem como criar e gerenciar :web ACLs, regras e grupos de regras do AWS WAF . Esses tópicos são abordados nas seções anteriores deste guia.

Para configurar e testar uma implementação de prevenção de AWS WAF fraudes (ACFP) de criação de conta de controle de fraudes

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

  1. Adicione o AWS WAF grupo de regras gerenciadas de prevenção de fraudes (ACFP) de criação de contas do Fraud Control no modo de contagem
    nota

    Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

    Adicione o grupo de regras AWS gerenciadas AWSManagedRulesACFPRuleSet a uma ACL da web nova ou existente e configure-a para que não altere o comportamento atual da ACL da web. Para obter detalhes sobre as regras e rótulos desse grupo de regras, consulte AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes.

    • Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte:

      • No painel Configuração de grupo de regras, forneça os detalhes das páginas de registro e criação da conta do seu aplicativo. O grupo de regras do ACFP usa essas informações para monitorar as atividades de login. Para ter mais informações, consulte Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL.

      • No painel Regras, abra o menu suspenso Substituir todas as ações da regra e escolha Count. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para ter mais informações, consulte Substituir ações de regra para um grupo de regras.

        Com essa substituição, você pode monitorar o impacto potencial das regras gerenciadas do ACFP para determinar se deseja adicionar exceções, como exceções para casos de uso internos.

    • Posicione o grupo de regras para que ele seja avaliado de acordo com as regras existentes na web ACL, com uma configuração de prioridade que seja numericamente maior do que qualquer regra ou grupo de regras que você já esteja usando. Para ter mais informações, consulte Ordem de processamento de regras e grupos de regras em uma web ACL.

      Dessa forma, seu tratamento atual de tráfego não é interrompido. Por exemplo, se você tiver regras que detectem tráfego mal-intencionado, como injeção de SQL ou scripts entre sites, elas continuarão detectando e registrando isso. Como alternativa, se você tiver regras que permitem tráfego não malicioso conhecido, elas podem continuar permitindo esse tráfego, sem que ele seja bloqueado pelo grupo de regras gerenciadas do ACFP. Você pode decidir ajustar a ordem de processamento durante suas atividades de teste e ajuste.

  2. Implemente os SDKs de integração de aplicativos

    Integre o AWS WAF JavaScript SDK aos caminhos de registro e criação de conta do seu navegador. AWS WAF também fornece SDKs móveis para integrar dispositivos iOS e Android. Para obter mais informações sobre SDKs de integração, consulte AWS WAF integração de aplicativos clientes. Para obter mais informações sobre essa recomendação, consulte Por que você deve usar os SDKs de integração de aplicativos com o ACFP.

    nota

    Se você não conseguir usar os SDKs de integração de aplicativos, é possível testar o grupo de regras do ACFP editando-o na sua web ACL e removendo a substituição que você colocou na regra AllRequests. Isso ativa a configuração da ação de regra Challenge, para garantir que as solicitações incluam um token de desafio válido.

    Faça isso primeiro em um ambiente de teste e depois com muito cuidado em seu ambiente de produção. Essa abordagem tem o potencial de bloquear usuários. Por exemplo, se o caminho da página de registro não aceitar solicitações GET de texto/html, essa configuração de regra poderá bloquear efetivamente todas as solicitações na página de registro.

  3. Ative o registro e as métricas para a ACL da web

    Conforme necessário, configure o registro em log, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para a ACL da web. Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do ACFP com seu tráfego.

  4. Associar a web ACL a um recurso

    Se a web ACL ainda não estiver associada a um recurso de teste, associe-a. Para mais informações, consulte Associando ou desassociando uma ACL da web com um recurso AWS.

  5. Monitore o tráfego e as correspondências de regras do ACFP

    Verifique se o tráfego normal está fluindo e se as regras do grupo de regras gerenciadas do ACFP estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver o ACFP e as métricas do rótulo nas métricas da Amazon CloudWatch . Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em ruleGroupList com action definido para contar e com overriddenAction indicando a ação de regra configurada que você substituiu.

  6. Teste os recursos de verificação de credenciais do grupo de regras

    Execute uma tentativa de criação de conta com credenciais comprometidas de teste e verifique se o grupo de regras corresponde a elas conforme o esperado.

    1. Acesse a página de registro da conta do seu recurso protegido e tente adicionar uma nova conta. Use o seguinte par AWS WAF de credenciais de teste e insira qualquer teste

      • Usuário: WAF_TEST_CREDENTIAL@wafexample.com

      • Senha: WAF_TEST_CREDENTIAL_PASSWORD

      Essas credenciais de teste são categorizadas como credenciais comprometidas, e o grupo de regras gerenciadas do ACFP adicionará o rótulo awswaf:managed:aws:acfp:signal:credential_compromised à solicitação de criação da conta, que você pode ver nos logs.

    2. Nos seus logs de web ACL, procure o rótulo awswaf:managed:aws:acfp:signal:credential_compromised no campo labels nas entradas de log da solicitação de criação da sua conta de teste. Para obter informações sobre registro em log, consulte Registrando AWS WAF tráfego de ACL da web.

    Depois de verificar se o grupo de regras captura as credenciais comprometidas conforme o esperado, você pode tomar medidas para configurar sua implementação conforme necessário para seu recurso protegido.

  7. Para CloudFront distribuições, teste o gerenciamento de tentativas de criação de contas em massa pelo grupo de regras

    Execute esse teste para cada critério de resposta bem-sucedida que você configurou para o grupo de regras do ACFP. Espere pelo menos 30 minutos entre os testes.

    1. Para cada um dos seus critérios de sucesso, identifique uma tentativa de criação de conta que será bem-sucedida com esses critérios de sucesso na resposta. Em seguida, a partir de uma única sessão de cliente, realize pelo menos cinco tentativas bem-sucedidas de criação de conta em menos de 30 minutos. Normalmente, um usuário criaria apenas uma única conta em seu site.

      Após a primeira criação bem-sucedida da conta, a regra VolumetricSessionSuccessfulResponse deve começar a se comparar com o resto das respostas de criação da conta, rotulando-as e contando-as, com base na substituição da ação de regra. A regra pode perder a primeira ou duas primeiras devido à latência.

    2. Nos seus logs de web ACL, procure o rótulo awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high no campo labels nas entradas de log das solicitações da web de criação da sua conta de teste. Para obter informações sobre registro em log, consulte Registrando AWS WAF tráfego de ACL da web.

    Esses testes verificam se seus critérios de sucesso correspondem às suas respostas, verificando se as contagens bem-sucedidas agregadas pela regra ultrapassam o limite da regra. Depois de atingir o limite, se você continuar enviando solicitações de criação de conta da mesma sessão, a regra continuará a ser compatível até que a taxa de sucesso caia abaixo do limite. Embora o limite seja excedido, a regra corresponde às tentativas bem-sucedidas ou malsucedidas de criação de conta a partir do endereço da sessão.

  8. Personalize o tratamento de solicitações da web do ACFP

    Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras do ACFP lidariam com elas.

    Por exemplo, você pode usar rótulos do ACFP para permitir ou bloquear solicitações ou para personalizar o tratamento de solicitações. Você pode adicionar uma regra de correspondência de rótulos após o grupo de regras gerenciadas do ACFP para filtrar solicitações rotuladas para o tratamento que você deseja aplicar. Após o teste, mantenha as regras do ACFP relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. Para ver um exemplo, consulte Exemplo de ACFP: resposta personalizada para credenciais comprometidas.

  9. Remova suas regras de teste e ative as configurações do grupo de regras gerenciadas do ACFP

    Dependendo da sua situação, você pode ter decidido deixar algumas regras do ACFP no modo de contagem. Para as regras que você deseja executar conforme configuradas dentro do grupo de regras, desative o modo de contagem na configuração do grupo de regras da web ACL. Ao terminar o teste, você também pode remover as regras de correspondência do rótulo de teste.

  10. Monitore e ajuste

    Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a funcionalidade do ACFP que você pretende usar. Ajuste o comportamento conforme necessário com a substituição da contagem de regras no grupo de regras e com suas próprias regras.

Depois de terminar de testar a implementação do grupo de regras do ACFP, se você ainda não tiver integrado o AWS WAF JavaScript SDK às páginas de registro e criação de conta do seu navegador, é altamente recomendável que você faça isso. AWS WAF também fornece SDKs móveis para integrar dispositivos iOS e Android. Para obter mais informações sobre SDKs de integração, consulte AWS WAF integração de aplicativos clientes. Para obter mais informações sobre essa recomendação, consulte Por que você deve usar os SDKs de integração de aplicativos com o ACFP.