Testando e implantando o ATP - AWS WAF, AWS Firewall Manager e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Testando e implantando o ATP

Esta seção fornece orientação geral para configurar e testar uma implementação de prevenção de aquisição de contas (ATP) do Controle de AWS WAF Fraudes em seu site. As etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e solicitações da web que você receber.

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em Testando e ajustando seu AWS WAF proteções.

nota

AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de regras AWS gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o Modelo de Responsabilidade Compartilhada para garantir que seus recursos AWS estejam devidamente protegidos.

Risco de tráfego de produção

Antes de implantar sua implementação de ATP para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las.

AWS WAF fornece credenciais de teste que você pode usar para verificar sua configuração de ATP. No procedimento a seguir, você configurará uma web ACL de teste para usar o grupo de regras gerenciadas do ATP, configurará uma regra para capturar o rótulo adicionado pelo grupo de regras e, em seguida, executará uma tentativa de login usando essas credenciais de teste. Você verificará se sua ACL da web gerenciou adequadamente a tentativa verificando as CloudWatch métricas da Amazon para a tentativa de login.

Essa orientação é destinada a usuários que geralmente sabem como criar e gerenciar :web ACLs, regras e grupos de regras do AWS WAF . Esses tópicos são abordados nas seções anteriores deste guia.

Para configurar e testar uma implementação de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

  1. Adicione o grupo de regras gerenciadas de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control no modo de contagem
    nota

    Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

    Adicione o grupo de regras AWS gerenciadas AWSManagedRulesATPRuleSet a uma ACL da web nova ou existente e configure-a para que não altere o comportamento atual da ACL da web. Para obter detalhes sobre as regras e rótulos desse grupo de regras, consulte AWS WAF Grupo de regras de prevenção de aquisição de contas de controle de fraudes (ATP).

    • Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte:

      • No painel Configuração de grupo de regras, forneça os detalhes da página de login do seu aplicativo. O grupo de regras do ATP usa essas informações para monitorar as atividades de login. Para ter mais informações, consulte Adicionar o grupo de regras ATP gerenciadas à sua web ACL.

      • No painel Regras, abra o menu suspenso Substituir todas as ações da regra e escolha Count. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para ter mais informações, consulte Substituir ações de regra para um grupo de regras.

        Com essa substituição, você pode monitorar o impacto potencial das regras gerenciadas do ATP para determinar se deseja adicionar exceções, como exceções para casos de uso internos.

    • Posicione o grupo de regras para que ele seja avaliado de acordo com as regras existentes na web ACL, com uma configuração de prioridade que seja numericamente maior do que qualquer regra ou grupo de regras que você já esteja usando. Para ter mais informações, consulte Definindo a prioridade das regras em uma web ACL.

      Dessa forma, seu tratamento atual de tráfego não é interrompido. Por exemplo, se você tiver regras que detectem tráfego mal-intencionado, como injeção de SQL ou scripts entre sites, elas continuarão detectando e registrando isso. Como alternativa, se você tiver regras que permitem tráfego não malicioso conhecido, elas podem continuar permitindo esse tráfego, sem que ele seja bloqueado pelo grupo de regras gerenciadas do ATP. Você pode decidir ajustar a ordem de processamento durante suas atividades de teste e ajuste.

  2. Ative o registro e as métricas para a ACL da web

    Conforme necessário, configure o registro, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para a ACL da web. Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do ATP com seu tráfego.

  3. Associar a web ACL a um recurso

    Se a web ACL ainda não estiver associada a um recurso de teste, associe-a. Para mais informações, consulte Associando ou desassociando uma web com um ACL AWS recurso.

  4. Monitore o tráfego e as correspondências de regras do ATP

    Verifique se o tráfego normal está fluindo e se as regras do grupo de regras gerenciadas do ATP estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver o ATP e as métricas do rótulo nas métricas da Amazon CloudWatch . Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em ruleGroupList com action definido para contar e com overriddenAction indicando a ação de regra configurada que você substituiu.

  5. Teste os recursos de verificação de credenciais do grupo de regras

    Execute uma tentativa de login com credenciais comprometidas de teste e verifique se o grupo de regras corresponde a elas conforme o esperado.

    1. Faça login na página de login do seu recurso protegido usando o seguinte par de credenciais de AWS WAF teste:

      • Usuário: WAF_TEST_CREDENTIAL@wafexample.com

      • Senha: WAF_TEST_CREDENTIAL_PASSWORD

      Essas credenciais de teste são categorizadas como credenciais comprometidas, e o grupo de regras gerenciadas do ATP adicionará o rótulo awswaf:managed:aws:atp:signal:credential_compromised à solicitação de login, que você pode ver nos logs.

    2. Nos seus logs de web ACL, procure o rótulo awswaf:managed:aws:atp:signal:credential_compromised no campo labels nas entradas de log das solicitações da web de login de teste. Para obter informações sobre registro em log, consulte Registro em log AWS WAF ACLtráfego na web.

    Depois de verificar se o grupo de regras captura as credenciais comprometidas conforme o esperado, você pode tomar medidas para configurar sua implementação conforme necessário para seu recurso protegido.

  6. Para CloudFront distribuições, teste o gerenciamento de falhas de login do grupo de regras

    1. Execute um teste para cada critério de resposta a falhas que você configurou para o grupo de regras do ATP. Espere pelo menos 10 minutos entre os testes.

      Para testar um único critério de falha, identifique uma tentativa de login que falhará com esse critério na resposta. Em seguida, a partir de um único endereço IP de cliente, realize pelo menos 10 tentativas de login malsucedidas em menos de 10 minutos.

      Após as primeiras seis falhas, a regra de login com falha volumétrica deve começar a corresponder às demais tentativas, rotulando-as e contando-as. A regra pode perder a primeira ou duas primeiras devido à latência.

    2. Nos seus logs de web ACL, procure o rótulo awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high no campo labels nas entradas de log das solicitações da web de login de teste. Para obter informações sobre registro em log, consulte Registro em log AWS WAF ACLtráfego na web.

    Esses testes verificam se seus critérios de falha correspondem às suas respostas, verificando se as contagens de login com falha ultrapassam os limites da regra VolumetricIpFailedLoginResponseHigh. Depois de atingir os limites, se você continuar enviando solicitações de login do mesmo endereço IP, a regra continuará a corresponder até que a taxa de falhas caia abaixo do limite. Embora os limites sejam excedidos, a regra corresponde aos logins bem-sucedidos ou malsucedidos do endereço IP.

  7. Personalize o tratamento de solicitações da web do ATP

    Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras do ATP lidariam com elas.

    Por exemplo, você pode usar rótulos do ATP para permitir ou bloquear solicitações ou para personalizar o tratamento de solicitações. Você pode adicionar uma regra de correspondência de rótulos após o grupo de regras gerenciadas do ATP para filtrar solicitações rotuladas para o tratamento que você deseja aplicar. Após o teste, mantenha as regras do ATP relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. Para ver um exemplo, consulte Exemplo de ATP: tratamento personalizado para credenciais ausentes e comprometidas.

  8. Remova suas regras de teste e ative as configurações do grupo de regras gerenciadas do ATP

    Dependendo da sua situação, você pode ter decidido deixar algumas regras do ATP no modo de contagem. Para as regras que você deseja executar conforme configuradas dentro do grupo de regras, desative o modo de contagem na configuração do grupo de regras da web ACL. Ao terminar o teste, você também pode remover as regras de correspondência do rótulo de teste.

  9. Monitore e ajuste

    Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a funcionalidade do ATP que você pretende usar. Ajuste o comportamento conforme necessário com a substituição da contagem de regras no grupo de regras e com suas próprias regras.

Depois de terminar de testar a implementação do grupo de regras do ATP, se você ainda não tiver feito isso, recomendamos que você integre o AWS WAF JavaScript SDK à página de login do seu navegador para aprimorar os recursos de detecção. AWS WAF também fornece SDKs móveis para integrar dispositivos iOS e Android. Para obter mais informações sobre SDKs de integração, consulte Usando integrações de aplicativos clientes com AWS WAF. Para obter mais informações sobre essa recomendação, consulte Usando a integração de aplicativos SDKs com ATP.