Por que você deve usar os SDKs de integração de aplicativos com o ATP - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Por que você deve usar os SDKs de integração de aplicativos com o ATP

O grupo de regras gerenciadas do ATP exige os tokens de desafio que os SDKs de integração de aplicativos geram. Os tokens permitem o conjunto completo de proteções que o grupo de regras oferece.

É altamente recomendável implementar os SDKs de integração de aplicativos para o uso mais eficiente do grupo de regras do ATP. O script de desafio deve ser executado antes do grupo de regras do ATP para que o grupo de regras se beneficie dos tokens que o script adquire. Isso acontece automaticamente com os SDKs de integração de aplicativos. Se você não conseguir usar os SDKs, poderá configurar alternativamente sua web ACL para que ela execute a ação de regra Challenge ou CAPTCHA em todas as solicitações que serão inspecionadas pelo grupo de regras do ATP. O uso da ação de regra Challenge ou CAPTCHA pode incorrer em taxas adicionais. Para obter detalhes sobre os preços, consulte Preços do AWS WAF.

Capacidades do grupo de regras do ATP que não exigem um token

Quando as solicitações da web não têm um token, o grupo de regras gerenciadas do ATP é capaz de bloquear os seguintes tipos de tráfego:

  • Endereços IP únicos que fazem muitas solicitações de login.

  • Endereços IP únicos que fazem muitas solicitações de login malsucedidas em um curto espaço de tempo.

  • Tentativas de login com traversal de senha, usando o mesmo nome de usuário, mas alterando as senhas.

Capacidades do grupo de regras do ATP que exigem um token

As informações fornecidas no token de desafio expandem os recursos do grupo de regras e da segurança geral do aplicativo cliente.

O token fornece informações do cliente com cada solicitação da web, o que permite que o grupo de regras do ATP separe sessões legítimas de clientes de sessões de clientes mal-comportados, mesmo quando ambas se originam de um único endereço IP. O grupo de regras usa as informações nos tokens para agregar o comportamento da solicitação de sessão do cliente para a detecção e mitigação ajustadas.

Quando o token está disponível em solicitações da web, o grupo de regras do ATP pode detectar e bloquear as seguintes categorias adicionais de clientes no nível da sessão:

  • Sessões de clientes que falham no desafio silencioso que os SDKs gerenciam.

  • Sessões de clientes que abrangem nomes de usuário ou senhas. Isso também é conhecido como preenchimento de credenciais.

  • Sessões de clientes que usam repetidamente credenciais roubadas para fazer login.

  • Sessões de clientes que passam muito tempo tentando fazer login.

  • Sessões de clientes que fazem muitas solicitações de login. O grupo de regras ATP fornece melhor isolamento do cliente do que a regra AWS WAF baseada em taxa, que pode bloquear clientes por endereço IP. O grupo de regras do ATP também usa um limite inferior.

  • Sessões de clientes que fazem muitas solicitações de login malsucedidas em um curto espaço de tempo. Essa funcionalidade está disponível para CloudFront distribuições protegidas da Amazon.

Para obter mais informações sobre as capacidades do grupo de regras, consulte AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes.

Para obter mais informações sobre os SDKs, consulte AWS WAF integração de aplicativos clientes. Para obter informações sobre AWS WAF tokens, consulteAWS WAF tokens de solicitação da web. Para mais informações sobre as ações de regra, consulte CAPTCHAe Challenge em AWS WAF.