Testando e implantando o AWS WAF Bot Control - AWS WAF, AWS Firewall Manager e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Testando e implantando o AWS WAF Bot Control

Esta seção fornece orientação geral para configurar e testar uma implementação do AWS WAF Bot Control para seu site. As etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e das solicitações da web que você receber.

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em Testando e ajustando seu AWS WAF proteções.

nota

AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de regras AWS gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o Modelo de Responsabilidade Compartilhada para garantir que seus recursos AWS estejam devidamente protegidos.

Risco de tráfego de produção

Antes de implantar sua implementação de Controle de Bots para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las.

Essa orientação é destinada a usuários que geralmente sabem como criar e gerenciar :web ACLs, regras e grupos de regras do AWS WAF . Esses tópicos são abordados nas seções anteriores deste guia.

Para configurar e testar uma implementação do Controle de Bots

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

  1. Adicione o grupo de regras gerenciadas do Controle de Bots
    nota

    Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

    Adicione o grupo de AWS regras gerenciadas AWSManagedRulesBotControlRuleSet a uma ACL da Web nova ou existente e configure-a para que ele não altere o comportamento atual da ACL da Web.

    • Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte:

      • No painel Nível de inspeção, selecione o nível de inspeção que você deseja usar.

        • Comum: detecta uma variedade de bots que se identificam automaticamente, como estruturas de raspagem web, mecanismos de pesquisa e navegadores automatizados. As proteções do Controle de Bots nesse nível identificam bots comuns usando técnicas tradicionais de detecção de bots, como análise estática de dados de solicitações. As regras rotulam o tráfego desses bots e bloqueiam aqueles que eles não podem verificar.

        • Direcionado: inclui proteções de nível comum e adiciona detecção direcionada para bots sofisticados que não se identificam. As proteções direcionadas mitigam a atividade dos bots usando uma combinação de limitação de intervalo e CAPTCHA e desafios de navegador em segundo plano.

          • TGT_: as regras que fornecem proteção direcionada têm nomes que começam com TGT_. Todas as proteções direcionadas usam técnicas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots.

          • TGT_ML_: as regras de proteção direcionada que usam machine learning têm nomes que começam com TGT_ML_. Essas regras usam análise automatizada de aprendizado de máquina das estatísticas de tráfego do site para detectar comportamentos anômalos indicativos de atividades de bots distribuídas e coordenadas. AWS WAF analisa estatísticas sobre o tráfego do seu site, como registros de data e hora, características do navegador e URL anterior visitado, para melhorar o modelo de aprendizado de máquina do Bot Control. Os recursos de machine learning são ativados por padrão, mas você pode desativá-los na configuração do grupo de regras. Quando o aprendizado de máquina está desativado, AWS WAF não avalia essas regras.

        Para obter mais informações sobre essa opção, consulte AWS WAF Grupo de regras do Controle de Bots.

      • No painel Regras, abra o menu suspenso Substituir todas as ações da regra e escolha Count. Com essa configuração, AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para ter mais informações, consulte Substituir ações de regra para um grupo de regras.

        Com essa substituição, você pode monitorar o impacto potencial das regras do Controle de Bots no seu tráfego para determinar se deseja adicionar exceções para coisas como casos de uso internos ou bots desejados.

    • Posicione o grupo de regras para que ele seja avaliado por último na web ACL, com uma configuração de prioridade numericamente maior do que qualquer outra regra ou grupo de regras que você já esteja usando. Para ter mais informações, consulte Definindo a prioridade das regras em uma web ACL.

      Dessa forma, seu tratamento atual de tráfego não é interrompido. Por exemplo, se você tiver regras que detectem tráfego mal-intencionado, como injeção de SQL ou scripts entre sites, elas continuarão detectando e registrando essas solicitações. Como alternativa, se você tiver regras que permitem tráfego não malicioso conhecido, elas podem continuar permitindo esse tráfego, sem que ele seja bloqueado pelo grupo de regras gerenciadas do Controle de Bots. Você pode decidir ajustar a ordem de processamento durante suas atividades de teste e ajuste, mas essa é uma boa maneira de começar.

  2. Ative o registro e as métricas para a ACL da web

    Conforme necessário, configure o registro em log, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para a ACL da web. Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do Bot Control com seu tráfego.

  3. Associar a web ACL a um recurso

    Se a web ACL ainda não estiver associada a um recurso, associe-a. Para mais informações, consulte Associando ou desassociando uma web com um ACL AWS recurso.

  4. Monitore as correspondências de tráfego e regras do Controle de Bots

    Verifique se o tráfego está fluindo e se as regras do grupo de regras gerenciadas do Controle de Bots estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver as métricas de bots e rótulos nas CloudWatch métricas da Amazon. Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em ruleGroupList com action definido para contar e com overriddenAction indicando a ação de regra configurada que você substituiu.

    nota

    O grupo de regras gerenciadas do Controle de Bots verifica os bots usando os endereços IP do AWS WAF. Se você usa o Controle de Bots e verificou que os bots são roteados por meio de um proxy ou balanceador de carga, pode ser necessário permitir explicitamente que eles usem uma regra personalizada. Para obter informações sobre como criar uma regra personalizada, consulte Usando endereços IP encaminhados em AWS WAF. Para obter informações sobre como você pode usar a regra para personalizar o tratamento de solicitações web do Controle de Bots, consulte a próxima etapa.

    Analise cuidadosamente o tratamento de solicitações da web em busca de falsos positivos que você possa precisar mitigar com o tratamento personalizado. Para exemplos de falsos positivos, consulte Exemplos de cenários de falsos positivos com AWS WAF Controle de Bots.

  5. Personalize o tratamento de solicitações da web do Controle de Bots

    Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras do Controle de Bots lidariam com elas.

    A forma como você faz isso depende do seu caso de uso, mas as soluções a seguir são comuns:

    • Permita explicitamente solicitações com uma regra que você adiciona antes do grupo de regras gerenciadas do Controle de Bots. Com isso, as solicitações permitidas nunca chegam ao grupo de regras para avaliação. Isso pode ajudar a conter o custo de usar o grupo de regras gerenciadas do Controle de Bots.

    • Exclua solicitações da avaliação do Controle de Bots adicionando uma instrução de escopo abaixo da instrução do grupo de regras gerenciadas do Controle de Bots. Isso funciona da mesma forma que a opção anterior. Isso pode ajudar a conter o custo do uso do grupo de regras gerenciadas do Controle de Bots porque as solicitações que não correspondem à instrução de redução de escopo nunca chegam à avaliação do grupo de regras. Para informações sobre instruções de redução de escopo, consulte Usando declarações de escopo reduzido em AWS WAF.

      Para obter exemplos, consulte os seguintes:

    • Use rótulos do Controle de Bots no tratamento de solicitações para permitir ou bloquear solicitações. Adicione uma regra de correspondência de rótulo após o grupo de regras gerenciadas do Controle de Bots para filtrar as solicitações rotuladas que você deseja permitir daquelas que deseja bloquear.

      Após o teste, mantenha as regras do Controle de Bots relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. Para obter mais informações sobre instruções de correspondência de rótulo, consulte Instrução de regra de correspondência de rótulo.

      Para obter exemplos desse tipo de personalização, consulte o seguinte:

    Para obter exemplos adicionais, consulte AWS WAF Exemplos de controle de bots.

  6. Conforme necessário, habilite as configurações do grupo de regras gerenciadas do Controle de Bots

    Dependendo da sua situação, você pode ter decidido deixar algumas regras do Controle de Bots no modo de contagem ou com uma substituição de ação diferente. Para as regras que você deseja que sejam executadas conforme configuradas dentro do grupo de regras, habilite a configuração de regra normal. Para fazer isso, edite a instrução do grupo de regras em sua web ACL e faça suas alterações no painel Regras.