Testando e implantando o Controle de Bots do AWS WAF - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Testando e implantando o Controle de Bots do AWS WAF

Esta seção fornece orientação geral para configurar e testar uma implementação do Controle de Bots do AWS WAF para seu site. As etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e das solicitações da web que você receber.

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em Testar e ajustar suas proteções do AWS WAF.

nota

Regras gerenciadas da AWS são projetadas para protegê-lo contra ameaças comuns da web. Quando usadas de acordo com a documentação, as regras gerenciadas da AWS adicionam outra camada de segurança para seus aplicativos. No entanto, os grupos de regras das regras gerenciadas da AWS não se destinam a substituir suas responsabilidades de segurança, que são determinadas pelos recursos da AWS que você selecionou. Consulte o Modelo de responsabilidade compartilhada para certificar-se de que seus recursos do AWS estejam adequadamente protegidos.

Risco de tráfego de produção

Antes de implantar sua implementação de Controle de Bots para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las.

Essa orientação é destinada a usuários que geralmente sabem como criar e gerenciar :web ACLs, regras e grupos de regras do AWS WAF. Esses tópicos são abordados nas seções anteriores deste guia.

Para configurar e testar uma implementação do Controle de Bots

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

  1. Adicione o grupo de regras gerenciadas do Controle de Bots
    nota

    Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

    Adicione o AWSManagedRulesBotControlRuleSet do grupo de regras gerenciadas da AWS a uma web ACL nova ou existente e configure-a para que ele não altere o comportamento atual da web ACL.

    • Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte:

      • No painel Nível de inspeção, selecione o nível de inspeção que você deseja usar.

        • Comum: detecta uma variedade de bots que se identificam automaticamente, como estruturas de raspagem web, mecanismos de pesquisa e navegadores automatizados. As proteções do Controle de Bots nesse nível identificam bots comuns usando técnicas tradicionais de detecção de bots, como análise estática de dados de solicitações. As regras rotulam o tráfego desses bots e bloqueiam aqueles que eles não podem verificar.

        • Direcionado: inclui proteções de nível comum e adiciona detecção direcionada para bots sofisticados que não se identificam. As proteções direcionadas mitigam a atividade dos bots usando uma combinação de limitação de intervalo e CAPTCHA e desafios de navegador em segundo plano.

          • TGT_: as regras que fornecem proteção direcionada têm nomes que começam com TGT_. Todas as proteções direcionadas usam técnicas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots.

          • TGT_ML_: as regras de proteção direcionada que usam machine learning têm nomes que começam com TGT_ML_. Essas regras usam análise automatizada de machine learning das estatísticas de tráfego do site para detectar comportamentos anômalos indicativos de atividades de bots distribuídas e coordenadas. O AWS WAF analisa estatísticas sobre o tráfego do seu site, como registros de data e hora, características do navegador e URL anterior visitado, para melhorar o modelo de machine learning do Controle de Bots. Os recursos de machine learning são ativados por padrão, mas você pode desativá-los na configuração do grupo de regras. Quando o machine learning está desativado, o AWS WAF não avalia essas regras.

        Para obter mais informações sobre essa opção, consulte AWS WAF Grupo de regras do Bot Control.

      • No painel Regras, abra o menu suspenso Substituir todas as ações da regra e escolha Count. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para ter mais informações, consulte Substituir ações de regra para um grupo de regras.

        Com essa substituição, você pode monitorar o impacto potencial das regras do Controle de Bots no seu tráfego para determinar se deseja adicionar exceções para coisas como casos de uso internos ou bots desejados.

    • Posicione o grupo de regras para que ele seja avaliado por último na web ACL, com uma configuração de prioridade numericamente maior do que qualquer outra regra ou grupo de regras que você já esteja usando. Para ter mais informações, consulte Como definir a prioridade da regra em uma ACL da Web.

      Dessa forma, seu tratamento atual de tráfego não é interrompido. Por exemplo, se você tiver regras que detectem tráfego mal-intencionado, como injeção de SQL ou scripts entre sites, elas continuarão detectando e registrando essas solicitações. Como alternativa, se você tiver regras que permitem tráfego não malicioso conhecido, elas podem continuar permitindo esse tráfego, sem que ele seja bloqueado pelo grupo de regras gerenciadas do Controle de Bots. Você pode decidir ajustar a ordem de processamento durante suas atividades de teste e ajuste, mas essa é uma boa maneira de começar.

  2. Ative o registro de logs e as métricas para a ACL da Web

    Conforme necessário, configure o registro de logs, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e as métricas do Amazon CloudWatch para a ACL da Web. Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do Controle de Bots com seu tráfego.

  3. Associar a web ACL a um recurso

    Se a web ACL ainda não estiver associada a um recurso, associe-a. Para ter mais informações, consulte Associar ou desassociar uma web ACL com um recurso AWS.

  4. Monitore as correspondências de tráfego e regras do Controle de Bots

    Verifique se o tráfego está fluindo e se as regras do grupo de regras gerenciadas do Controle de Bots estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos logs e ver as métricas de rótulo e bot nas métricas do Amazon CloudWatch. Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em ruleGroupList com action definido para contar e com overriddenAction indicando a ação de regra configurada que você substituiu.

    nota

    O grupo de regras gerenciadas do Controle de Bots verifica os bots usando os endereços IP do AWS WAF. Se você usa o Controle de Bots e verificou que os bots são roteados por meio de um proxy ou balanceador de carga, pode ser necessário permitir explicitamente que eles usem uma regra personalizada. Para obter informações sobre como criar uma regra personalizada, consulte Como usar endereços IP encaminhados no AWS WAF. Para obter informações sobre como você pode usar a regra para personalizar o tratamento de solicitações web do Controle de Bots, consulte a próxima etapa.

    Analise cuidadosamente o tratamento de solicitações da web em busca de falsos positivos que você possa precisar mitigar com o tratamento personalizado. Para exemplos de falsos positivos, consulte Exemplos de cenários de falsos positivos com o Controle de Bots do AWS WAF.

  5. Personalize o tratamento de solicitações da web do Controle de Bots

    Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras do Controle de Bots lidariam com elas.

    A forma como você faz isso depende do seu caso de uso, mas as soluções a seguir são comuns:

    • Permita explicitamente solicitações com uma regra que você adiciona antes do grupo de regras gerenciadas do Controle de Bots. Com isso, as solicitações permitidas nunca chegam ao grupo de regras para avaliação. Isso pode ajudar a conter o custo de usar o grupo de regras gerenciadas do Controle de Bots.

    • Exclua solicitações da avaliação do Controle de Bots adicionando uma instrução de escopo abaixo da instrução do grupo de regras gerenciadas do Controle de Bots. Isso funciona da mesma forma que a opção anterior. Isso pode ajudar a conter o custo do uso do grupo de regras gerenciadas do Controle de Bots porque as solicitações que não correspondem à instrução de redução de escopo nunca chegam à avaliação do grupo de regras. Para informações sobre instruções de redução de escopo, consulte Como usar instruções de escopo reduzido no AWS WAF.

      Para obter exemplos, consulte os seguintes:

    • Use rótulos do Controle de Bots no tratamento de solicitações para permitir ou bloquear solicitações. Adicione uma regra de correspondência de rótulo após o grupo de regras gerenciadas do Controle de Bots para filtrar as solicitações rotuladas que você deseja permitir daquelas que deseja bloquear.

      Após o teste, mantenha as regras do Controle de Bots relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. Para obter mais informações sobre instruções de correspondência de rótulo, consulte Instrução de regra de correspondência de rótulo.

      Para obter exemplos desse tipo de personalização, consulte o seguinte:

    Para obter exemplos adicionais, consulte Exemplos do Controle de Bots do AWS WAF.

  6. Conforme necessário, habilite as configurações do grupo de regras gerenciadas do Controle de Bots

    Dependendo da sua situação, você pode ter decidido deixar algumas regras do Controle de Bots no modo de contagem ou com uma substituição de ação diferente. Para as regras que você deseja que sejam executadas conforme configuradas dentro do grupo de regras, habilite a configuração de regra normal. Para fazer isso, edite a instrução do grupo de regras em sua web ACL e faça suas alterações no painel Regras.