Práticas recomendadas para mitigação de ameaças inteligentes no AWS WAF

Siga as práticas recomendadas desta seção para obter a implementação mais eficiente e econômica dos recursos de mitigação de ameaças inteligentes.

Implementar os SDKs de integração de aplicativos móveis e JavaScript:Implemente a integração de aplicativos para habilitar o conjunto completo de funcionalidades de ACFP, ATP ou Controle de Bots da maneira mais eficaz possível. Os grupos de regras gerenciadas usam os tokens fornecidos pelos SDKs para separar o tráfego legítimo do cliente do tráfego indesejado no nível da sessão. Os SDKs de integração de aplicativos garantem que esses tokens estejam sempre disponíveis. Para obter detalhes, consulte:
Use as integrações para implementar desafios em seu cliente e, para JavaScript, para personalizar a forma como os quebra-cabeças CAPTCHA são apresentados aos usuários finais. Para obter detalhes, consulte Como usar integrações de aplicativos do cliente com o AWS WAF.

Se você personalizar os quebra-cabeças CAPTCHA usando a API JavaScript e usar a ação de regra CAPTCHA em qualquer lugar da sua web ACL, siga as orientações para lidar com a resposta do CAPTCHA do AWS WAF em seu cliente em Tratamento de resposta de CAPTCHA do AWS WAF. Essa orientação se aplica a todas as regras que usam a ação CAPTCHA, incluindo aquelas do grupo de regras gerenciadas do ACFP e o nível de proteção direcionada do grupo de regras gerenciadas do Controle de Bots.
Limite as solicitações que você envia aos grupos de regras do ACFP, ATP e Controle de Bots:Você incorre em taxas adicionais pelo uso dos grupos de regras das regras gerenciadas da AWS de mitigação de ameaças inteligentes. O grupo de regras do ACFP inspeciona as solicitações para os endpoints de registro e criação da conta que você especificar. O grupo de regras do ATP inspeciona as solicitações para o endpoint de login que você especificar. O grupo de regras do Controle de Bots inspeciona cada solicitação que chega até ele na avaliação da web ACL.

Considere as seguintes abordagens para reduzir o uso desses grupos de regras:
- Exclua solicitações da inspeção com uma instrução de redução de escopo na instrução do grupo de regras gerenciadas. Você pode fazer isso com qualquer instrução aninhável. Para ter mais informações, consulte Como usar instruções de escopo reduzido no AWS WAF.
- Exclua solicitações da inspeção adicionando regras antes do grupo de regras. Para regras que você não pode usar em uma instrução de redução de escopo e para situações mais complexas, como rotulagem seguida pela correspondência de rótulos, convém adicionar regras que sejam executadas antes dos grupos de regras. Para obter informações, consulte Como usar instruções de escopo reduzido no AWS WAF e Como usar instruções de regra no AWS WAF.
- Execute os grupos de regras depois de regras mais baratas. Se você tiver outras regras do AWS WAF padrão que bloqueiam solicitações por qualquer motivo, execute-as antes desses grupos de regras pagas. Para obter mais informações sobre regras e gerenciamento de regras, consulte Como usar instruções de regra no AWS WAF.
- Se você estiver usando mais de um dos grupos de regras gerenciadas de mitigação de ameaças inteligentes, execute-os na seguinte ordem para manter os custos baixos: Controle de Bots, ATP, ACFP.
Para obter informações detalhadas sobre definição de preço, consulte Definição de preço do AWS WAF.
Ativar o nível de proteção direcionada do grupo de regras do Controle de Bots durante o tráfego normal da web:Algumas regras do nível de proteção direcionada precisam de tempo para estabelecer linhas de base para os padrões normais de tráfego antes que possam reconhecer e responder a padrões de tráfego irregulares ou maliciosos. Por exemplo, as regras TGT_ML_* precisam de até 24 horas para se aquecerem.

Adicione essas proteções quando você não estiver enfrentando um ataque e dê a elas tempo para estabelecer suas linhas de base antes de esperar que respondam adequadamente aos ataques. Se você adicionar essas regras durante um ataque, após o término do ataque, o tempo para estabelecer uma linha de base geralmente é do dobro ao triplo do tempo normal necessário, devido à distorção adicionada pelo tráfego do ataque. Para obter informações adicionais sobre as regras e os tempos de aquecimento exigidos, consulte Lista de regras.
Para proteção distribuída de negação de serviço (DDoS), usar a mitigação automática de DDoS da camada de aplicativo do Shield Advanced:Os grupos de regras de mitigação de ameaças inteligentes não oferecem proteção contra DDoS. O ACFP protege contra tentativas fraudulentas de criação de conta na página de inscrição do seu aplicativo. O ATP protege contra tentativas de apropriação de conta em sua página de login. O Controle de Bots se concentra em aplicar padrões de acesso semelhantes aos humanos usando tokens e limitação dinâmica de intervalos nas sessões do cliente.

Quando você usa o Shield Advanced com a mitigação automática de DDoS na camada de aplicativo ativada, o Shield Advanced responde automaticamente aos ataques de DDoS detectados criando, avaliando e implantando mitigações personalizadas do AWS WAF em seu nome. Para obter mais informações sobre Shield Advanced, consulte Visão geral do AWS Shield Advanced e Como proteger a camada de aplicativo (camada 7) com AWS Shield Advanced e AWS WAF.
Ajustar e configurar o tratamento de tokens:Ajuste o tratamento de tokens da web ACL para obter a melhor experiência do usuário.
- Para reduzir os custos operacionais e melhorar a experiência do usuário final, ajuste seus tempos de imunidade de gerenciamento de tokens para o máximo que seus requisitos de segurança permitirem. Isso reduz ao mínimo o uso de quebra-cabeças CAPTCHA e desafios silenciosos. Para ter mais informações, consulte Como configurar a expiração de timestamps e tempos de imunidade de token no AWS WAF.
- Para ativar o compartilhamento de tokens entre aplicativos protegidos, configure uma lista de domínios de tokens para sua web ACL. Para ter mais informações, consulte Como especificar domínios de tokens e listas de domínios no AWS WAF.
Rejeitar solicitações com especificações arbitrárias de host:Configure seus recursos protegidos para exigir que os cabeçalhos Host nas solicitações da web correspondam ao recurso-alvo. Você pode aceitar um valor ou um conjunto específico de valores, como myExampleHost.com e www.myExampleHost.com, mas não aceitar valores arbitrários para o host.
Para Application Load Balancers que são origens de distribuições do CloudFront, configurar o CloudFront e o AWS WAF e fazer o tratamento adequado de tokens:Se você associar sua web ACL a um Application Load Balancer e implantar o Application Load Balancer como origem de uma distribuição do CloudFront, consulte Configuração necessária para Application Load Balancers que são origens do CloudFront.
Testar e ajustar antes da implantação:Antes de implementar qualquer alteração em sua web ACL, siga os procedimentos de testes e ajustes neste guia para ter certeza de que você está obtendo o comportamento esperado. Isso é especialmente importante para esses recursos pagos. Para obter orientação geral, consulte Testar e ajustar suas proteções do AWS WAF. Para obter informações específicas sobre os grupos de regras gerenciadas pagos, consulte Testando e implantando o ACFP, Testando e implantando o ATP e Testando e implantando o Controle de Bots do AWS WAF.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Limitação de intervalo

Como usar rótulos em solicitações da Web