Práticas recomendadas para mitigação de ameaças inteligentes - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para mitigação de ameaças inteligentes

Siga as práticas recomendadas desta seção para obter a implementação mais eficiente e econômica dos recursos de mitigação de ameaças inteligentes.

  • Implemente JavaScript os SDKs de integração de aplicativos móveis — Implemente a integração de aplicativos para habilitar o conjunto completo de funcionalidades de ACFP, ATP ou Bot Control da maneira mais eficaz possível. Os grupos de regras gerenciadas usam os tokens fornecidos pelos SDKs para separar o tráfego legítimo do cliente do tráfego indesejado no nível da sessão. Os SDKs de integração de aplicativos garantem que esses tokens estejam sempre disponíveis. Para obter detalhes, consulte:

    Use as integrações para implementar desafios em seu cliente e, para JavaScript, personalizar a forma como os quebra-cabeças CAPTCHA são apresentados aos seus usuários finais. Para obter detalhes, consulte AWS WAF integração de aplicativos clientes.

    Se você personalizar os quebra-cabeças de CAPTCHA usando a JavaScript API e usar a ação de CAPTCHA regra em qualquer lugar da sua ACL da web, siga as orientações para lidar com a resposta do AWS WAF CAPTCHA em seu cliente em. Manipulando uma resposta CAPTCHA de AWS WAF Essa orientação se aplica a todas as regras que usam a ação CAPTCHA, incluindo aquelas do grupo de regras gerenciadas do ACFP e o nível de proteção direcionada do grupo de regras gerenciadas do Controle de Bots.

  • Limite as solicitações que você envia aos grupos de regras ACFP, ATP e Bot Control — Você incorre em taxas adicionais pelo uso dos grupos de regras gerenciadas de mitigação AWS inteligente de ameaças. O grupo de regras do ACFP inspeciona as solicitações para os endpoints de registro e criação da conta que você especificar. O grupo de regras do ATP inspeciona as solicitações para o endpoint de login que você especificar. O grupo de regras do Controle de Bots inspeciona cada solicitação que chega até ele na avaliação da web ACL.

    Considere as seguintes abordagens para reduzir o uso desses grupos de regras:

    • Exclua solicitações da inspeção com uma instrução de redução de escopo na instrução do grupo de regras gerenciadas. Você pode fazer isso com qualquer instrução aninhável. Para mais informações, consulte Instruções de redução de escopo.

    • Exclua solicitações da inspeção adicionando regras antes do grupo de regras. Para regras que você não pode usar em uma instrução de redução de escopo e para situações mais complexas, como rotulagem seguida pela correspondência de rótulos, convém adicionar regras que sejam executadas antes dos grupos de regras. Para obter informações, consulte Instruções de redução de escopo e Princípios básicos da instrução de regras.

    • Execute os grupos de regras depois de regras mais baratas. Se você tiver outras AWS WAF regras padrão que bloqueiam solicitações por qualquer motivo, execute-as antes desses grupos de regras pagas. Para obter mais informações sobre regras e gerenciamento de regras, consulte Princípios básicos da instrução de regras.

    • Se você estiver usando mais de um dos grupos de regras gerenciadas de mitigação de ameaças inteligentes, execute-os na seguinte ordem para manter os custos baixos: Controle de Bots, ATP, ACFP.

    Para obter informações detalhadas sobre definição de preço, consulte Definição de preço do AWS WAF.

  • Ativar o nível de proteção direcionada do grupo de regras do Controle de Bots durante o tráfego normal da web:Algumas regras do nível de proteção direcionada precisam de tempo para estabelecer linhas de base para os padrões normais de tráfego antes que possam reconhecer e responder a padrões de tráfego irregulares ou maliciosos. Por exemplo, as regras TGT_ML_* precisam de até 24 horas para se aquecerem.

    Adicione essas proteções quando você não estiver enfrentando um ataque e dê a elas tempo para estabelecer suas linhas de base antes de esperar que respondam adequadamente aos ataques. Se você adicionar essas regras durante um ataque, após o término do ataque, o tempo para estabelecer uma linha de base geralmente é do dobro ao triplo do tempo normal necessário, devido à distorção adicionada pelo tráfego do ataque. Para obter informações adicionais sobre as regras e os tempos de aquecimento exigidos, consulte Lista de regras.

  • Para proteção distribuída de negação de serviço (DDoS), usar a mitigação automática de DDoS da camada de aplicativo do Shield Advanced:Os grupos de regras de mitigação de ameaças inteligentes não oferecem proteção contra DDoS. O ACFP protege contra tentativas fraudulentas de criação de conta na página de inscrição do seu aplicativo. O ATP protege contra tentativas de apropriação de conta em sua página de login. O Controle de Bots se concentra em aplicar padrões de acesso semelhantes aos humanos usando tokens e limitação dinâmica de intervalos nas sessões do cliente.

    Quando você usa o Shield Advanced com a mitigação automática de DDoS na camada de aplicação ativada, o Shield Advanced responde automaticamente aos ataques de DDoS detectados criando, avaliando e implantando mitigações personalizadas em seu nome. AWS WAF Para obter mais informações sobre Shield Advanced, consulte AWS Shield Advanced visão geral e AWS Shield Advanced proteções da camada de aplicação (camada 7).

  • Ajustar e configurar o tratamento de tokens:Ajuste o tratamento de tokens da web ACL para obter a melhor experiência do usuário.

    • Para reduzir os custos operacionais e melhorar a experiência do usuário final, ajuste seus tempos de imunidade de gerenciamento de tokens para o máximo que seus requisitos de segurança permitirem. Isso reduz ao mínimo o uso de quebra-cabeças CAPTCHA e desafios silenciosos. Para mais informações, consulte Expiração do timestamp: tempos de imunidade AWS WAF do token.

    • Para ativar o compartilhamento de tokens entre aplicativos protegidos, configure uma lista de domínios de tokens para sua web ACL. Para mais informações, consulte AWS WAF domínios de token e listas de domínios.

  • Rejeitar solicitações com especificações arbitrárias de host:Configure seus recursos protegidos para exigir que os cabeçalhos Host nas solicitações da web correspondam ao recurso-alvo. Você pode aceitar um valor ou um conjunto específico de valores, como myExampleHost.com e www.myExampleHost.com, mas não aceitar valores arbitrários para o host.

  • Para Application Load Balancers que são origens de CloudFront distribuições, configure CloudFront e manipule AWS WAF corretamente os tokens — Se você associar sua Web ACL a um Application Load Balancer e implantar o Application Load Balancer como origem de uma distribuição, consulte. CloudFront Configuração necessária para balanceadores de carga de aplicativos que são origens CloudFront

  • Testar e ajustar antes da implantação:Antes de implementar qualquer alteração em sua web ACL, siga os procedimentos de testes e ajustes neste guia para ter certeza de que você está obtendo o comportamento esperado. Isso é especialmente importante para esses recursos pagos. Para obter orientação geral, consulte Testando e ajustando suas AWS WAF proteções. Para obter informações específicas sobre os grupos de regras gerenciadas pagos, consulte Testando e implantando o ACFP, Testando e implantando o ATP e Testando e implantando o AWS WAF Bot Control.