測試和部署 ACFP

設定和測試 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 實作

請先在測試環境中執行這些步驟，然後在生產環境中執行。

1. 在計數模式中 AWS WAF 新增詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組

   注意

   使用此受管規則群組時，會向您收取額外費用。如需詳細資訊，請參閱 AWS WAF 定價。

   將受 AWS 管規則規則群組新增AWSManagedRulesACFPRuleSet至新的或現有的 Web ACL，並對其進行設定，使其不會改變目前的 Web ACL 行為。如需有關此規則群組之規則和標籤的詳細資訊，請參閱AWS WAF 欺詐控制帳戶創建欺詐預防（ACFP）規則組。

   • 新增受管規則群組時，請加以編輯並執行下列動作：

     • 在規則群組設定窗格中，提供應用程式帳戶註冊和建立頁面的詳細資料。ACFP 規則群組會使用此資訊來監視登入活動。如需詳細資訊，請參閱 將ACFP受管規則群組新增至您的網站 ACL。

     • 在「規則」窗格中，開啟「覆寫所有規則動作」下拉式清單並選擇Count。使用此設定時， AWS WAF 會根據規則群組中的所有規則評估要求，並僅計算結果的相符項目，同時仍將標籤新增至要求。如需詳細資訊，請參閱 覆寫規則群組中的規則動作。

       透過此覆寫，您可以監視 ACFP 管理規則的潛在影響，以判斷是否要新增例外狀況，例如內部使用案例的例外狀況。

   • 定位規則群組，使其在 Web ACL 中的現有規則之後進行評估，其優先順序設定的數值高於您已經使用的任何規則或規則群組。如需詳細資訊，請參閱 在 Web 中設定規則優先順序 ACL。

     這樣，您當前的流量處理不會中斷。例如，如果您有偵測惡意流量的規則，例如 SQL 插入或跨網站指令碼，他們將繼續偵測並記錄該流量。或者，如果您有允許已知非惡意流量的規則，它們可以繼續允許該流量，而不會讓 ACFP 受管規則群組封鎖該流量。您可能會決定在測試和調整活動期間調整處理順序。

2. 實作應用程式整合 SDK

   將 AWS WAF JavaScript SDK 整合到瀏覽器的帳戶註冊和帳戶建立路徑中。 AWS WAF 還提供移動軟件開發套件，以集成 iOS 和安卓設備。如需整合 SDK 的詳細資訊，請參閱使用用戶端應用程式整合 AWS WAF。如需有關此建議的資訊，請參閱使用應用程式整SDKs合 ACFP。

   注意

   如果您無法使用應用程式整合 SDK，可以透過在 Web ACL 中編輯 ACFP 規則群組並移除您置於規則上的覆寫來測試 ACFP 規則群組。AllRequests這會啟用規則的Challenge動作設定，以確保要求包含有效的挑戰 Token。

   首先在測試環境中執行此操作，然後在生產環境中小心執行此操作。這種方法有可能阻止用戶。例如，如果您的註冊頁面路徑不接受 GET text/html 請求，則此規則配置可以有效地阻止註冊頁面上的所有請求。

3. 啟用 Web ACL 的記錄和指標

   視需要設定網路 ACL 的記錄、Amazon 安全湖資料收集、請求取樣和 Amazon CloudWatch 指標。您可以使用這些可見度工具來監視 ACFP 受管規則群組與流量的互動。

   • 如需日誌記錄的相關資訊，請參閱日誌 AWS WAF 網路ACL流量。

   • 有關 Amazon 安全湖的信息，請參閱什麼是 Amazon 安全湖？ 以及從 Amazon 安全湖使用者指南中的 AWS 服務收集資料。

   • 如需 Amazon CloudWatch 指標的相關資訊，請參閱使用 Amazon 監控 CloudWatch。

   • 如需 Web 請求取樣的詳細資訊，請參閱檢視 Web 請求的範例。

4. 將網路 ACL 與資源建立關聯

   如果 Web ACL 尚未與測試資源相關聯，請將其關聯。如需相關資訊，請參閱關聯或取消關聯網與 ACL AWS 資源。

5. 監控流量和 ACFP 規則符合

   請確定您的一般流量正在流動，而且 ACFP 受管規則群組規則正在新增標籤至相符的 Web 要求。您可以在日誌中看到標籤，並在 Amazon 指標中查看 ACFP 和標籤 CloudWatch 指標。在記錄檔中，您覆寫規則群組中要計數的規則會顯示在action設定為 count ruleGroupList 的規則中，並overriddenAction指示您覆寫的已設定規則動作。

6. 測試規則群組的認證檢查功能

   使用測試遭到入侵的認證執行帳戶建立嘗試，並檢查規則群組是否符合預期。

   1. 存取受保護資源的帳號註冊頁面，並嘗試新增帳號。使用以下 AWS WAF 測試憑證對並輸入任何測試

      • 使用者：WAF_TEST_CREDENTIAL@wafexample.com

      • 密碼：WAF_TEST_CREDENTIAL_PASSWORD

      這些測試認證會歸類為遭到入侵的認證，而 ACFP 管理規則群組會將awswaf:managed:aws:acfp:signal:credential_compromised標籤新增至帳戶建立要求，您可以在記錄檔中看到這些要求。

   2. 在您的 Web ACL 日誌中，在測試帳戶創建請求的日誌條目的labels字段中查找awswaf:managed:aws:acfp:signal:credential_compromised標籤。如需日誌記錄的相關資訊，請參閱日誌 AWS WAF 網路ACL流量。

   驗證規則群組如預期擷取遭到入侵的認證之後，您可以根據受保護的資源所需採取步驟來設定其實作。

7. 對於 CloudFront 分發，請測試規則群組對批次建立帳號嘗試的管理

   針對您為 ACFP 規則群組設定的每個成功回應條件執行此測試。測試之間至少等待 30 分鐘。

   1. 對於每個成功條件，請確定帳戶創建嘗試，該嘗試將在響應中成功使用該成功條件。然後，在單個客戶端會話中，在 30 分鐘內執行至少 5 次成功創建帳戶嘗試。使用者通常只會在您的網站上建立一個帳戶。

      第一次成功建立帳戶之後，VolumetricSessionSuccessfulResponse規則應該會根據您的規則動作覆寫規則，開始與帳戶建立回應的其餘部分進行比對，並加上標籤並計算這些回應。由於延遲，規則可能會錯過前一個或兩個規則。

   2. 在您的 Web ACL 記錄中，在測試帳戶建立 Web 請求的記錄項目labels欄位中尋找awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high標籤。如需日誌記錄的相關資訊，請參閱日誌 AWS WAF 網路ACL流量。

   這些測試會檢查規則彙總的成功計數是否超過規則的臨界值，以驗證您的成功條件是否符合您的回應。達到臨界值之後，如果您繼續從相同的工作階段傳送帳戶建立要求，規則將繼續符合，直到成功率降至閾值以下為止。當超過臨界值時，規則會符合從工作階段位址建立成功或失敗的帳號建立嘗試。

8. 自訂 ACFP 網頁要求處理

   視需要新增明確允許或封鎖要求的自己規則，以變更 ACFP 規則處理要求的方式。

   例如，您可以使用 ACFP 標籤來允許或封鎖要求或自訂要求處理。您可以在 ACFP 管理規則群組之後新增標籤比對規則，以篩選要套用之處理的標籤要求。測試之後，請將相關的 ACFP 規則保持在計數模式中，並在自訂規則中維護要求處理決策。如需範例，請參閱ACFP 範例：對遭到入侵認證的自訂回應。

9. 移除測試規則並啟用 ACFP 受管規則群組設定

   根據您的情況，您可能已決定要將某些 ACFP 規則保留為計數模式。針對您要在規則群組內設定執行的規則，請停用 Web ACL 規則群組組態中的計數模式。完成測試後，您也可以移除測試標籤比對規則。

10. 監控和調整

    為了確保網頁要求能夠依照您的需求處理，請在啟用想要使用的 ACFP 功能之後，密切監視您的流量。使用規則群組上的規則計數覆寫，並使用您自己的規則，視需要調整行為。