**Présentation d'une nouvelle expérience de console pour AWS WAF**
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Options pour une atténuation intelligente des menaces dans AWS WAF
Cette section fournit une comparaison détaillée des options de mise en œuvre d'une atténuation intelligente des menaces.
AWS WAF propose les types de protection suivants pour une atténuation intelligente des menaces.
+ **AWS WAF Contrôle des fraudes et prévention des fraudes à la création de comptes (ACFP)** : détecte et gère les tentatives de création de compte malveillantes sur la page d'inscription de votre application. Les fonctionnalités de base sont fournies par le groupe de règles géré par l'ACFP. Pour plus d’informations, consultez [AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md) et [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Prévention du piratage de compte Fraud Control (ATP)** : détecte et gère les tentatives de piratage malveillantes sur la page de connexion de votre application. Les fonctionnalités de base sont fournies par le groupe de règles géré par ATP. Pour plus d’informations, consultez [AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)](waf-atp.md) et [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md).
+ **AWS WAF Contrôle des robots** — Identifie, étiquette et gère les robots sympathiques et malveillants. Cette fonctionnalité permet de gérer les robots courants dont les signatures sont uniques dans toutes les applications, ainsi que les robots ciblés dont les signatures sont spécifiques à une application. Les fonctionnalités de base sont fournies par le groupe de règles géré par Bot Control. Pour plus d’informations, consultez [AWS WAF Contrôle des robots](waf-bot-control.md) et [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).
+ **Intégration des applications clientes SDKs** : validez les sessions client et les utilisateurs finaux sur vos pages Web et acquérez AWS WAF des jetons que les clients pourront utiliser dans leurs demandes Web. Si vous utilisez ACFP, ATP ou Bot Control, implémentez l'intégration de l'application SDKs dans votre application cliente si possible, afin de tirer pleinement parti de toutes les fonctionnalités du groupe de règles. Nous recommandons d'utiliser ces groupes de règles sans intégration du SDK uniquement à titre de mesure temporaire, lorsqu'une ressource critique doit être rapidement sécurisée et qu'il n'y a pas assez de temps pour intégrer le SDK. Pour plus d'informations sur la mise en œuvre du SDKs, consultez[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).
+ **Challengeet actions CAPTCHA relatives aux règles** : validez les sessions des clients et les utilisateurs finaux et obtenez AWS WAF des jetons que les clients pourront utiliser dans leurs requêtes Web. Vous pouvez les implémenter partout où vous spécifiez une action de règle, dans vos règles et en tant que dérogations dans les groupes de règles que vous utilisez. Ces actions utilisent des AWS WAF JavaScript interstitiels pour interroger le client ou l'utilisateur final, et elles nécessitent des applications clientes qui les prennent en charge. JavaScript Pour de plus amples informations, veuillez consulter [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).
Les groupes de règles AWS Managed Rules d'atténuation intelligente des menaces ACFP, ATP et Bot Control utilisent des jetons pour une détection avancée. Pour plus d'informations sur les fonctionnalités activées par les jetons dans les groupes de règles, reportez-vous aux [Utilisation de l'intégration des applications SDKs avec ATP](waf-atp-with-tokens.md) sections[Utilisation de l'intégration d'applications SDKs avec ACFP](waf-acfp-with-tokens.md), et[Utilisation de l'intégration d'applications SDKs avec Bot Control](waf-bot-with-tokens.md).
Vos options pour mettre en œuvre une atténuation intelligente des menaces vont de l'utilisation de base d'actions de règles pour relever des défis et imposer l'acquisition de jetons, aux fonctionnalités avancées offertes par les groupes de règles de AWS gestion des règles d'atténuation intelligente des menaces.
Les tableaux suivants fournissent des comparaisons détaillées des options pour les fonctionnalités de base et avancées.
**Topics**
+ [Options pour les défis et l'acquisition de jetons](waf-managed-protections-comparison-table-token.md)
+ [Options pour l'atténuation intelligente des menaces, groupes de règles gérés](waf-managed-protections-comparison-table-rg.md)
+ [Options de limitation du débit dans les règles basées sur les taux et dans les règles de contrôle des bots ciblées](waf-rate-limiting-options.md)
# Options pour les défis et l'acquisition de jetons
Cette section compare les options de gestion des défis et des jetons.
Vous pouvez proposer des défis et acquérir des jetons à l'aide de l'intégration de l' AWS WAF application SDKs ou des actions de règles Challenge etCAPTCHA. D'une manière générale, les actions relatives aux règles sont plus faciles à mettre en œuvre, mais elles entraînent des coûts supplémentaires, s'immiscent davantage sur votre expérience client et sont obligatoires. JavaScript Ils SDKs nécessitent une programmation dans vos applications clientes, mais ils peuvent offrir une meilleure expérience client, ils sont gratuits et peuvent être utilisés avec JavaScript ou dans des applications Android ou iOS. Vous ne pouvez utiliser l'intégration de l'application qu' SDKs avec des packs de protection (Web ACLs) qui utilisent l'un des groupes de règles gérés payants d'atténuation intelligente des menaces, décrits dans la section suivante.
**Comparaison des options pour les défis et l'acquisition de jetons**
| | Action de règle Challenge | Action de règle CAPTCHA | JavaScript Défi du SDK | Défi du SDK mobile |
| --- | --- | --- | --- | --- |
| Qu'est-ce que c'est | Règle : action qui impose l'acquisition du AWS WAF jeton en présentant au client du navigateur un défi silencieux (interstitiel) | Règle : action qui impose l'acquisition du AWS WAF jeton en présentant à l'utilisateur final un défi visuel ou audio (interstitiel) | Couche d'intégration des applications, pour les navigateurs clients et les autres appareils qui s'exécutentJavaScript. Lance le défi silencieux et obtient un jeton | Couche d'intégration des applications, pour les applications Android et iOS. Rend nativement le défi silencieux et obtient un jeton |
| Bon choix pour... | Validation silencieuse contre les sessions de bots et application de l'acquisition de jetons pour les clients qui prennent en charge JavaScript | Validation silencieuse par l'utilisateur final contre les sessions de bot et application de l'acquisition de jetons, pour les clients qui prennent en charge JavaScript | Validation silencieuse contre les sessions de bots et mise en œuvre de l'acquisition de jetons pour les clients qui les prennent en charge JavaScript. Ils SDKs offrent la latence la plus faible et le meilleur contrôle sur l'endroit où le script de défi s'exécute dans l'application. | Validation silencieuse contre les sessions de bots et application de l'acquisition de jetons pour les applications mobiles natives sur Android et iOS. Ils SDKs offrent la latence la plus faible et le meilleur contrôle sur l'endroit où le script de défi s'exécute dans l'application. |
| Considérations relatives à la | Implémenté en tant que règle, paramètre d'action | Implémenté en tant que règle, paramètre d'action | Nécessite l'un des groupes de règles payants ACFP, ATP ou Bot Control du pack de protection (ACL Web). Nécessite un codage dans l'application client. | Nécessite l'un des groupes de règles payants ACFP, ATP ou Bot Control du pack de protection (ACL Web). Nécessite un codage dans l'application client. |
| Considérations relatives à l’exécution | Flux intrusif pour les demandes sans jetons valides. Le client est redirigé vers un interstitiel de AWS WAF challenge. Ajoute des allers-retours sur le réseau et nécessite une deuxième évaluation de la requête Web. | Flux intrusif pour les demandes sans jetons valides. Le client est redirigé vers un AWS WAF interstitiel CAPTCHA. Ajoute des allers-retours sur le réseau et nécessite une deuxième évaluation de la requête Web. | Peut être exécuté dans les coulisses. Vous permet de mieux contrôler l'expérience du défi. | Peut être exécuté dans les coulisses. Vous permet de mieux contrôler l'expérience du défi. |
| Requiert JavaScript | Oui | Oui | Oui | Non |
| Clients pris en charge | Navigateur et appareils qui exécutent Javascript | Navigateur et appareils qui exécutent Javascript | Navigateur et appareils qui exécutent Javascript | Appareils Android et iOS |
| Supporte les applications d'une seule page (SPA) | Exécution uniquement. Vous pouvez utiliser cette Challenge action conjointement avec le SDKs, pour vous assurer que les demandes contiennent un jeton de défi valide. Vous ne pouvez pas utiliser l'action de règle pour envoyer le script de défi à la page. | Exécution uniquement. Vous pouvez utiliser cette CAPTCHA action conjointement avec leSDKs, pour vous assurer que les demandes contiennent un jeton CAPTCHA valide. Vous ne pouvez pas utiliser l'action de règle pour envoyer le script CAPTCHA à la page. | Oui | N/A |
| Coût supplémentaire | Oui, pour les paramètres d'action que vous spécifiez explicitement, soit dans les règles que vous définissez, soit en tant que dérogation aux actions des règles dans les groupes de règles que vous utilisez. Non dans tous les autres cas. | Oui, pour les paramètres d'action que vous spécifiez explicitement, soit dans les règles que vous définissez, soit en tant que dérogation aux actions des règles dans les groupes de règles que vous utilisez. Non dans tous les autres cas. | Non, mais nécessite l'un des groupes de règles payants ACFP, ATP ou Bot Control. | Non, mais nécessite l'un des groupes de règles payants ACFP, ATP ou Bot Control. |
Pour plus de détails sur les coûts associés à ces options, consultez les informations relatives à l'atténuation intelligente des menaces sur la page [AWS WAF Tarification](https://aws.amazon.com/waf/pricing/).
Il peut être plus simple de lancer des défis et d'appliquer les jetons de base en ajoutant simplement une règle avec une CAPTCHA action Challenge ou. Vous devrez peut-être utiliser les actions des règles, par exemple si vous n'avez pas accès au code de l'application.
SDKs Cependant, si vous pouvez l'implémenter, vous pouvez réduire les coûts et réduire le temps de latence lors de l'évaluation des demandes Web des clients dans votre pack de protection (ACL Web), par rapport à l'utilisation de l'Challengeaction suivante :
+ Vous pouvez écrire l'implémentation de votre SDK pour exécuter le défi à n'importe quel moment de votre application. Vous pouvez acquérir le jeton en arrière-plan, avant toute action du client susceptible d'envoyer une demande Web à votre ressource protégée. De cette façon, le jeton peut être envoyé avec la première demande de votre client.
+ Si, au contraire, vous acquérez des jetons en implémentant une règle avec l'Challengeaction, la règle et l'action nécessitent une évaluation et un traitement supplémentaires des requêtes Web lorsque le client envoie une demande pour la première fois et chaque fois que le jeton expire. L'Challengeaction bloque la demande qui ne contient pas de jeton valide et non expiré et renvoie l'interstitiel de défi au client. Une fois que le client a répondu avec succès au défi, l'interstitiel renvoie la demande Web d'origine avec le jeton valide, qui est ensuite évalué une deuxième fois par le pack de protection (ACL Web).
# Options pour l'atténuation intelligente des menaces, groupes de règles gérés
Cette section compare les options des groupes de règles gérés.
Les groupes de règles AWS gérées pour l'atténuation intelligente des menaces permettent de gérer les robots de base, de détecter et d'atténuer les robots malveillants sophistiqués, de détecter et d'atténuer les tentatives de prise de contrôle de comptes, ainsi que de détecter et d'atténuer les tentatives de création de comptes frauduleuses. Ces groupes de règles, combinés à l'intégration des applications SDKs décrite dans la section précédente, fournissent les protections les plus avancées et un couplage sécurisé avec vos applications clientes.
**Comparaison des options de groupes de règles gérées**
| | ACFP | ATP | Bot Control (niveau commun) | Niveau ciblé de Bot Control |
| --- | --- | --- | --- | --- |
| Qu'est-ce que c'est | Gère les demandes susceptibles de faire partie de tentatives de création de compte frauduleuses sur les pages d'inscription et d'inscription d'une application.Ne gère pas les robots. Consultez [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md). | Gère les demandes susceptibles de faire partie de tentatives de prise de contrôle malveillantes sur la page de connexion d'une application.Ne gère pas les robots. Consultez [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md). | Gère les robots courants qui s'identifient eux-mêmes, avec des signatures uniques pour toutes les applications.Consultez [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). | Gère les robots ciblés qui ne s'identifient pas eux-mêmes, avec des signatures spécifiques à une application.Consultez [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). |
| Bon choix pour... | L'inspection du trafic de création de comptes pour détecter toute création de compte frauduleuse attaque les tentatives de création de tels comptes en passant par le nom d'utilisateur et en créant de nombreux nouveaux comptes à partir d'une seule adresse IP. | L'inspection du trafic de connexion pour détecter le piratage de compte attaque les tentatives de connexion par traversée de mots de passe et les nombreuses tentatives de connexion effectuées à partir de la même adresse IP. Lorsqu'il est utilisé avec des jetons, il fournit également des protections globales telles que la limitation du débit IPs et les sessions client en cas d'échec d'un grand nombre de tentatives de connexion. | Protection de base contre les bots et étiquetage du trafic de bots courant et automatisé. | Protection ciblée contre les robots sophistiqués, notamment en limitant le débit au niveau de la session client et en détectant et atténuant les outils d'automatisation des navigateurs tels que Selenium et Puppeteer. |
| Ajoute des étiquettes indiquant les résultats de l'évaluation | Oui | Oui | Oui | Oui |
| Ajoute des étiquettes de jetons | Oui | Oui | Oui | Oui |
| Blocage des demandes dont le jeton n'est pas valide | Non inclus Consultez [Blocage des demandes dont le AWS WAF jeton n'est pas valide](waf-tokens-block-missing-tokens.md). | Non inclus Consultez [Blocage des demandes dont le AWS WAF jeton n'est pas valide](waf-tokens-block-missing-tokens.md). | Non inclus Consultez [Blocage des demandes dont le AWS WAF jeton n'est pas valide](waf-tokens-block-missing-tokens.md). | Bloque les sessions client qui envoient 5 demandes sans jeton. |
| Nécessite le AWS WAF jeton aws-waf-token | Obligatoire pour toutes les règles.Consultez [Utilisation de l'intégration d'applications SDKs avec ACFP](waf-acfp-with-tokens.md). | Obligatoire pour de nombreuses règles.Consultez [Utilisation de l'intégration des applications SDKs avec ATP](waf-atp-with-tokens.md). | Non | Oui |
| Acquiert le AWS WAF jeton aws-waf-token | Oui, conformément à la règle AllRequests | Non | Non | Certaines règles utilisent Challenge ou CAPTCHA régissent des actions qui permettent d'acquérir des jetons. |
Pour plus de détails sur les coûts associés à ces options, consultez les informations relatives à l'atténuation intelligente des menaces sur la page [AWS WAF Tarification](https://aws.amazon.com/waf/pricing/).
# Options de limitation du débit dans les règles basées sur les taux et dans les règles de contrôle des bots ciblées
Cette section compare les options d'atténuation basées sur le taux.
Le niveau ciblé du groupe de règles AWS WAF Bot Control et l'énoncé de règle AWS WAF basé sur le taux permettent tous deux de limiter le débit des requêtes Web. Le tableau suivant compare les deux options.
**Comparaison des options de détection et d'atténuation basées sur le débit**
| | AWS WAF règle basée sur le taux | AWS WAF Règles ciblées de Bot Control |
| --- | --- | --- |
| Comment la limitation de débit est appliquée | Agit sur des groupes de demandes qui arrivent à un rythme trop élevé. Vous pouvez appliquer n'importe quelle action à l'exception deAllow. | Applique des modèles d'accès similaires à ceux des humains et applique une limitation dynamique du débit, grâce à l'utilisation de jetons de demande. |
| Sur la base de l'historique du trafic ? | Non | Oui |
| Temps nécessaire pour accumuler les données de référence du trafic historique | N/A | Cinq minutes pour les seuils dynamiques. N/A pour jeton absent. |
| Retard d'atténuation | Habituellement 30 à 50 secondes. Cela peut prendre plusieurs minutes. | Généralement moins de 10 secondes. Cela peut prendre plusieurs minutes. |
| Objectifs d'atténuation | Configurable. Vous pouvez regrouper les demandes à l'aide d'une instruction scope-down et d'une ou de plusieurs clés d'agrégation, telles que l'adresse IP, la méthode HTTP et la chaîne de requête. | Adresses IP et sessions client |
| Niveau de volume de trafic requis pour déclencher des mesures d'atténuation | Moyen : le nombre de demandes peut être inférieur à 10 dans le créneau horaire spécifié | Faible : conçu pour détecter les modèles clients tels que les scrapers lents |
| Seuils personnalisables | Oui | Non |
| Action d'atténuation par défaut | La valeur par défaut de la console estBlock. Aucun paramètre par défaut dans l'API ; le paramètre est obligatoire. Vous pouvez définir cette option pour n'importe quelle action de règle, à l'exception deAllow. | Les paramètres d'action des règles du groupe de règles Challenge concernent l'absence de jeton et CAPTCHA le trafic à volume élevé provenant d'une seule session client. Vous pouvez définir l'une ou l'autre de ces règles pour n'importe quelle action de règle valide. |
| Résilience face aux attaques hautement distribuées | Moyen : 10 000 adresses IP maximum pour limiter les adresses IP à elle seule | Moyen : limité à 50 000 au total entre les adresses IP et les jetons |
| [AWS WAF Tarification](https://aws.amazon.com/waf/pricing/) | Inclus dans les frais standard pour AWS WAF. | Inclus dans les frais correspondant au niveau ciblé d'atténuation intelligente des menaces par Bot Control. |
| Pour plus d'informations | [Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md) | [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) |