Ti presentiamo una nuova esperienza di console per AWS WAF
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Lavorare con la console.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF
Segui le best practice riportate in questa sezione per l'implementazione più efficiente ed economica delle funzionalità intelligenti di mitigazione delle minacce.
-
Implementa JavaScript gli SDK per l'integrazione delle applicazioni mobili: implementa l'integrazione delle applicazioni per abilitare l'intero set di funzionalità ACFP, ATP o Bot Control nel modo più efficace possibile. I gruppi di regole gestiti utilizzano i token forniti dagli SDK per separare il traffico client legittimo dal traffico indesiderato a livello di sessione. Gli SDK di integrazione delle applicazioni assicurano che questi token siano sempre disponibili. Per ulteriori dettagli, consultare la sezione seguente:
Utilizza le integrazioni per implementare le sfide del tuo client e, per esempio JavaScript, per personalizzare il modo in cui i puzzle CAPTCHA vengono presentati agli utenti finali. Per informazioni dettagliate, vedi Integrazioni di applicazioni client in AWS WAF.
Se personalizzi i puzzle CAPTCHA utilizzando l' JavaScript API e utilizzi l'azione della CAPTCHA regola in qualsiasi punto del pacchetto di protezione (ACL web), segui le istruzioni per la gestione della risposta CAPTCHA nel tuo client all'indirizzo. AWS WAF Gestione di una risposta CAPTCHA da AWS WAF Questa guida si applica a tutte le regole che utilizzano l'CAPTCHAazione, incluse quelle del gruppo di regole gestito ACFP e il livello di protezione mirato del gruppo di regole gestito da Bot Control.
-
Limita le richieste che invii ai gruppi di regole ACFP, ATP e Bot Control: dovrai sostenere costi aggiuntivi per l'utilizzo dei gruppi di regole Managed Rules per la mitigazione intelligente delle minacce. AWS Il gruppo di regole ACFP esamina le richieste agli endpoint di registrazione e creazione degli account specificati. Il gruppo di regole ATP esamina le richieste all'endpoint di accesso specificato. Il gruppo di regole Bot Control esamina ogni richiesta che gli perviene nella valutazione del Protection Pack (Web ACL).
Considerate i seguenti approcci per ridurre l'uso di questi gruppi di regole:
-
Escludi le richieste dall'ispezione con un'istruzione scope-down nell'istruzione del gruppo di regole gestito. È possibile eseguire questa operazione con qualsiasi istruzione nestable. Per informazioni, consulta Utilizzo di istruzioni scope-down in AWS WAF.
-
Escludi le richieste dall'ispezione aggiungendo regole prima del gruppo di regole. Per le regole che non è possibile utilizzare in un'istruzione riportata verso il basso e per situazioni più complesse, come l'etichettatura seguita dalla corrispondenza delle etichette, è possibile aggiungere regole che precedono i gruppi di regole. Per informazioni, consulta Utilizzo di istruzioni scope-down in AWS WAF e Utilizzo delle istruzioni delle regole in AWS WAF.
-
Esegui i gruppi di regole in base a regole meno costose. Se hai altre AWS WAF regole standard che bloccano le richieste per qualsiasi motivo, eseguile prima di questi gruppi di regole a pagamento. Per ulteriori informazioni sulle regole e sulla gestione delle regole, consultaUtilizzo delle istruzioni delle regole in AWS WAF.
-
Se utilizzi più di uno dei gruppi di regole gestiti per la mitigazione intelligente delle minacce, eseguili nel seguente ordine per contenere i costi: Bot Control, ATP, ACFP.
Per informazioni dettagliate sui prezzi, consulta Prezzi di AWS WAF
. Puoi anche inserire regole meno costose (reputazione IP, geo-blocking) prima di Bot Control in modo che le richieste bloccate da regole più economiche non arrivino mai all'ispezione a pagamento. Per ulteriori indicazioni sulla gestione dei costi, consulta. Gestione dei costi
-
-
Non limitate le richieste che inviate al gruppo di Anti-DDoS regole: questo gruppo di regole funziona al meglio quando lo configurate per monitorare tutto il traffico web che non consentite esplicitamente il passaggio. Posizionalo nell'ACL Web in modo che venga valutato solo dopo le regole con l'azione della Allow regola e prima di tutte le altre regole.
-
Per la protezione DDoS (Distributed Denial of Service), utilizza la mitigazione DDoS automatica a livello di applicazione Anti-DDoS Shield Advanced: gli altri gruppi di regole intelligenti per la mitigazione delle minacce non forniscono la protezione DDoS. ACFP protegge dai tentativi fraudolenti di creazione di account sulla pagina di registrazione dell'applicazione. L'ATP protegge dai tentativi di acquisizione dell'account sulla pagina di accesso. Bot Control si concentra sull'applicazione di modelli di accesso simili a quelli umani utilizzando token e limiti dinamici della velocità nelle sessioni client.
Anti-DDoS consente di monitorare e controllare gli attacchi DDoS, permettendo una risposta e una mitigazione rapide delle minacce. Shield Advanced con mitigazione automatica degli attacchi DDoS a livello di applicazione risponde automaticamente agli attacchi DDoS rilevati creando, valutando e implementando mitigazioni personalizzate per tuo conto. AWS WAF
Per ulteriori informazioni su Shield Advanced, vederePanoramica di AWS Shield Advanced, eProtezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF.
Per ulteriori informazioni sulla prevenzione degli attacchi DDoS (Distributed Denial of Service), vedere Gruppo di regole DDo anti-S e. Prevenzione del Denial of Service (DDoS) distribuito
-
Abilita il gruppo di Anti-DDoS regole e il livello di protezione mirato del gruppo di regole Bot Control durante il normale traffico web: queste categorie di regole richiedono tempo per stabilire le linee di base per il traffico normale.
Abilita il livello di protezione mirato del gruppo di regole Bot Control durante il normale traffico web: alcune regole del livello di protezione mirato richiedono tempo per stabilire le linee di base per i normali modelli di traffico prima di poter riconoscere e rispondere a modelli di traffico irregolari o dannosi. Ad esempio, le
TGT_ML_*regole richiedono fino a 24 ore per riscaldarsi.Aggiungi queste protezioni quando non subisci un attacco e concedi loro il tempo di stabilire le proprie linee di base prima di aspettarsi che rispondano in modo appropriato. Se aggiungi queste regole durante un attacco, dovrai abilitare il gruppo di Anti-DDoS regole in modalità conteggio. Una volta cessato l'attacco, il tempo necessario per stabilire una linea di base è in genere dal doppio al triplo del tempo normalmente richiesto, a causa della distorsione causata dal traffico di attacco. Per ulteriori informazioni sulle regole e sugli eventuali tempi di riscaldamento richiesti, consulta. Elenco delle regole
-
Per la protezione DDoS (Distributed Denial of Service), utilizza la mitigazione DDoS automatica a livello di applicazione Shield Advanced: i gruppi di regole di mitigazione intelligente delle minacce non forniscono protezione DDoS. ACFP protegge dai tentativi fraudolenti di creazione di account sulla pagina di registrazione dell'applicazione. L'ATP protegge dai tentativi di acquisizione dell'account sulla pagina di accesso. Bot Control si concentra sull'applicazione di modelli di accesso simili a quelli umani utilizzando token e limiti dinamici della velocità nelle sessioni client.
Quando utilizzi Shield Advanced con la mitigazione automatica degli attacchi DDoS a livello di applicazione abilitata, Shield Advanced risponde automaticamente agli attacchi DDoS rilevati creando, valutando e implementando mitigazioni personalizzate per tuo conto. AWS WAF Per ulteriori informazioni su Shield Advanced, vederePanoramica di AWS Shield Advanced, eProtezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF.
-
Utilizza i carichi di traffico di produzione quando stabilisci le linee di base per il gruppo di Anti-DDoS regole: è prassi comune testare altri gruppi di regole utilizzando traffico di test artificiale. Tuttavia, quando esegui test e stabilisci linee di base per il gruppo di Anti-DDoS regole, ti consigliamo di utilizzare flussi di traffico che riflettano i carichi nell'ambiente di produzione. Stabilire Anti-DDoS linee di base utilizzando il traffico tipico è il modo migliore per garantire la protezione delle risorse quando il gruppo di regole è abilitato in un ambiente di produzione.
-
Ottimizza e configura la gestione dei token: regola la gestione dei token del Protection Pack (Web ACL) per la migliore esperienza utente.
-
Per ridurre i costi operativi e migliorare l'esperienza dell'utente finale, ottimizza i tempi di immunità per la gestione dei token in modo che i requisiti di sicurezza consentano. Ciò riduce al minimo l'uso di puzzle CAPTCHA e sfide silenziose. Per informazioni, consulta Impostazione dei tempi di scadenza del timestamp e dell'immunità dei token in AWS WAF.
-
Per abilitare la condivisione dei token tra applicazioni protette, configura un elenco di domini di token per il tuo pacchetto di protezione (web ACL). Per informazioni, consulta Specificazione di domini di token ed elenchi di domini in AWS WAF.
-
-
Rifiuta le richieste con specifiche arbitrarie dell'host: configura le risorse protette in modo che le
Hostintestazioni delle richieste Web corrispondano alla risorsa di destinazione. Puoi accettare un valore o un set specifico di valori, ad esempiomyExampleHost.comewww.myExampleHost.com, ma non accettare valori arbitrari per l'host. -
Per gli Application Load Balancer che sono l'origine CloudFront delle distribuzioni, configurali CloudFront e AWS WAF per una corretta gestione dei token: se associ il tuo protection pack (web ACL) a un Application Load Balancer e distribuisci Application Load Balancer come origine per una distribuzione, vedi. CloudFront Configurazione richiesta per Application Load Balancer che sono origini CloudFront
-
Esegui test e ottimizza prima della distribuzione: prima di implementare qualsiasi modifica al tuo pacchetto di protezione (ACL Web), segui le procedure di test e ottimizzazione riportate in questa guida per assicurarti di ottenere il comportamento previsto. Ciò è particolarmente importante per queste funzionalità a pagamento. Per indicazioni generali, vedereTest e ottimizzazione delle protezioni AWS WAF. Per informazioni specifiche sui gruppi di regole gestite a pagamento, consulta Test e implementazione di ACFPTest e implementazione dell'ATP, eTest e implementazione di AWS WAF Bot Control.
