Testen und Bereitstellen von ACFP - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Testen und Bereitstellen von ACFP

Dieser Abschnitt enthält allgemeine Anleitungen zur Konfiguration und zum Testen einer Implementierung zur AWS WAF Betrugsbekämpfung (Fraud Control Account Creation Fraud Prevention, ACFP) für Ihre Website. Für welche Schritte Sie sich im Einzelnen entscheiden, hängt von Ihren Anforderungen, Ihren Ressourcen und den bei Ihnen eingehenden Webanforderungen ab.

Diese Informationen ergänzen die allgemeinen Informationen zum Testen und Optimieren unterTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen.

Anmerkung

AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des Modells der gemeinsamen Verantwortung können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind.

Risiken rund um Produktionsdatenverkehr

Bevor Sie Ihre ACFP-Implementierung für den Produktionsdatenverkehr einsetzen, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren.

AWS WAF stellt Testanmeldedaten bereit, mit denen Sie Ihre ACFP-Konfiguration überprüfen können. Im folgenden Verfahren konfigurieren Sie ein Test-Schutzpaket oder eine Web-ACL für die Verwendung der verwalteten ACFP-Regelgruppe, konfigurieren eine Regel, um das von der Regelgruppe hinzugefügte Label zu erfassen, und führen dann mit diesen Testanmeldedaten einen Versuch durch, ein Konto zu erstellen. Sie überprüfen, ob Ihr Schutzpaket oder Ihre Web-ACL den Versuch ordnungsgemäß bewältigt hat, indem Sie die CloudWatch Amazon-Metriken für den Versuch der Kontoerstellung überprüfen.

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie man AWS WAF Schutzpakete oder Websites ACLs, Regeln und Regelgruppen erstellt und verwaltet. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt.

Um eine Implementierung zur Erstellung von AWS WAF Fraud Control-Konten und zur Betrugsprävention (ACFP) zu konfigurieren und zu testen

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

  1. Fügen Sie die AWS WAF verwaltete Regelgruppe zur Erstellung von Fraud Control-Konten und Fraud Prevention (ACFP) im Zählmodus hinzu
    Anmerkung

    Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF  – Preise.

    Fügen Sie die Regelgruppe AWSManagedRulesACFPRuleSet „ AWS Verwaltete Regeln“ einem neuen oder vorhandenen Schutzpaket oder einer Web-ACL hinzu und konfigurieren Sie sie so, dass sie das aktuelle Verhalten des Schutzpakets oder der Web-ACL nicht verändert. Weitere Informationen zu den Regeln und Bezeichnungen für diese Regelgruppe finden Sie unter AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung.

    • Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor:

      • Geben Sie im Bereich „Konfiguration der Regelgruppe“ die Details zu den Seiten zur Kontoregistrierung und Kontoerstellung Ihrer Anwendung ein. Die ACFP-Regelgruppe verwendet diese Informationen zur Überwachung der Anmeldeaktivitäten. Weitere Informationen finden Sie unter Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL.

      • Öffnen Sie im Bereich Regeln die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie aus. Count Mit dieser Konfiguration wertet AWS WAF Anforderungen nach allen Regeln in der Regelgruppe aus und zählt nur die daraus resultierenden Übereinstimmungen. Gleichzeitig werden weiterhin Beschriftungen zu Anforderungen hinzugefügt. Weitere Informationen finden Sie unter Regelaktionen in einer Regelgruppe überschreiben.

        Mit dieser Außerkraftsetzung können Sie die potenziellen Auswirkungen der von ACFP verwalteten Regeln überwachen und entscheiden, ob Sie Ausnahmen hinzufügen möchten, z. B. Ausnahmen für interne Anwendungsfälle.

    • Positionieren Sie die Regelgruppe so, dass sie anhand Ihrer vorhandenen Regeln im Protection Pack oder in der Web-ACL bewertet wird, wobei die Priorität numerisch höher ist als die aller Regeln oder Regelgruppen, die Sie bereits verwenden. Weitere Informationen finden Sie unter Regelpriorität festlegen.

      Auf diese Weise wird Ihre derzeitige Handhabung des Datenverkehrs nicht gestört. Wenn Sie beispielsweise Regeln haben, die bösartigen Datenverkehr wie SQL-Injections oder Cross-Site-Scripting erkennen, erkennen und protokollieren sie diese Probleme weiterhin. Wenn Sie Regeln haben, die bekannten nicht bösartigen Datenverkehr zulassen, können diese Regeln diesen Datenverkehr auch weiterhin zulassen, ohne dass er von der verwalteten ACFP-Regelgruppe blockiert wird. Möglicherweise entscheiden Sie sich, die Verarbeitungsreihenfolge während Ihrer Test- und Optimierungsaktivitäten anzupassen.

  2. Implementieren Sie die Anwendungsintegration SDKs

    Integrieren Sie das AWS WAF JavaScript SDK in die Kontoregistrierungs- und Kontoerstellungspfade Ihres Browsers. AWS WAF bietet auch mobile Geräte SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zur Integration finden Sie SDKs unterIntegrationen von Client-Anwendungen in AWS WAF. Informationen zu dieser Empfehlung finden Sie unterAnwendungsintegration SDKs mit ACFP verwenden.

    Anmerkung

    Wenn Sie die Anwendungsintegration nicht verwenden können SDKs, können Sie die ACFP-Regelgruppe testen, indem Sie sie in Ihrem Schutzpaket oder Ihrer Web-ACL bearbeiten und die Überschreibung entfernen, die Sie der AllRequests Regel zugewiesen haben. Dadurch wird die Challenge Aktionseinstellung der Regel aktiviert, um sicherzustellen, dass Anfragen ein gültiges Challenge-Token enthalten.

    Tun Sie dies zuerst in einer Testumgebung und dann mit größter Sorgfalt in Ihrer Produktionsumgebung. Dieser Ansatz hat das Potenzial, Benutzer zu blockieren. Wenn der Pfad Ihrer Registrierungsseite beispielsweise keine GET text/html Anfragen akzeptiert, kann diese Regelkonfiguration effektiv alle Anfragen auf der Registrierungsseite blockieren.

  3. Aktivieren Sie die Protokollierung und die Metriken für das Protection Pack oder die Web-ACL

    Konfigurieren Sie nach Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für das Protection Pack oder die Web-ACL. Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der von ACFP verwalteten Regelgruppe mit Ihrem Datenverkehr zu überwachen.

  4. Ordnen Sie das Protection Pack oder die Web-ACL einer Ressource zu

    Wenn das Schutzpaket oder die Web-ACL noch nicht mit einer Testressource verknüpft ist, ordnen Sie es zu. Weitere Informationen finden Sie unter Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS.

  5. Überwachen Sie den Datenverkehr und die Übereinstimmung mit den ACFP-Regeln

    Stellen Sie sicher, dass Ihr normaler Datenverkehr fließt und dass die Regeln für verwaltete ACFP-Regelgruppen übereinstimmende Webanfragen mit Labels versehen. Sie können die Labels in den Protokollen und die ACFP- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, in der Liste mit auf zählen action gesetzt und ruleGroupList mit der overriddenAction Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben.

  6. Testen der Regelgruppenfunktionen zur Überprüfung von Anmeldeinformationen

    Führen Sie einen Versuch zur Kontoerstellung mit manipulierten Testanmeldedaten durch und überprüfen Sie, ob die Regelgruppe erwartungsgemäß mit ihnen übereinstimmt.

    1. Rufen Sie die Kontoregistrierungsseite Ihrer geschützten Ressource auf und versuchen Sie, ein neues Konto hinzuzufügen. Verwenden Sie das folgende Paar AWS WAF Testanmeldeinformationen und geben Sie einen beliebigen Test ein

      • Benutzer: WAF_TEST_CREDENTIAL@wafexample.com

      • Passwort: WAF_TEST_CREDENTIAL_PASSWORD

      Diese Testanmeldedaten werden als kompromittierte Anmeldeinformationen eingestuft, und die von ACFP verwaltete Regelgruppe fügt der Anfrage zur Kontoerstellung die awswaf:managed:aws:acfp:signal:credential_compromised Bezeichnung hinzu, die Sie in den Protokollen sehen können.

    2. Suchen Sie in Ihrem Protection Pack oder in den Web-ACL-Protokollen nach der awswaf:managed:aws:acfp:signal:credential_compromised Bezeichnung im labels Feld in den Protokolleinträgen für Ihre Anfrage zur Erstellung eines Testkontos. Weitere Informationen zur Protokollierung finden Sie unter Protokollierung AWS WAF des Protection Pack- oder Web-ACL-Datenverkehrs.

    Nachdem Sie sich vergewissert haben, dass die Regelgruppe kompromittierte Anmeldeinformationen wie erwartet erfasst, können Sie Maßnahmen ergreifen, um die Implementierung für Ihre geschützte Ressource nach Bedarf zu konfigurieren.

  7. Testen Sie bei CloudFront Distributionen, wie die Regelgruppe versucht, mehrere Konten gleichzeitig zu erstellen

    Führen Sie diesen Test für jedes Erfolgskriterium aus, das Sie für die ACFP-Regelgruppe konfiguriert haben. Warten Sie zwischen den Tests mindestens 30 Minuten.

    1. Identifizieren Sie für jedes Ihrer Erfolgskriterien einen Versuch, ein Konto zu erstellen, der mit diesen Erfolgskriterien in der Antwort erfolgreich sein wird. Führen Sie dann von einer einzigen Kundensitzung aus mindestens 5 erfolgreiche Versuche zur Kontoerstellung in weniger als 30 Minuten durch. Ein Benutzer würde normalerweise nur ein einziges Konto auf Ihrer Site erstellen.

      Nach der ersten erfolgreichen Kontoerstellung sollte die VolumetricSessionSuccessfulResponse Regel beginnen, sie mit den übrigen Antworten auf die Kontoerstellung abzugleichen, sie zu kennzeichnen und zu zählen, je nachdem, welche Regelaktion Sie außer Kraft gesetzt haben. Bei der Regel fehlen aufgrund der Latenz möglicherweise die ersten ein oder zwei Antworten.

    2. Suchen Sie in Ihren Protection Pack- oder Web-ACL-Protokollen nach der awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high Bezeichnung im labels Feld in den Protokolleinträgen für Ihre Webanfragen zur Erstellung von Testkonten. Weitere Informationen zur Protokollierung finden Sie unter Protokollierung AWS WAF des Protection Pack- oder Web-ACL-Datenverkehrs.

    Mit diesen Tests wird überprüft, ob Ihre Erfolgskriterien mit Ihren Antworten übereinstimmen, indem geprüft wird, ob die Anzahl der erfolgreichen Ergebnisse, die nach der Regel zusammengefasst wurden, den Schwellenwert der Regel überschreitet. Wenn Sie nach Erreichen des Schwellenwerts weiterhin Anfragen zur Kontoerstellung aus derselben Sitzung senden, gilt die Regel weiterhin, bis die Erfolgsquote unter den Schwellenwert fällt. Solange der Schwellenwert überschritten ist, berücksichtigt die Regel sowohl erfolgreiche als auch fehlgeschlagene Kontoerstellungsversuche von der Sitzungsadresse aus.

  8. Passen Sie die Behandlung von ACFP-Webanfragen an

    Fügen Sie nach Bedarf Ihre eigenen Regeln hinzu, die Anfragen explizit zulassen oder blockieren, um zu ändern, wie ACFP-Regeln sie sonst behandeln würden.

    Beispielsweise können Sie ACFP-Labels verwenden, um Anfragen zuzulassen oder zu blockieren oder die Bearbeitung von Anfragen anzupassen. Sie können hinter der verwalteten ACFP-Regelgruppe eine Regel für den Label-Abgleich hinzufügen, um markierte Anfragen nach der Bearbeitung zu filtern, die Sie anwenden möchten. Behalten Sie nach dem Testen die zugehörigen ACFP-Regeln im Zählmodus bei und behalten Sie die Entscheidungen zur Bearbeitung von Anfragen in Ihrer benutzerdefinierten Regel bei. Ein Beispiel finden Sie unter ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen.

  9. Entfernen Sie Ihre Testregeln und aktivieren Sie die Einstellungen für verwaltete ACFP-Regelgruppen

    Abhängig von Ihrer Situation haben Sie sich möglicherweise entschieden, einige ACFP-Regeln im Zählmodus zu belassen. Für die Regeln, die Sie wie in der Regelgruppe konfiguriert ausführen möchten, deaktivieren Sie den Zählmodus in der Konfiguration des Schutzpakets oder der Web-ACL-Regelgruppe. Wenn Sie mit dem Testen fertig sind, können Sie auch Ihre Testlabel-Vergleichsregeln entfernen.

  10. Überwachen und Anpassen

    Um sicherzustellen, dass Webanfragen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau beobachten, nachdem Sie die ACFP-Funktionalität aktiviert haben, die Sie verwenden möchten. Passen Sie das Verhalten nach Bedarf mit der Überschreibung der Regelzählung für die Regelgruppe und mit Ihren eigenen Regeln an.

Wenn Sie das AWS WAF JavaScript SDK nach Abschluss des Tests Ihrer ACFP-Regelgruppenimplementierung noch nicht in die Seiten zur Kontoregistrierung und Kontoerstellung Ihres Browsers integriert haben, empfehlen wir Ihnen dringend, dies zu tun. AWS WAF bietet auch mobile Geräte SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zur Integration finden Sie SDKs unterIntegrationen von Client-Anwendungen in AWS WAF. Informationen zu dieser Empfehlung finden Sie unterAnwendungsintegration SDKs mit ACFP verwenden.