Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF

Folgen Sie den bewährten Methoden in diesem Abschnitt, um die Funktionen zur intelligenten Bedrohungsabwehr am effizientesten und kostengünstigsten zu implementieren.

  • Implementierung der Integration JavaScript und Integration mobiler Anwendungen SDKs — Implementieren Sie die Anwendungsintegration, um den vollen Funktionsumfang von ACFP, ATP oder Bot Control so effektiv wie möglich zu nutzen. Die verwalteten Regelgruppen verwenden die von der bereitgestellten Token SDKs , um legitimen Client-Verkehr von unerwünschtem Datenverkehr auf Sitzungsebene zu trennen. Die Anwendungsintegration SDKs stellt sicher, dass diese Token immer verfügbar sind. Details dazu finden Sie unter:

    Verwenden Sie die Integrationen, um Herausforderungen in Ihrem Client zu implementieren und beispielsweise die Art und Weise anzupassen JavaScript, wie CAPTCHA-Rätsel Ihren Endbenutzern präsentiert werden. Details hierzu finden Sie unter Integrationen von Client-Anwendungen in AWS WAF.

    Wenn Sie CAPTCHA-Rätsel mithilfe der JavaScript API anpassen und die CAPTCHA Regelaktion an einer beliebigen Stelle in Ihrem Schutzpaket oder Ihrer Web-ACL verwenden, folgen Sie den Anweisungen zum Umgang mit der AWS WAF CAPTCHA-Antwort in Ihrem Client unter. Umgang mit einer CAPTCHA-Antwort von AWS WAF Diese Anleitung gilt für alle Regeln, die die CAPTCHA Aktion verwenden, einschließlich der Regeln in der verwalteten ACFP-Regelgruppe und der angestrebten Schutzstufe der verwalteten Regelgruppe Bot Control.

  • Beschränken Sie die Anfragen, die Sie an die Regelgruppen ACFP, ATP und Bot Control senden. Für die Nutzung der Regelgruppen mit intelligenten AWS verwalteten Regeln zur Abwehr von Bedrohungen fallen zusätzliche Gebühren an. Die ACFP-Regelgruppe überprüft Anfragen an die von Ihnen angegebenen Endpunkte für die Kontoregistrierung und Kontoerstellung. Die ATP-Regelgruppe überprüft Anfragen an den von Ihnen angegebenen Anmeldeendpunkt. Die Regelgruppe Bot Control überprüft jede Anfrage, die sie im Rahmen des Protection Packs oder der Web-ACL-Evaluierung erreicht.

    Ziehen Sie die folgenden Ansätze in Betracht, um die Verwendung dieser Regelgruppen zu reduzieren:

    • Schließen Sie Anfragen von der Prüfung aus, wenn Sie in der Erklärung zur verwalteten Regelgruppe eine Erklärung zum Umfang angeben. Sie können dies mit jeder verschachtelten Anweisung tun. Weitere Informationen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF.

    • Schließen Sie Anfragen von der Prüfung aus, indem Sie Regeln vor der Regelgruppe hinzufügen. Für Regeln, die Sie nicht in einer Scope-down-Anweisung verwenden können, und für komplexere Situationen, wie z. B. die Kennzeichnung gefolgt von der Zuordnung von Bezeichnungen, möchten Sie möglicherweise Regeln hinzufügen, die vor den Regelgruppen ausgeführt werden. Weitere Informationen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF und Verwenden von Regelanweisungen in AWS WAF.

    • Führen Sie die Regelgruppen nach den kostengünstigeren Regeln aus. Wenn Sie andere AWS WAF Standardregeln haben, die Anfragen aus irgendeinem Grund blockieren, führen Sie sie vor diesen kostenpflichtigen Regelgruppen aus. Weitere Informationen zu Regeln und Regelverwaltung finden Sie unterVerwenden von Regelanweisungen in AWS WAF.

    • Wenn Sie mehr als eine der Regelgruppen mit intelligenter Bedrohungsabwehr verwenden, führen Sie sie in der folgenden Reihenfolge aus, um die Kosten niedrig zu halten: Bot Control, ATP, ACFP.

    Weitere Informationen finden Sie unter AWS WAF -Preise.

  • Beschränken Sie nicht die Anfragen, die Sie an die DDo Anti-S-Regelgruppe senden. Diese Regelgruppe funktioniert am besten, wenn Sie sie so konfigurieren, dass sie den gesamten Web-Traffic überwacht, den Sie nicht ausdrücklich zulassen. Platzieren Sie es in Ihrer Web-ACL, sodass es erst nach den Regeln mit der Allow Regelaktion und vor allen anderen Regeln ausgewertet wird.

  • Verwenden Sie für den Schutz vor verteiltem Denial-of-Service (DDoS) entweder Anti- DDo S- oder Shield Advanced-Automatic Application Layer DDo S — Die anderen Regelgruppen zur intelligenten Bedrohungsabwehr bieten DDo keinen S-Schutz. ACFP schützt vor betrügerischen Versuchen, auf der Anmeldeseite Ihrer Anwendung ein Konto zu erstellen. ATP schützt vor Kontoübernahmeversuchen auf Ihrer Anmeldeseite. Bot Control konzentriert sich auf die Durchsetzung menschenähnlicher Zugriffsmuster mithilfe von Tokens und dynamischer Ratenbegrenzung bei Clientsitzungen.

    DDoAnti-S ermöglicht Ihnen die Überwachung und Kontrolle von DDo S-Angriffen und ermöglicht so eine schnelle Reaktion und Abwehr von Bedrohungen. Shield Advanced mit automatischer DDo Application-Layer-S-Abwehr reagiert automatisch auf erkannte DDo S-Angriffe, indem es in Ihrem Namen benutzerdefinierte AWS WAF Abhilfemaßnahmen erstellt, bewertet und einsetzt.

    Weitere Informationen zu Shield Advanced finden Sie AWS Shield Advanced Überblick unter undSchutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF.

    Weitere Informationen zur Verhinderung von Distributed Denial of Service (DDoS) finden Sie unter DDoAnti-S-Regelgruppe undVerhinderung von verteilter Diensteverweigerung (DDoS).

  • Aktivieren Sie die DDo Anti-S-Regelgruppe und die gezielte Schutzstufe der Bot Control-Regelgruppe bei normalem Webverkehr. Diese Regelkategorien benötigen Zeit, um Basiswerte für normalen Datenverkehr festzulegen.

    Aktivieren Sie die gezielte Schutzstufe der Bot-Control-Regelgruppe bei normalem Web-Verkehr — Einige Regeln der Zielschutzstufe benötigen Zeit, um Basiswerte für normale Datenverkehrsmuster festzulegen, bevor sie unregelmäßigen oder bösartigen Datenverkehr erkennen und darauf reagieren können. Zum Beispiel benötigen die TGT_ML_* Regeln bis zu 24 Stunden, um sich aufzuwärmen.

    Fügen Sie diese Schutzmaßnahmen hinzu, wenn Sie nicht von einem Angriff betroffen sind, und geben Sie ihnen Zeit, ihre Grundlinien festzulegen, bevor Sie erwarten, dass sie angemessen reagieren. Wenn Sie diese Regeln während eines Angriffs hinzufügen, müssen Sie die Anti-S-Regelgruppe im DDo Zählmodus aktivieren. Wenn der Angriff abgeklungen ist, dauert es in der Regel doppelt bis dreifach so lange, bis eine Basislinie festgelegt ist, was auf die Verzerrung zurückzuführen ist, die durch den Angriffsverkehr entsteht. Weitere Informationen zu den Regeln und den dafür erforderlichen Aufwärmzeiten finden Sie unter. Liste der Regeln

  • Verwenden Sie für den Schutz vor verteiltem Denial of Service (DDoS) die automatische Abwehr von Anwendungen auf Anwendungsebene DDo S von Shield Advanced — Die Regelgruppen zur intelligenten Bedrohungsabwehr bieten DDo keinen S-Schutz. ACFP schützt vor betrügerischen Versuchen, auf der Anmeldeseite Ihrer Anwendung ein Konto zu erstellen. ATP schützt vor Kontoübernahmeversuchen auf Ihrer Anmeldeseite. Bot Control konzentriert sich auf die Durchsetzung menschenähnlicher Zugriffsmuster mithilfe von Tokens und dynamischer Ratenbegrenzung bei Clientsitzungen.

    Wenn Sie Shield Advanced mit aktivierter automatischer Abwehr auf Anwendungsebene DDo S verwenden, reagiert Shield Advanced automatisch auf erkannte DDo S-Angriffe, indem es in Ihrem Namen benutzerdefinierte AWS WAF Abhilfemaßnahmen erstellt, auswertet und einsetzt. Weitere Informationen zu Shield Advanced finden Sie AWS Shield Advanced Überblick unter undSchutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF.

  • Verwenden Sie Produktionsdatenverkehrslasten, wenn Sie Baselines für die DDo Anti-S-Regelgruppe festlegen. Es ist üblich, andere Regelgruppen mit künstlichem Testdatenverkehr zu testen. Wenn Sie jedoch Baselines für die DDo Anti-S-Regelgruppe testen und festlegen, empfehlen wir, Datenflüsse zu verwenden, die den Belastungen in Ihrer Produktionsumgebung entsprechen. Die Einrichtung von DDo Anti-S-Baselines anhand des typischen Datenverkehrs ist der beste Weg, um sicherzustellen, dass Ihre Ressourcen geschützt sind, wenn die Regelgruppe in einer Produktionsumgebung aktiviert ist.

  • Feinabstimmung und Konfiguration der Token-Behandlung — Passen Sie das Token-Handling des Schutzpakets oder der Web-ACL an, um eine optimale Benutzererfahrung zu erzielen.

    • Um die Betriebskosten zu senken und das Nutzererlebnis zu verbessern, sollten Sie die Immunitätszeiten Ihrer Tokenverwaltung so lange einstellen, wie es Ihre Sicherheitsanforderungen zulassen. Dadurch wird der Einsatz von CAPTCHA-Rätseln und stillen Herausforderungen auf ein Minimum reduziert. Weitere Informationen finden Sie unter Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF.

    • Um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen, konfigurieren Sie eine Token-Domainliste für Ihr Protection Pack oder Ihre Web-ACL. Weitere Informationen finden Sie unter Angabe von Tokendomänen und Domänenlisten in AWS WAF.

  • Anfragen mit beliebigen Hostspezifikationen ablehnen — Konfigurieren Sie Ihre geschützten Ressourcen so, dass die Host Header in Webanfragen mit der Zielressource übereinstimmen müssen. Sie können einen Wert oder eine bestimmte Gruppe von Werten akzeptieren, z. B. myExampleHost.com undwww.myExampleHost.com, aber Sie können keine beliebigen Werte für den Host akzeptieren.

  • Für Application Load Balancer, die Ursprünge für CloudFront Distributionen sind, konfigurieren CloudFront und AWS WAF für die korrekte Tokenbehandlung sorgen — Wenn Sie Ihr Protection Pack oder Ihre Web-ACL einem Application Load Balancer zuordnen und den Application Load Balancer als Ursprung für eine CloudFront Distribution bereitstellen, finden Sie weitere Informationen unter. Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront

  • Testen und Optimieren vor der Bereitstellung — Bevor Sie Änderungen an Ihrem Protection Pack oder Ihrer Web-ACL vornehmen, sollten Sie die Test- und Optimierungsverfahren in diesem Handbuch befolgen, um sicherzustellen, dass Sie das erwartete Verhalten erhalten. Dies ist besonders wichtig für diese kostenpflichtigen Funktionen. Allgemeine Hinweise finden Sie unterTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen. Spezifische Informationen zu den kostenpflichtigen verwalteten Regelgruppen finden Sie unter Testen und Bereitstellen von ACFPTesten und Bereitstellen von ATP, undTesten und Bereitstellen von AWS WAF Bot Control.