Pruebas implementación de la ACFP - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Pruebas implementación de la ACFP

Esta sección proporciona una guía general para configurar y probar una implementación de la prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF. Los pasos específicos que elija seguir dependerán de sus necesidades, recursos y solicitudes web que reciba.

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en Pruebas y ajustes de sus protecciones de AWS WAF.

nota

Las reglas administradas de AWS se han diseñado para protegerle de amenazas web comunes. Cuando se utilizan de acuerdo con la documentación, las reglas administradas de AWS agregan otra capa de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas administradas de AWS no están destinados a reemplazar sus responsabilidades de seguridad, que están determinadas por los recursos de AWS que seleccione. Consulte el Modelo de responsabilidad compartida para asegurarse de que los recursos de AWS estén protegidos correctamente.

Riesgo de tráfico de producción

Antes de implementar cambios en su ACFP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas.

AWS WAF proporciona credenciales de prueba que puede usar para verificar su configuración de la ACFP. En el siguiente procedimiento, configurará un paquete de protección (ACL web) de prueba para usar el grupo de reglas administrado ACFP, configurará una regla para capturar la etiqueta agregada por el grupo y luego ejecutará un intento de creación de cuenta usando estas credenciales de prueba. Verificará que su paquete de protección (ACL web) haya gestionado correctamente el intento revisando las métricas de Amazon CloudWatch para dicho intento.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de protección (web ACLs) AWS WAF, reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía.

Probar e implementar la prevención contra fraude en la creación de cuentas (ACFP) del control de fraudes de AWS WAF.

Realice estos pasos primero en un entorno de prueba y, después, en producción.

  1. Agregue el grupo de reglas administradas de prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF en el modo de recuento.
    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para más información, consulte Precios de AWS WAF.

    Agregue el grupo de reglas administrado AWSManagedRulesACFPRuleSet de AWS a un paquete de protección (ACL web) nuevo o existente, y configúrelo para que no altere el comportamiento actual del paquete de protección (ACL web). Para obtener más información sobre las reglas y etiquetas de este grupo de reglas, consulte Grupo de reglas de prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF.

    • Cuando añada el grupo de reglas administradas, edítelo y haga lo siguiente:

      • En el panel de Configuración del grupo de reglas, proporcione los detalles de las páginas de registro y creación de cuentas de su aplicación. El grupo de reglas de la ACFP utiliza esta información para monitorizar las actividades de inicio de sesión. Para obtener más información, consulte Adición del grupo de reglas administradas por ACFP a la nueva ACL web.

      • En el panel Reglas, abra el menú desplegable Anular todas las acciones de reglas y elija Count. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte Invalidar acciones de reglas en un grupo de reglas.

        Con esta anulación, puede supervisar el posible impacto de las reglas administradas de ACFP para determinar si desea agregar excepciones, por ejemplo, excepciones para casos de uso interno.

    • Sitúe el grupo de reglas de forma que se evalúe según las reglas existentes en el paquete de protección (ACL web), con una configuración de prioridad numéricamente superior a la de cualquier regla o grupo de reglas que ya esté utilizando. Para obtener más información, consulte Cómo establecer la prioridad de las reglas.

      De esta forma, no se interrumpe su gestión actual del tráfico. Por ejemplo, si tiene reglas que detectan tráfico malicioso, como la inyección de código SQL o el scripting entre sitios, seguirán detectándolo y registrándolo. Como alternativa, si tiene reglas que permiten el tráfico no malicioso conocido, estas pueden seguir permitiéndolo sin que el grupo de reglas administradas de la ACFP lo bloquee. Puede decidir ajustar el procesamiento de pedidos durante sus actividades de prueba y ajuste.

  2. Implementación de los SDK de integración de aplicaciones

    Integre el SDK de JavaScript de AWS WAF en las rutas de registro y creación de cuentas de su navegador. AWS WAF también proporciona SDK para móviles para integrar dispositivos iOS y Android. Para obtener más información acerca de la integración de los SDK, consulte Integración de aplicaciones cliente en AWS WAF. Para obtener más información sobre esta recomendación, consulte Uso de los SDK de integración de aplicaciones con ACFP.

    nota

    Si no puede utilizar los SDK de integración de aplicaciones, puede probar el grupo de reglas de la ACFP editándolo en su paquete de protección (ACL web) y eliminando la anulación que haya colocado en la regla AllRequests. Esto habilita la configuración de la acción Challenge de la regla para garantizar que las solicitudes incluyan un token de desafío válido.

    Haga esto primero en un entorno de prueba y, después, con sumo cuidado en su entorno de producción. Este enfoque tiene el potencial de bloquear a los usuarios. Por ejemplo, si la ruta de la página de registro no acepta solicitudes de texto/html GET, esta configuración de reglas puede bloquear eficazmente todas las solicitudes en la página de registro.

  3. Habilitación del registro y las métricas para el paquete de protección (ACL web)

    Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y las métricas de Amazon CloudWatch para el paquete de protección (ACL web). Puede usar estas herramientas de visibilidad para monitorizar la interacción del grupo de reglas administradas de la ACFP con su tráfico.

  4. Asociar el paquete de protección (ACL web) con un recurso

    Si el paquete de protección (ACL web) aún no está asociado a un recurso de prueba, asócielo. Para obtener más información, consulte Asociar o disociar la protección con un recurso de AWS.

  5. Supervise el tráfico y las coincidencias de las reglas de la ACFP

    Asegúrese de que el tráfico fluya normalmente y de que las reglas del grupo de reglas administradas de la ACFP agreguen etiquetas a las solicitudes web coincidentes. Puede ver las etiquetas en los registros y ver las métricas de la ACFP y las etiquetas en las métricas de Amazon CloudWatch. En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en ruleGroupList con action establecida para el recuento y con overriddenAction indicando la acción de regla configurada que ha anulado.

  6. Verificación de las capacidades de comprobación de credenciales del grupo de reglas

    Realice un intento de creación de cuentas probando las credenciales comprometidas y compruebe que el grupo de reglas coincide con ellas según lo esperado.

    1. Acceda a la página de registro de cuentas de su recurso protegido e intente agregar una cuenta nueva. Utilice el siguiente par de credenciales de prueba de AWS WAF e introduzca cualquier prueba

      • Usuario: WAF_TEST_CREDENTIAL@wafexample.com

      • Contraseña: WAF_TEST_CREDENTIAL_PASSWORD

      Estas credenciales de prueba se clasifican como credenciales comprometidas y el grupo de reglas administradas de la ACFP agregará la etiqueta awswaf:managed:aws:acfp:signal:credential_compromised a la solicitud de creación de la cuenta, lo que se puede ver en los registros.

    2. En los registros de el paquete de protección (ACL web), busque la etiqueta awswaf:managed:aws:acfp:signal:credential_compromised en el campo labels de las entradas de registro de la solicitud de creación de la cuenta de prueba. Para obtener más información acerca del registro, consulte Registro del tráfico de paquetes de protección (ACL web) de AWS WAF.

    Una vez que haya comprobado que el grupo de reglas captura las credenciales comprometidas según lo esperado, puede tomar las medidas necesarias para configurar su implementación según lo necesite para el recurso protegido.

  7. Para las distribuciones de CloudFront, pruebe la administración del grupo de reglas de los intentos de creación masiva de cuentas.

    Realice esta prueba para cada criterio de respuesta satisfactoria que haya configurado para el grupo de reglas de la ACFP. Espere al menos 30 minutos entre las pruebas.

    1. Para cada uno de sus criterios de éxito, identifique en la respuesta un intento de creación de cuenta que cumpla con esos criterios de éxito. A continuación, desde una sola sesión de cliente, realice al menos 5 intentos satisfactorios de creación de cuentas en menos de 30 minutos. Normalmente, un usuario solo crearía una cuenta en su sitio.

      Una vez creada correctamente la primera cuenta, la regla VolumetricSessionSuccessfulResponse debería empezar a compararse con el resto de las respuestas de creación de cuentas, etiquetándolas y contabilizándolas, en función de la anulación de las acciones de regla. Es posible que la regla omita la primera o las dos primeras debido a la latencia.

    2. En los registros de el paquete de protección (ACL web), busque la etiqueta awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high en el campo labels de las entradas de registro de la solicitud de creación de solicitudes web. Para obtener más información acerca del registro, consulte Registro del tráfico de paquetes de protección (ACL web) de AWS WAF.

    Estas pruebas comprueban que sus criterios de éxito coincidan con sus respuestas comprobando que los recuentos de éxitos agregados por la regla superen el umbral de la regla. Una vez alcanzado el umbral, si sigue enviando solicitudes de creación de cuentas desde la misma sesión, la regla seguirá siendo válida hasta que la tasa de éxito caiga por debajo del umbral. Si se supera el umbral, la regla compara los intentos de creación de cuentas exitosos o fallidos desde la dirección de la sesión.

  8. Personalización la gestión de las solicitudes web de la ACFP

    Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas de la ACFP las gestionarían.

    Por ejemplo, puede utilizar las etiquetas de la ACFP para permitir o bloquear las solicitudes o para personalizar su gestión. Puede agregar una regla de coincidencia de etiquetas después del grupo de reglas administradas de la ACFP para filtrar las solicitudes etiquetadas según la gestión que desee aplicar. Tras realizar las pruebas, mantenga las reglas de la ACFP relacionadas en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. Para ver un ejemplo, consulta Ejemplo de ACFP: respuesta personalizada para credenciales comprometidas.

  9. Elimine las reglas de prueba y active la configuración del grupo de reglas administradas de la ACFP

    Según su situación, es posible que haya decidido dejar algunas reglas de la ACFP en modo de recuento. Para las reglas que desee ejecutar tal como están configuradas dentro del grupo de reglas, deshabilite el modo de recuento en la configuración del grupo de reglas del paquete de protección (ACL web). Cuando termine de realizar las pruebas, también puede eliminar las reglas de coincidencia de etiquetas de prueba.

  10. Monitorización y ajuste

    Para asegurarse de que las solicitudes web se gestionen como desea, monitorice de cerca el tráfico después de activar la funcionalidad de la ACFP que pretende utilizar. Ajuste el comportamiento según sea necesario con la anulación del recuento de reglas en el grupo de reglas y con sus propias reglas.

Cuando termine de probar la implementación del grupo de reglas de la ACFP, si aún no ha integrado el SDK de JavaScript de AWS WAF en las páginas de registro y creación de cuentas del navegador, le recomendamos encarecidamente que lo haga. AWS WAF también proporciona SDK para móviles para integrar dispositivos iOS y Android. Para obtener más información acerca de la integración de los SDK, consulte Integración de aplicaciones cliente en AWS WAF. Para obtener más información sobre esta recomendación, consulte Uso de los SDK de integración de aplicaciones con ACFP.