Pruebas e implementación de anti-DDoS - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Pruebas e implementación de anti-DDoS

Conviene configurar y probar la prevención de denegación de servicio distribuida (DDoS) AWS WAF antes de implementar la característica. Esta sección ofrece pautas generales para la configuración y las pruebas; sin embargo, los pasos específicos que elija dependerán de sus necesidades, sus recursos y el tipo de solicitudes web que reciba.

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en Pruebas y ajustes de sus protecciones de AWS WAF.

nota

Las reglas administradas de AWS se han diseñado para protegerle de amenazas web comunes. Cuando se utilizan de acuerdo con la documentación, las reglas administradas de AWS agregan otra capa de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas administradas de AWS no están destinados a reemplazar sus responsabilidades de seguridad, que están determinadas por los recursos de AWS que seleccione. Consulte el Modelo de responsabilidad compartida para asegurarse de que los recursos de AWS estén protegidos correctamente.

Riesgo de tráfico de producción

Pruebe y ajuste su implementación anti-DDoS en un entorno de ensayo o pruebas hasta sentirse conforme con el posible impacto en su tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de protección (web ACLs) AWS WAF, reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía.

Cómo configurar y probar una implementación de prevención de denegación de servicio distribuido (DDoS) AWS WAF

Realice estos pasos primero en un entorno de prueba y, después, en producción.

  1. Agregue el grupo de reglas administradas de prevención contra denegación de servicio AWS WAF distribuido (DDoS) en el modo de recuento
    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para más información, consulte Precios de AWS WAF.

    Agregue el grupo de reglas administrado AWSManagedRulesAntiDDoSRuleSet de AWS a un paquete de protección (ACL web) nuevo o existente, y configúrelo para que no altere el comportamiento actual del paquete de protección (ACL web). Para obtener más información sobre las reglas y etiquetas de este grupo de reglas, consulte Grupo de reglas de prevención contra la denegación de servicio distribuida (DDoS) de AWS WAF.

    • Cuando añada el grupo de reglas administradas, edítelo y haga lo siguiente:

      • En el panel Configuración del grupo de reglas, proporcione los detalles necesarios para realizar las actividades anti-DDoS correspondientes al tráfico de su aplicación web. Para obtener más información, consulte Agregar el grupo administrado de reglas anti-DDoS a su paquete de protección (ACL web).

      • En el panel Reglas, abra el menú desplegable Anular todas las acciones de reglas y elija Count. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte Invalidar acciones de reglas en un grupo de reglas.

        Mediante esta anulación (override), podrá supervisar el impacto potencial de las reglas administradas anti-DDoS y determinar si desea modificarlas, por ejemplo, ampliando las expresiones regex para los URI que no pueden manejar el desafío de un navegador silencioso.

    • Ubique el grupo de reglas de manera que se evalúe lo antes posible, inmediatamente después de cualquier regla que permita el tráfico. Las reglas se evalúan en orden ascendente de prioridad numérica. La consola establece ese orden automáticamente, empezando por la parte superior de la lista de reglas. Para obtener más información, consulte Cómo establecer la prioridad de las reglas.

  2. Habilitación del registro y las métricas para el paquete de protección (ACL web)

    Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y las métricas de Amazon CloudWatch para el paquete de protección (ACL web). Puede usar estas herramientas de visibilidad para monitorizar la interacción del grupo de reglas administrado de la anti-DDoS con su tráfico.

  3. Asociar el paquete de protección (ACL web) con un recurso

    Si el paquete de protección (ACL web) aún no está asociado a un recurso de prueba, asócielo. Para obtener más información, consulte Asociar o disociar la protección con un recurso de AWS.

  4. Supervisar el tráfico y las coincidencias de reglas anti-DDoS

    Asegúrese de que el tráfico fluya normalmente y de que las reglas del grupo de reglas administrado de anti-DDoS agreguen etiquetas a las solicitudes web coincidentes. Puede ver las etiquetas en los registros y ver las métricas de la anti-DDoS y las etiquetas en las métricas de Amazon CloudWatch. En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en ruleGroupList con action establecida para el recuento y con overriddenAction indicando la acción de regla configurada que ha anulado.

  5. Personalizar la gestión de las solicitudes web de la anti-DDoS

    Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas de la anti-DDoS las gestionarían.

    Por ejemplo, puede utilizar las etiquetas de la anti-DDoS para permitir o bloquear las solicitudes o para personalizar su gestión. Puede agregar una regla de coincidencia de etiquetas después del grupo de reglas administrado de anti-DDoS para filtrar las solicitudes etiquetadas según la gestión que desee aplicar. Tras realizar las pruebas, mantenga las reglas de la anti-DDoS relacionadas en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada.

  6. Eliminar reglas de prueba y configurar los ajustes anti-DDoS

    Revise los resultados de las pruebas para determinar qué reglas anti-DDoS deben permanecer en modo de conteo únicamente para supervisión. Para las reglas que desea ejecutar con protección activa, deshabilite el modo de conteo en la configuración del grupo de reglas del paquete de protección (ACL web) para que puedan ejecutar sus acciones configuradas. Una vez que haya finalizado estos ajustes, elimine cualquier regla temporal de coincidencia por etiqueta y conserve solo las reglas personalizadas necesarias para el entorno de producción. Para obtener consideraciones adicionales sobre la configuración anti-DDoS, consulte Prácticas recomendadas para la mitigación inteligente de amenazas en AWS WAF.

  7. Monitorización y ajuste

    Para asegurarse de que las solicitudes web se gestionen como desee, monitorice de cerca el tráfico después de activar la funcionalidad de la anti-DDoS que pretende utilizar. Ajuste el comportamiento según sea necesario con la anulación del recuento de reglas en el grupo de reglas y con sus propias reglas.