Prácticas recomendadas para la mitigación inteligente de amenazas en AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Prácticas recomendadas para la mitigación inteligente de amenazas en AWS WAF

Siga las prácticas recomendadas de esta sección para lograr la implementación más eficiente y rentable de las características de mitigación de amenazas inteligentes.

  • Implementar los SDK de integración de aplicaciones para móviles y JavaScript: implemente la integración de aplicaciones para habilitar el conjunto completo de funciones de ACFP, ATP o control de bots de la manera más eficaz posible. Los grupos de reglas administradas utilizan los tokens proporcionados por los SDK para separar el tráfico de clientes legítimo del tráfico no deseado a nivel de sesión. Los SDK de integración de aplicaciones garantizan que estos tokens estén siempre disponibles. Para obtener más información, consulte los siguientes temas:

    Utilice las integraciones para implementar desafíos en su cliente y, en el caso de JavaScript, para personalizar la forma en que se presentan los rompecabezas de CAPTCHA a sus usuarios finales. Para obtener más información, consulte Integración de aplicaciones cliente en AWS WAF.

    Si personaliza los rompecabezas de CAPTCHA con la API de JavaScript y utiliza la acción de regla CAPTCHA en cualquier parte de su paquete de protección (ACL web), siga las instrucciones para gestionar la respuesta del CAPTCHA de AWS WAF en su cliente en Gestión de una respuesta de CAPTCHA de AWS WAF. Esta guía se aplica a todas las reglas que utilicen esta acción CAPTCHA, incluidas las del grupo de reglas administradas de la ACFP y el nivel de protección específica del grupo de reglas administradas de control de bots.

  • Limite las solicitudes que envíe a los grupos de reglas de la ACFP, la ATP y el control de bots: si utiliza los grupos de reglas administradas de AWS para la mitigación de amenazas inteligentes, tendrá que pagar tarifas adicionales. El grupo de reglas de la ACFP inspecciona las solicitudes dirigidas a los puntos conexión de registro y creación de cuentas que especifique. El grupo de reglas de la ATP inspecciona las solicitudes al punto de conexión de inicio de sesión que especifique. El grupo de reglas de control de bots inspecciona todas las solicitudes que llegan a él en la evaluación del paquete de protección (ACL web).

    Tenga en cuenta los siguientes enfoques para reducir el uso de estos grupos de reglas:

    • Excluya las solicitudes de la inspección con una instrucción de restricción de acceso en la instrucción del grupo de reglas administradas. Puede hacerlo con cualquier instrucción anidable. Para obtener más información, consulte Uso de instrucciones de restricción de acceso en AWS WAF.

    • Para excluir las solicitudes de la inspección, agregue reglas antes del grupo de reglas. En el caso de las reglas que no puede utilizar en una instrucción de restricción de acceso y en situaciones más complejas, como el etiquetado seguido de una coincidencia de etiquetas, tal vez desee agregar reglas que se ejecuten antes que los grupos de reglas. Para obtener más información, consulte Uso de instrucciones de restricción de acceso en AWS WAF y Uso de instrucciones de reglas en AWS WAF.

    • Ejecute los grupos de reglas tras las reglas menos costosas. Si tiene otras reglas estándar de AWS WAF que bloqueen las solicitudes por cualquier motivo, ejecútelas antes de estos grupos de reglas de pago. Para obtener más información acerca de las reglas y la administración de reglas, consulte Uso de instrucciones de reglas en AWS WAF.

    • Si utiliza más de uno de los grupos de reglas administradas de mitigación de amenazas inteligentes, ejecútelos en el siguiente orden para mantener bajos los costos: control de bots, ATP y ACFP.

    Para obtener información detallada sobre precios, consulte Precios de AWS WAF.

  • No limite las solicitudes que envía al grupo de reglas anti-DDoS: este grupo de reglas funciona mejor cuando lo configura para monitorear todo el tráfico web que no permite explícitamente. Posiciónelo en su ACL web para que se evalúe solo después de las reglas con la acción Allow y antes de todas las demás reglas.

  • Para la protección de DDoS, use anti-DDoS o la mitigación automática de DDoS de capa de aplicación de Shield Advanced: los demás grupos de reglas de mitigación inteligente de amenazas no proporcionan protección de DDoS. La ACFP lo protege de los intentos fraudulentos de creación de cuentas en la página de registro de su aplicación. La ATP protege su página de inicio de sesión contra los intentos de apropiación de cuentas. El control de bots se centra en aplicar patrones de acceso similares a los humanos mediante tokens y una limitación dinámica de las tasas en las sesiones de los clientes.

    La protección antiDDoS le permite monitorear y controlar ataques de DDoS, lo que facilita una respuesta y mitigación rápidas. Shield Advanced con mitigación automática de DDoS de capa de aplicación responde automáticamente a los ataques de DDoS detectados mediante la creación, evaluación y implementación de mitigaciones personalizadas de AWS WAF en su nombre.

    Para obtener más información sobre Shield Advanced, consulte AWS Shield AdvancedInformación general de y Protección de la capa de aplicación (capa 7) con AWS Shield Advanced y AWS WAF.

    Para obtener información sobre la prevención de denegación de servicio distribuida (DDoS), consulte Grupo de reglas anti-DDoS y Prevención de denegación de servicio distribuida (DDoS).

  • Habilite el grupo de reglas anti-DDoS y el nivel de protección específico del grupo de reglas de Control de bots durante el tráfico web normal: estas categorías de reglas necesitan tiempo para establecer sus valores de referencia de tráfico normal.

    Activar el nivel de protección específico del grupo de reglas de control de bots durante el tráfico web normal: algunas reglas del nivel de protección específico necesitan tiempo para establecer líneas base para los patrones de tráfico normales antes de poder reconocer los patrones de tráfico irregulares o maliciosos, y responder a ellos. Por ejemplo, las reglas TGT_ML_* necesitan hasta 24 horas para prepararse.

    Añada estas protecciones cuando no esté sufriendo un ataque y deje tiempo para que establezcan sus valores de referencia antes de esperar que respondan adecuadamente. Si agrega estas reglas durante un ataque, deberá habilitar el grupo de reglas anti-DDoS en modo de recuento. Después de que el ataque disminuya, el tiempo para establecer una línea base suele ser entre el doble y el triple del tiempo normal, debido al sesgo generado por el tráfico del ataque. Para obtener información adicional sobre las reglas y los tiempos de preparación que requieren, consulte Lista de reglas.

  • Para la protección contra la denegación de servicio distribuido (DDoS), utilice la mitigación automática de DDoS de la capa de aplicación de Shield Advanced: los grupos de reglas de mitigación de amenazas inteligentes no ofrecen protección contra DDoS. La ACFP lo protege de los intentos fraudulentos de creación de cuentas en la página de registro de su aplicación. La ATP protege su página de inicio de sesión contra los intentos de apropiación de cuentas. El control de bots se centra en aplicar patrones de acceso similares a los humanos mediante tokens y una limitación dinámica de las tasas en las sesiones de los clientes.

    Cuando utiliza Shield Advanced con la mitigación automática de DDoS de la capa de aplicación habilitada, Shield Advanced responde automáticamente a los ataques DDoS detectados creando, evaluando e implementando mitigaciones personalizadas de AWS WAF en su nombre. Para obtener más información sobre Shield Advanced, consulte AWS Shield AdvancedInformación general de y Protección de la capa de aplicación (capa 7) con AWS Shield Advanced y AWS WAF.

  • Utilice cargas de tráfico de producción cuando establezca valores de referencia para el grupo de reglas anti-DDo: es una práctica habitual probar otros grupos de reglas con tráfico artificial. Sin embargo, cuando pruebe y establezca los valores de referencia para el grupo de reglas anti-DDoS, recomendamos usar flujos de tráfico que reflejen las cargas de su entorno de producción. Establecer los valores de referencia de anti-DDoS con tráfico típico es la mejor manera de asegurar que sus recursos estén protegidos cuando habilite el grupo de reglas en un entorno de producción.

  • Ajuste y configure el manejo de tokens: ajuste el manejo de tokens del paquete de protección (ACL web) para ofrecer la mejor experiencia de usuario.

  • Rechazar las solicitudes con especificaciones de host arbitrarias: configure sus recursos protegidos para que los encabezados de Host de las solicitudes web coincidan con el recurso objetivo. Puede aceptar un valor o un conjunto específico de valores, por ejemplo, myExampleHost.com y www.myExampleHost.com, pero no acepte valores arbitrarios para el host.

  • Para equilibradores de carga de aplicación que son orígenes de distribuciones de CloudFront, configure CloudFront y AWS WAF para el manejo adecuado de tokens: si asocia su paquete de protección (ACL web) a un equilibrador de carga de aplicación y usa dicho equilibrador como origen de una distribución de CloudFront, consulte Configuración requerida para los equilibradores de carga de aplicaciones que tengan su origen en CloudFront.

  • Pruebe y ajuste antes de la implementación: antes de implementar cualquier cambio en su paquete de protección (ACL web), siga los procedimientos de prueba y ajuste de esta guía para asegurarse de que obtiene el comportamiento esperado. Esto es especialmente importante para estas características de pago. Para obtener orientación general, consulte Pruebas y ajustes de sus protecciones de AWS WAF. Para obtener información específica a los grupos de reglas de reglas administradas pagadas, consulte Pruebas implementación de la ACFP, Pruebas e implementación de la ATP y Comprobación e implementación del control de bots de AWS WAF.