Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF

Suivez les meilleures pratiques décrites dans cette section pour mettre en œuvre les fonctionnalités intelligentes d'atténuation des menaces de la manière la plus efficace et la plus rentable possible.

  • Mise en œuvre JavaScript de l'intégration des applications mobiles SDKs : implémentez l'intégration des applications pour activer l'ensemble complet des fonctionnalités ACFP, ATP ou Bot Control de la manière la plus efficace possible. Les groupes de règles gérés utilisent les jetons fournis par le SDKs pour séparer le trafic client légitime du trafic indésirable au niveau de la session. L'intégration de l'application SDKs garantit que ces jetons sont toujours disponibles. Pour plus d'informations, consultez la:

    Utilisez les intégrations pour mettre en œuvre les défis de votre client et pour JavaScript personnaliser la façon dont les puzzles CAPTCHA sont présentés à vos utilisateurs finaux. Pour en savoir plus, consultez Intégrations d'applications clientes dans AWS WAF.

    Si vous personnalisez des puzzles CAPTCHA à l'aide de l' JavaScript API et que vous utilisez l'action de la CAPTCHA règle n'importe où dans votre pack de protection ou votre ACL Web, suivez les instructions relatives à la gestion de la réponse AWS WAF CAPTCHA dans votre client à l'adresse. Gestion d'une réponse CAPTCHA depuis AWS WAF Ces instructions s'appliquent à toutes les règles qui utilisent l'CAPTCHAaction, y compris celles du groupe de règles géré par l'ACFP et le niveau de protection ciblé du groupe de règles géré par Bot Control.

  • Limitez les demandes que vous envoyez aux groupes de règles ACFP, ATP et Bot Control : l'utilisation des groupes de règles de règles de AWS gestion des règles d'atténuation intelligente des menaces entraîne des frais supplémentaires. Le groupe de règles ACFP inspecte les demandes adressées aux points de terminaison d'enregistrement et de création de comptes que vous spécifiez. Le groupe de règles ATP inspecte les demandes adressées au point de terminaison de connexion que vous spécifiez. Le groupe de règles Bot Control inspecte chaque demande qui lui parvient dans le cadre du pack de protection ou de l'évaluation de l'ACL Web.

    Envisagez les approches suivantes pour réduire votre utilisation de ces groupes de règles :

    • Exclure les demandes de l'inspection à l'aide d'une instruction scope-down dans l'instruction du groupe de règles géré. Vous pouvez le faire avec n'importe quel énoncé emboîtable. Pour plus d'informations, consultez Utilisation d'instructions scope-down dans AWS WAF.

    • Exclure les demandes de l'inspection en ajoutant des règles avant le groupe de règles. Pour les règles que vous ne pouvez pas utiliser dans une instruction de portée réduite et pour les situations plus complexes, telles que l'étiquetage suivi d'une correspondance d'étiquettes, vous souhaiterez peut-être ajouter des règles qui s'exécutent avant les groupes de règles. Pour plus d’informations, consultez Utilisation d'instructions scope-down dans AWS WAF et Utilisation d'instructions de règle dans AWS WAF.

    • Exécutez les groupes de règles selon des règles moins coûteuses. Si d'autres AWS WAF règles standard bloquent les demandes pour quelque raison que ce soit, exécutez-les avant ces groupes de règles payants. Pour plus d'informations sur les règles et leur gestion, consultezUtilisation d'instructions de règle dans AWS WAF.

    • Si vous utilisez plusieurs groupes de règles gérés d'atténuation intelligente des menaces, exécutez-les dans l'ordre suivant pour réduire les coûts : Bot Control, ATP, ACFP.

    Pour obtenir des informations détaillées sur la tarification, veuillez consulter la section Tarification AWS WAF.

  • Ne limitez pas les demandes que vous envoyez au groupe de règles DDo anti-S : ce groupe de règles fonctionne mieux lorsque vous le configurez pour surveiller tout le trafic Web que vous n'autorisez pas explicitement à passer. Positionnez-le dans votre ACL Web pour qu'il soit évalué uniquement après les règles avec l'Allowaction des règles et avant toutes les autres règles.

  • Pour la protection par déni de service (DDoS) distribué, utilisez l'atténuation automatique de la couche d'application DDo S Anti- DDo S ou Shield Advanced. Les autres groupes de règles d'atténuation intelligente des menaces ne fournissent pas de protection DDo S. L'ACFP protège contre les tentatives frauduleuses de création de compte sur la page d'inscription de votre application. ATP vous protège contre les tentatives d'usurpation de compte sur votre page de connexion. Bot Control se concentre sur l'application de modèles d'accès de type humain à l'aide de jetons et sur la limitation dynamique du débit lors des sessions client.

    Anti- DDo S vous permet de surveiller et de contrôler les attaques DDo S, ce qui permet de réagir rapidement et d'atténuer les menaces. Shield Advanced avec atténuation automatique de la couche d'application DDo S répond automatiquement aux attaques DDo S détectées en créant, en évaluant et en déployant des mesures d' AWS WAF atténuation personnalisées en votre nom.

    Pour plus d'informations sur Shield AdvancedAWS Shield Advanced vue d'ensemble, reportez-vous aux sections etProtection de la couche applicative (couche 7) avec AWS Shield Advanced et AWS WAF.

    Pour plus d'informations sur la prévention du déni de service (DDoS) distribué, consultez Groupe de règles DDo anti-S etPrévention du déni de service distribué (DDoS).

  • Activez le groupe de règles DDo anti-S et le niveau de protection ciblé du groupe de règles Bot Control pendant le trafic Web normal. Ces catégories de règles ont besoin de temps pour établir des bases de référence pour le trafic normal.

    Activez le niveau de protection ciblé du groupe de règles Bot Control pendant le trafic Web normal : certaines règles du niveau de protection ciblé ont besoin de temps pour établir des bases de référence pour les modèles de trafic normaux avant de pouvoir reconnaître les modèles de trafic irréguliers ou malveillants et y répondre. Par exemple, les TGT_ML_* règles ont besoin de 24 heures pour s'échauffer.

    Ajoutez ces protections lorsque vous n'êtes pas victime d'une attaque et donnez-leur le temps d'établir leurs bases de référence avant de s'attendre à ce qu'ils réagissent de manière appropriée. Si vous ajoutez ces règles lors d'une attaque, vous devrez activer le groupe de règles DDo anti-S en mode décompte. Une fois l'attaque terminée, le temps nécessaire pour établir une base de référence est généralement du double au triple du temps normalement requis, en raison de la distorsion ajoutée par le trafic d'attaque. Pour plus d'informations sur les règles et les temps de préchauffage qu'elles exigent, consultezListe des règles.

  • Pour la protection contre le déni de service (DDoS) distribué, utilisez l'atténuation automatique de la couche d'application DDo S de Shield Advanced : les groupes de règles d'atténuation intelligente des menaces ne fournissent pas de protection DDo S. L'ACFP protège contre les tentatives frauduleuses de création de compte sur la page d'inscription de votre application. ATP vous protège contre les tentatives d'usurpation de compte sur votre page de connexion. Bot Control se concentre sur l'application de modèles d'accès de type humain à l'aide de jetons et sur la limitation dynamique du débit lors des sessions client.

    Lorsque vous utilisez Shield Advanced avec l'atténuation automatique de la couche d'application DDo S activée, Shield Advanced répond automatiquement aux attaques DDo S détectées en créant, en évaluant et en déployant des mesures d' AWS WAF atténuation personnalisées en votre nom. Pour plus d'informations sur Shield AdvancedAWS Shield Advanced vue d'ensemble, reportez-vous aux sections etProtection de la couche applicative (couche 7) avec AWS Shield Advanced et AWS WAF.

  • Utilisez les charges de trafic de production lorsque vous établissez des bases de référence pour le groupe de règles DDo anti-S. Il est courant de tester d'autres groupes de règles à l'aide d'un trafic de test artificiel. Toutefois, lorsque vous testez et établissez des bases de référence pour le groupe de règles DDo anti-S, nous vous recommandons d'utiliser des flux de trafic qui reflètent les charges de votre environnement de production. L'établissement de lignes de base DDo anti-S en utilisant le trafic typique est le meilleur moyen de garantir la protection de vos ressources lorsque le groupe de règles est activé dans un environnement de production.

  • Réglez et configurez la gestion des jetons : ajustez la gestion des jetons du pack de protection ou de l'ACL Web pour une expérience utilisateur optimale.

  • Rejeter les demandes avec des spécifications d'hôte arbitraires : configurez vos ressources protégées pour exiger que Host les en-têtes des requêtes Web correspondent à la ressource ciblée. Vous pouvez accepter une valeur ou un ensemble de valeurs spécifique, par exemple myExampleHost.com etwww.myExampleHost.com, mais n'acceptez pas de valeurs arbitraires pour l'hôte.

  • Pour les équilibreurs de charge d'application issus de CloudFront distributions, configurez CloudFront et gérez correctement AWS WAF les jetons : si vous associez votre pack de protection ou votre ACL Web à un Application Load Balancer et que vous déployez l'Application Load Balancer comme origine CloudFront d'une distribution, consultez. Configuration requise pour les équilibreurs de charge d'application qui sont des origines CloudFront

  • Testez et ajustez avant le déploiement : avant de mettre en œuvre des modifications à votre pack de protection ou à votre ACL Web, suivez les procédures de test et de réglage décrites dans ce guide pour vous assurer que vous obtenez le comportement que vous attendez. Cela est particulièrement important pour ces fonctionnalités payantes. Pour des conseils généraux, voirTester et ajuster vos AWS WAF protections. Pour obtenir des informations spécifiques aux groupes de règles gérés payants, reportez-vous aux Tester et déployer ATP sectionsTest et déploiement de l'ACFP, etTester et déployer AWS WAF Bot Control.