Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF

Ikuti praktik terbaik di bagian ini untuk implementasi fitur mitigasi ancaman cerdas yang paling efisien dan hemat biaya.

  • Menerapkan integrasi aplikasi JavaScript dan seluler SDKs - Menerapkan integrasi aplikasi untuk mengaktifkan set lengkap fungsionalitas ACFP, ATP, atau Bot Control dengan cara yang paling efektif. Grup aturan terkelola menggunakan token yang disediakan oleh SDKs untuk memisahkan lalu lintas klien yang sah dari lalu lintas yang tidak diinginkan di tingkat sesi. Integrasi aplikasi SDKs memastikan bahwa token ini selalu tersedia. Untuk detailnya, lihat berikut ini:

    Gunakan integrasi untuk mengimplementasikan tantangan di klien Anda dan, untuk JavaScript, untuk menyesuaikan bagaimana teka-teki CAPTCHA disajikan kepada pengguna akhir Anda. Lihat perinciannya di Integrasi aplikasi klien di AWS WAF.

    Jika Anda menyesuaikan teka-teki CAPTCHA menggunakan JavaScript API dan Anda menggunakan tindakan CAPTCHA aturan di mana saja di paket perlindungan atau ACL web Anda, ikuti panduan untuk menangani respons AWS WAF CAPTCHA di klien Anda di. Menangani respons CAPTCHA dari AWS WAF Panduan ini berlaku untuk aturan apa pun yang menggunakan CAPTCHA tindakan, termasuk yang ada di grup aturan terkelola ACFP dan tingkat perlindungan yang ditargetkan dari grup aturan terkelola Kontrol Bot.

  • Batasi permintaan yang Anda kirim ke grup aturan ACFP, ATP, dan Kontrol Bot — Anda dikenakan biaya tambahan untuk menggunakan grup aturan Aturan Terkelola mitigasi AWS ancaman cerdas. Grup aturan ACFP memeriksa permintaan ke titik akhir pendaftaran dan pembuatan akun yang Anda tentukan. Grup aturan ATP memeriksa permintaan ke titik akhir login yang Anda tentukan. Grup aturan Bot Control memeriksa setiap permintaan yang mencapainya dalam paket perlindungan atau evaluasi ACL web.

    Pertimbangkan pendekatan berikut untuk mengurangi penggunaan kelompok aturan ini:

    • Kecualikan permintaan dari inspeksi dengan pernyataan cakupan bawah dalam pernyataan grup aturan terkelola. Anda dapat melakukan ini dengan pernyataan nestable apa pun. Untuk informasi, lihat Menggunakan pernyataan scope-down di AWS WAF.

    • Kecualikan permintaan dari inspeksi dengan menambahkan aturan sebelum grup aturan. Untuk aturan yang tidak dapat digunakan dalam pernyataan scope-down dan untuk situasi yang lebih kompleks, seperti pelabelan diikuti dengan pencocokan label, Anda mungkin ingin menambahkan aturan yang berjalan sebelum grup aturan. Untuk informasi selengkapnya, lihat Menggunakan pernyataan scope-down di AWS WAF dan Menggunakan pernyataan aturan di AWS WAF.

    • Jalankan kelompok aturan setelah aturan yang lebih murah. Jika Anda memiliki AWS WAF aturan standar lain yang memblokir permintaan karena alasan apa pun, jalankan sebelum grup aturan berbayar ini. Untuk informasi selengkapnya tentang aturan dan manajemen aturan, lihatMenggunakan pernyataan aturan di AWS WAF.

    • Jika Anda menggunakan lebih dari satu grup aturan terkelola mitigasi ancaman cerdas, jalankan dengan urutan berikut untuk menekan biaya: Kontrol Bot, ATP, ACFP.

    Untuk informasi harga terperinci, lihat AWS WAF Harga.

  • Jangan membatasi permintaan yang Anda kirim ke grup aturan DDo Anti-S — Grup aturan ini beroperasi paling baik saat Anda mengonfigurasinya untuk memantau semua lalu lintas web yang tidak Anda izinkan secara eksplisit. Posisikan di ACL web Anda untuk dievaluasi hanya setelah aturan dengan tindakan Allow aturan dan sebelum semua aturan lainnya.

  • Untuk perlindungan penolakan layanan (DDoS) terdistribusi, gunakan mitigasi DDo S lapisan aplikasi otomatis Anti-S atau Shield Advanced — Grup aturan mitigasi ancaman cerdas lainnya tidak memberikan perlindungan DDo S. DDo ACFP melindungi terhadap upaya pembuatan akun palsu ke halaman pendaftaran aplikasi Anda. ATP melindungi terhadap upaya pengambilalihan akun ke halaman login Anda. Bot Control berfokus pada penegakan pola akses seperti manusia menggunakan token dan pembatasan laju dinamis pada sesi klien.

    Anti- DDo S memungkinkan Anda untuk memantau dan mengontrol serangan DDo S, memungkinkan respons cepat dan mitigasi ancaman. Shield Advanced dengan mitigasi lapisan DDo S aplikasi otomatis merespons serangan DDo S yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan mitigasi khusus atas AWS WAF nama Anda.

    Untuk informasi selengkapnya tentang Shield Advanced, lihatAWS Shield Advanced ikhtisar, danMelindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF.

    Untuk informasi lebih lanjut tentang pencegahan Distributed Denial of Service (DDoS), lihat Kelompok aturan DDo anti-S danPencegahan Penolakan Layanan (DDoS) Terdistribusi.

  • Aktifkan grup aturan DDo Anti-S dan tingkat perlindungan yang ditargetkan dari grup aturan Kontrol Bot selama lalu lintas web normal - Kategori aturan ini membutuhkan waktu untuk menetapkan garis dasar untuk lalu lintas normal.

    Aktifkan tingkat perlindungan yang ditargetkan dari grup aturan Kontrol Bot selama lalu lintas web normal — Beberapa aturan tingkat perlindungan yang ditargetkan memerlukan waktu untuk menetapkan garis dasar untuk pola lalu lintas normal sebelum mereka dapat mengenali dan merespons pola lalu lintas yang tidak teratur atau berbahaya. Misalnya, TGT_ML_* aturan membutuhkan waktu hingga 24 jam untuk pemanasan.

    Tambahkan perlindungan ini ketika Anda tidak mengalami serangan dan beri mereka waktu untuk menetapkan garis dasar mereka sebelum mengharapkan mereka merespons dengan tepat. Jika Anda menambahkan aturan ini selama serangan, Anda harus mengaktifkan grup aturan Anti- DDo S dalam mode hitungan. Setelah serangan mereda, waktu untuk menetapkan garis dasar biasanya dari dua kali lipat menjadi tiga kali lipat dari waktu normal yang diperlukan, karena kemiringan yang ditambahkan oleh lalu lintas serangan. Untuk informasi tambahan tentang aturan dan waktu pemanasan yang mereka butuhkan, lihatDaftar aturan.

  • Untuk perlindungan penolakan layanan (DDoS) terdistribusi, gunakan mitigasi DDo S lapisan aplikasi otomatis Shield Advanced — Grup aturan mitigasi ancaman cerdas tidak memberikan perlindungan S. DDo ACFP melindungi terhadap upaya pembuatan akun palsu ke halaman pendaftaran aplikasi Anda. ATP melindungi terhadap upaya pengambilalihan akun ke halaman login Anda. Bot Control berfokus pada penegakan pola akses seperti manusia menggunakan token dan pembatasan laju dinamis pada sesi klien.

    Saat Anda menggunakan Shield Advanced dengan mitigasi lapisan DDo S aplikasi otomatis diaktifkan, Shield Advanced secara otomatis merespons serangan DDo S yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan mitigasi khusus atas AWS WAF nama Anda. Untuk informasi selengkapnya tentang Shield Advanced, lihatAWS Shield Advanced ikhtisar, danMelindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF.

  • Gunakan beban lalu lintas produksi ketika Anda menetapkan garis dasar untuk kelompok aturan DDo Anti-S - Ini adalah praktik umum untuk menguji kelompok aturan lain menggunakan lalu lintas uji buatan. Namun, ketika Anda menguji dan menetapkan garis dasar untuk grup aturan DDo Anti-S, kami menyarankan Anda menggunakan arus lalu lintas yang mencerminkan beban di lingkungan produksi Anda. Menetapkan garis dasar DDo Anti-S menggunakan lalu lintas tipikal adalah cara terbaik untuk memastikan sumber daya Anda akan dilindungi ketika grup aturan diaktifkan di lingkungan produksi.

  • Sesuaikan dan konfigurasikan penanganan token — Sesuaikan paket perlindungan atau penanganan token ACL web untuk pengalaman pengguna terbaik.

  • Tolak permintaan dengan spesifikasi host arbitrer — Konfigurasikan sumber daya yang dilindungi agar Host header dalam permintaan web cocok dengan sumber daya yang ditargetkan. Anda dapat menerima satu nilai atau satu set nilai tertentu, misalnya myExampleHost.com danwww.myExampleHost.com, tetapi tidak menerima nilai arbitrer untuk host.

  • Untuk Application Load Balancer yang berasal dari CloudFront distribusi, konfigurasi, CloudFront dan AWS WAF untuk penanganan token yang tepat — Jika Anda mengaitkan paket perlindungan atau ACL web Anda ke Application Load Balancer dan Anda menerapkan Application Load Balancer sebagai asal distribusi, lihat. CloudFront Konfigurasi yang diperlukan untuk Application Load Balancer yang berasal CloudFront

  • Uji dan sesuaikan sebelum menerapkan — Sebelum menerapkan perubahan apa pun pada paket perlindungan atau ACL web, ikuti prosedur pengujian dan penyetelan dalam panduan ini untuk memastikan bahwa Anda mendapatkan perilaku yang Anda harapkan. Ini sangat penting untuk fitur-fitur berbayar ini. Untuk panduan umum, lihatMenguji dan menyetel perlindungan Anda AWS WAF. Untuk informasi khusus tentang grup aturan terkelola berbayar, lihatMenguji dan menerapkan ACFP,Menguji dan menerapkan ATP, danMenguji dan menerapkan Kontrol AWS WAF Bot.