Ti presentiamo una nuova esperienza di console per AWS WAF
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Test e implementazione di Anti-S DDo
Ti consigliamo di configurare e testare la prevenzione AWS WAF Distributed Denial of Service (DDoS) prima di implementare la funzionalità. Questa sezione fornisce indicazioni generali per la configurazione e il test, tuttavia i passaggi specifici che sceglierai di seguire dipenderanno dalle esigenze, dalle risorse e dalle richieste web che ricevi.
Queste informazioni si aggiungono alle informazioni generali su test e ottimizzazione fornite all'indirizzo. Test e ottimizzazione delle protezioni AWS WAF
Nota
AWS Le Managed Rules sono progettate per proteggerti dalle minacce web più comuni. Se utilizzati in conformità con la documentazione, i gruppi di regole AWS Managed Rules aggiungono un altro livello di sicurezza per le applicazioni. Tuttavia, i gruppi di regole AWS Managed Rules non sono intesi come sostituti delle responsabilità in materia di sicurezza, che sono determinate dalle AWS risorse selezionate. Fai riferimento al modello di responsabilità condivisa
Rischio legato al traffico di produzione
Testa e ottimizza l'implementazione DDo anti-S in un ambiente di staging o di test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testa e ottimizza le regole in modalità di conteggio in base al traffico di produzione prima di attivarle.
Questa guida è destinata agli utenti che sanno in generale come creare e gestire pacchetti di AWS WAF protezione (Web ACLs), regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida.
Per configurare e testare un'implementazione di prevenzione AWS WAF Distributed Denial of Service (DDoS)
Esegui questi passaggi prima in un ambiente di test, poi in produzione.
-
Aggiungi il gruppo di regole gestite per la prevenzione AWS WAF Distributed Denial of Service (DDoS) in modalità count
Nota
Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare AWS WAF Prezzi
. Aggiungi il gruppo di regole AWS Managed Rules
AWSManagedRulesAntiDDoSRuleSeta un pacchetto di protezione nuovo o esistente (Web ACL) e configuralo in modo che non alteri il comportamento del Protection Pack (Web ACL) corrente. Per informazioni dettagliate sulle regole e le etichette per questo gruppo di regole, consulta. AWS WAF Gruppo di regole di prevenzione Distributed Denial of Service (DDoS)-
Quando aggiungi il gruppo di regole gestito, modificalo e procedi come segue:
-
Nel riquadro di configurazione del gruppo di regole, fornisci i dettagli necessari per eseguire attività DDo anti-S per il tuo traffico web. Per ulteriori informazioni, consulta Aggiungere il gruppo di regole gestito DDo Anti-S al pacchetto di protezione (Web ACL).
-
Nel riquadro Regole, apri il menu a discesa Ignora tutte le azioni delle regole e scegli. Count Con questa configurazione, AWS WAF valuta le richieste in base a tutte le regole del gruppo di regole e conta solo le corrispondenze risultanti, pur continuando ad aggiungere etichette alle richieste. Per ulteriori informazioni, consulta Sovrascrivere le azioni delle regole in un gruppo di regole.
Con questo override, è possibile monitorare il potenziale impatto delle regole gestite da DDo Anti-S per determinare se si desidera apportare modifiche, ad esempio ampliare l'espressione regolare per chi non riesce a gestire una URIs sfida silenziosa del browser.
-
-
Posiziona il gruppo di regole in modo che venga valutato il prima possibile, subito dopo tutte le regole che consentono il traffico. Le regole vengono valutate in ordine di priorità numerico crescente. La console imposta automaticamente l'ordine, a partire dalla parte superiore dell'elenco delle regole. Per ulteriori informazioni, consulta Impostazione della priorità delle regole.
-
-
Abilita la registrazione e le metriche per il pacchetto di protezione (Web ACL)
Se necessario, configura la registrazione, la raccolta dei dati di Amazon Security Lake, il campionamento delle richieste e i CloudWatch parametri Amazon per il pacchetto di protezione (Web ACL). Puoi utilizzare questi strumenti di visibilità per monitorare l'interazione del gruppo di regole gestito Anti- DDo S con il tuo traffico.
-
Per informazioni sulla configurazione e l'utilizzo della registrazione, vedere. Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)
-
Per informazioni su Amazon Security Lake, consulta Cos'è Amazon Security Lake? e Raccolta di dati dai AWS servizi nella guida per l'utente di Amazon Security Lake.
-
Per informazioni sui CloudWatch parametri di Amazon, consultaMonitoraggio con Amazon CloudWatch.
-
Per informazioni sul campionamento delle richieste web, consulta. Visualizzazione di un esempio di richieste Web
-
-
Associare il pacchetto di protezione (Web ACL) a una risorsa
Se il protection pack (Web ACL) non è già associato a una risorsa di test, associalo. Per informazioni, consultare Associare o dissociare la protezione a una risorsa AWS.
-
Monitora il traffico e la corrispondenza DDo delle regole Anti-S
Assicurati che il traffico sia regolare e che le regole del gruppo di regole gestito da Anti- DDo S aggiungano etichette alle richieste web corrispondenti. Puoi vedere le etichette nei log e vedere le metriche DDo Anti-S e Label nelle metriche di Amazon CloudWatch . Nei log, le regole che hai sostituito per conteggiare nel gruppo di regole vengono visualizzate nel comando
ruleGroupListconactionset to count eoverriddenActionindicano l'azione della regola configurata che hai ignorato. -
Personalizza la gestione delle richieste web Anti-S DDo
Se necessario, aggiungi le tue regole che consentono o bloccano esplicitamente le richieste, per modificare il modo in cui le regole DDo Anti-S le gestirebbero altrimenti.
Ad esempio, puoi utilizzare le etichette DDo Anti-S per consentire o bloccare le richieste o per personalizzare la gestione delle richieste. È possibile aggiungere una regola di corrispondenza delle etichette dopo il gruppo di regole gestite DDo Anti-S per filtrare le richieste etichettate in base alla gestione che si desidera applicare. Dopo il test, mantieni le relative regole DDo Anti-S in modalità di conteggio e mantieni le decisioni sulla gestione delle richieste nella tua regola personalizzata.
-
Rimuovi le regole di test e configura le impostazioni DDo Anti-S
Esamina i risultati dei test per determinare quali regole DDo Anti-S desideri mantenere in modalità di conteggio solo a scopo di monitoraggio. Per tutte le regole che desideri eseguire con protezione attiva, disabilita la modalità di conteggio nella configurazione del gruppo di regole del Protection Pack (Web ACL) per consentire loro di eseguire le azioni configurate. Dopo aver finalizzato queste impostazioni, rimuovi tutte le regole temporanee di test label match mantenendo le regole personalizzate che hai creato per l'uso in produzione. Per ulteriori considerazioni sulla configurazione DDo Anti-S, consulta. Le migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF
-
Monitoraggio e sintonizzazione
Per assicurarti che le richieste web vengano gestite come desideri, monitora attentamente il traffico dopo aver abilitato la funzionalità DDo Anti-S che intendi utilizzare. Modificate il comportamento in base alle esigenze applicando le regole (rules count override) sul gruppo di regole e con le vostre regole.
