Opzioni per sfide e acquisizione di token - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Opzioni per sfide e acquisizione di token

Questa sezione confronta le opzioni di gestione delle sfide e dei token.

È possibile presentare sfide e acquisire token utilizzando l'integrazione dell' AWS WAF applicazione SDKs o le azioni Challenge delle regole e. CAPTCHA In generale, le azioni relative alle regole sono più facili da implementare, ma comportano costi aggiuntivi, interferiscono maggiormente con l'esperienza del cliente e richiedono. JavaScript SDKs Richiedono la programmazione nelle applicazioni client, ma possono offrire un'esperienza cliente migliore, sono gratuite e possono essere utilizzate con JavaScript o in applicazioni Android o iOS. È possibile utilizzare l'integrazione dell'applicazione solo SDKs con Protection Pack o Web ACLs che utilizzano uno dei gruppi di regole gestiti per la mitigazione intelligente delle minacce a pagamento, descritti nella sezione seguente.

Confronto tra le opzioni per le sfide e l'acquisizione di token
Operazione delle regole Challenge Operazione delle regole CAPTCHA JavaScript Sfida SDK Sfida SDK per dispositivi mobili
Di cosa si tratta Regola l'azione che impone l'acquisizione del AWS WAF token presentando al client del browser una sfida silenziosa (interstitial) Regola d'azione che impone l'acquisizione del AWS WAF token presentando all'utente finale del client una sfida visiva o audio (Interstitial)

Livello di integrazione delle applicazioni, per i browser client e altri dispositivi che eseguono. JavaScript Esegue il rendering della Silent Challenge e acquisisce un token

Livello di integrazione delle applicazioni, per applicazioni Android e iOS. Esegue il rendering nativo della Silent Challenge e acquisisce un token

Buona scelta per... Convalida silenziosa rispetto alle sessioni dei bot e imposizione dell'acquisizione di token per i clienti che supportano JavaScript Convalida silenziosa e da parte dell'utente finale rispetto alle sessioni di bot e imposizione dell'acquisizione di token, per i clienti che supportano JavaScript Convalida silenziosa rispetto alle sessioni di bot e imposizione dell'acquisizione di token per i clienti che supportano. JavaScript

SDKs Forniscono la latenza più bassa e il miglior controllo sulla posizione in cui viene eseguito lo script di sfida nell'applicazione.

Convalida silenziosa rispetto alle sessioni bot e imposizione dell'acquisizione di token per applicazioni mobili native su Android e iOS.

SDKs Forniscono la latenza più bassa e il miglior controllo sulla posizione in cui lo script di sfida viene eseguito nell'applicazione.

Considerazioni sull'implementazione Implementato come regola, impostazione delle azioni Implementato come impostazione d'azione delle regole Richiede uno dei gruppi di regole a pagamento ACFP, ATP o Bot Control presenti nel protection pack o nell'ACL web.

Richiede la codifica nell'applicazione client.

Richiede uno dei gruppi di regole a pagamento ACFP, ATP o Bot Control presenti nel pacchetto di protezione o nell'ACL web.

Richiede la codifica nell'applicazione client.

Considerazioni sul runtime Flusso intrusivo per richieste senza token validi. Il cliente viene reindirizzato a una AWS WAF sfida interstitial. Aggiunge i round trip di rete e richiede una seconda valutazione della richiesta web. Flusso intrusivo per richieste senza token validi. Il client viene reindirizzato a un CAPTCHA interstitial AWS WAF . Aggiunge viaggi di andata e ritorno sulla rete e richiede una seconda valutazione della richiesta web. Può essere eseguito dietro le quinte. Ti dà un maggiore controllo sull'esperienza della sfida. Può essere eseguito dietro le quinte. Ti dà un maggiore controllo sull'esperienza della sfida.
Richiede JavaScript No
Client supportati Browser e dispositivi che eseguono Javascript Browser e dispositivi che eseguono Javascript Browser e dispositivi che eseguono Javascript Dispositivi Android e iOS
Supporta applicazioni a pagina singola (SPA) Solo esecuzione forzata.

Puoi utilizzare l'Challengeazione insieme a SDKs, per assicurarti che le richieste abbiano un token di sfida valido. Non è possibile utilizzare l'azione della regola per inviare lo script di sfida alla pagina.

Solo applicazione.

Puoi utilizzare l'CAPTCHAazione insieme aSDKs, per assicurarti che le richieste abbiano un token CAPTCHA valido. Non è possibile utilizzare l'azione della regola per inviare lo script CAPTCHA alla pagina.

N/D
Costo aggiuntivo Sì, per le impostazioni delle azioni che specifichi esplicitamente, nelle regole che definisci o come regole che sostituiscono le azioni nei gruppi di regole che utilizzi. No in tutti gli altri casi. Sì, per le impostazioni delle azioni che specifichi esplicitamente, nelle regole che definisci o come regole che sostituiscono le azioni nei gruppi di regole che utilizzi. No in tutti gli altri casi. No, ma richiede uno dei gruppi di regole a pagamento ACFP, ATP o Bot Control. No, ma richiede uno dei gruppi di regole a pagamento ACFP, ATP o Bot Control.

Per informazioni dettagliate sui costi associati a queste opzioni, consulta le informazioni sulla mitigazione intelligente delle minacce alla pagina Prezzi.AWS WAF

Può essere più semplice gestire le sfide e garantire l'applicazione di base dei token semplicemente aggiungendo una regola con un'azione Challenge oCAPTCHA. Potrebbe esserti richiesto di utilizzare le azioni della regola, ad esempio se non hai accesso al codice dell'applicazione.

SDKs Tuttavia, se riuscite a implementare questa opzione, potete risparmiare sui costi e ridurre la latenza nella valutazione Web ACL o nel pacchetto di protezione delle richieste Web dei client, rispetto all'utilizzo dell'Challengeazione:

  • È possibile scrivere l'implementazione SDK per eseguire la sfida in qualsiasi momento dell'applicazione. Puoi acquisire il token in background, prima di qualsiasi azione del cliente che invierebbe una richiesta web alla tua risorsa protetta. In questo modo, il token è disponibile per l'invio con la prima richiesta del cliente.

  • Se invece acquisisci token implementando una regola con l'Challengeazione, la regola e l'azione richiedono un'ulteriore valutazione ed elaborazione della richiesta web quando il client invia una richiesta per la prima volta e ogni volta che il token scade. L'Challengeazione blocca la richiesta che non ha un token valido e non scaduto e invia la sfida interstitial al client. Dopo che il client ha risposto con successo alla sfida, l'interstitial invia nuovamente la richiesta web originale con il token valido, che viene quindi valutata una seconda volta dal protection pack o dall'ACL web.