Monitoraggio e ottimizzazione delle protezioni AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio e ottimizzazione delle protezioni AWS WAF

Monitora e ottimizza le tue AWS WAF protezioni.

Nota

Per seguire le indicazioni contenute in questa sezione, è necessario comprendere in generale come creare e gestire AWS WAF protezioni come Protection Pack o Web ACLs, regole e gruppi di regole. Queste informazioni sono trattate nelle sezioni precedenti di questa guida.

Monitora il traffico web e la corrispondenza delle regole per verificare il comportamento del Protection Pack o dell'ACL Web. Se riscontri problemi, modifica le regole in modo da correggerli, quindi monitora per verificare le modifiche.

Ripeti la procedura seguente finché il Protection Pack o l'ACL Web non gestiranno il traffico web in base alle tue esigenze.

Per monitorare e ottimizzare
  1. Monitora il traffico e regola le corrispondenze

    Assicurati che il traffico scorra e che le regole del test trovino le richieste corrispondenti.

    Cerca le seguenti informazioni per le protezioni che stai testando:

    • Registri: accedi alle informazioni sulle regole che corrispondono a una richiesta web:

      • Le tue regole: le regole del Protection Pack o dell'ACL Web che prevedono Count un'azione sono elencate di seguito. nonTerminatingMatchingRules Le regole con Allow o Block sono elencate come. terminatingRule Le regole con CAPTCHA o Challenge possono essere terminanti o non terminanti, e quindi sono elencate in una delle due categorie, in base al risultato della corrispondenza delle regole.

      • Gruppi di regole: i gruppi di regole sono identificati nel ruleGroupId campo e le rispettive corrispondenze di regole sono classificate nella stessa categoria delle regole autonome.

      • Etichette: le etichette che le regole hanno applicato alla richiesta sono elencate nel Labels campo.

      Per ulteriori informazioni, consulta Campi di registro per il pacchetto di protezione o il traffico ACL Web.

    • CloudWatch Parametri Amazon: puoi accedere ai seguenti parametri per la valutazione del tuo pacchetto di protezione o della richiesta ACL Web.

      • Le tue regole: le metriche sono raggruppate in base all'azione della regola. Ad esempio, quando si verifica una regola in Count modalità, le relative corrispondenze vengono elencate come Count metriche per il protection pack o l'ACL Web.

      • I tuoi gruppi di regole: le metriche per i tuoi gruppi di regole sono elencate sotto le metriche dei gruppi di regole.

      • Gruppi di regole di proprietà di un altro account: le metriche dei gruppi di regole sono generalmente visibili solo al proprietario del gruppo di regole. Tuttavia, se sovrascrivi l'azione della regola per una regola, le metriche relative a tale regola verranno elencate nelle metriche del Protection Pack o delle metriche ACL Web. Inoltre, le etichette aggiunte da qualsiasi gruppo di regole sono elencate nel Protection Pack o nelle metriche Web ACL

        I gruppi di regole di questa categoria sonoAWS Regole gestite per AWS WAF, Marketplace AWS gruppi di regoleRiconoscimento dei gruppi di regole forniti da altri servizi, e i gruppi di regole condivisi con te da un altro account.

      • Etichette: le etichette che sono state aggiunte a una richiesta Web durante la valutazione sono elencate nel Protection Pack o nelle metriche delle etichette ACL Web. Puoi accedere alle metriche per tutte le etichette, indipendentemente dal fatto che siano state aggiunte dalle tue regole e dai tuoi gruppi di regole o dalle regole di un gruppo di regole di proprietà di un altro account.

      Per ulteriori informazioni, consulta Visualizzazione delle metriche per il tuo ACL web.

    • dashboard di panoramica sul traffico del pacchetto di protezione o dell'ACL Web: accedi ai riepiloghi del traffico Web valutato da un protection pack o da un ACL Web accedendo alla pagina del protection pack o dell'ACL Web nella AWS WAF console e aprendo la scheda Panoramica del traffico.

      Le dashboard di panoramica del traffico forniscono riepiloghi quasi in tempo reale delle CloudWatch metriche di Amazon AWS WAF raccolte durante la valutazione del traffico web dell'applicazione.

      Per ulteriori informazioni, consulta Dashboard di panoramica del traffico per Protection Pack o Web ACLs.

    • Richieste Web campionate: accedi alle informazioni relative alle regole che corrispondono a un campione di richieste Web. Le informazioni di esempio identificano le regole corrispondenti in base al nome della metrica della regola nel protection pack o nell'ACL Web. Per i gruppi di regole, la metrica identifica la dichiarazione di riferimento del gruppo di regole. Per le regole all'interno dei gruppi di regole, l'esempio elenca il nome della regola corrispondente in. RuleWithinRuleGroup

      Per ulteriori informazioni, consulta Visualizzazione di un esempio di richieste Web.

  2. Configura le mitigazioni per risolvere i falsi positivi

    Se stabilisci che una regola genera falsi positivi, abbinando le richieste Web laddove non dovrebbe, le seguenti opzioni possono aiutarti a ottimizzare il pacchetto di protezione o le protezioni ACL Web per mitigare la situazione.

    Correzione dei criteri di ispezione delle regole

    Per quanto riguarda le regole, spesso è sufficiente modificare le impostazioni che si utilizzano per esaminare le richieste Web. Gli esempi includono la modifica delle specifiche in un set di pattern regex, la regolazione delle trasformazioni di testo applicate a un componente della richiesta prima dell'ispezione o il passaggio all'utilizzo di un indirizzo IP inoltrato. Consulta la guida per il tipo di regola che causa problemi, sotto. Utilizzo delle istruzioni delle regole in AWS WAF

    Correzione di problemi più complessi

    Per i criteri di ispezione che non controllate e per alcune regole complesse, potrebbe essere necessario apportare altre modifiche, ad esempio aggiungere regole che consentano o blocchino esplicitamente le richieste o che eliminino le richieste dalla valutazione in base alla regola problematica. I gruppi di regole gestiti richiedono in genere questo tipo di mitigazione, ma lo possono fare anche altre regole. Gli esempi includono l'istruzione Rate-Based Rule e l'istruzione SQL Injection Attack Rule.

    Ciò che fai per mitigare i falsi positivi dipende dal tuo caso d'uso. Gli approcci più comuni sono i seguenti:

    • Aggiungi una regola di attenuazione: aggiungi una regola che viene eseguita prima della nuova regola e che consente esplicitamente le richieste che causano falsi positivi. Per informazioni sull'ordine di valutazione delle regole in un ACL Web, vedere. Impostazione della priorità delle regole

      Con questo approccio, le richieste consentite vengono inviate alla risorsa protetta, in modo che non raggiungano mai la nuova regola di valutazione. Se la nuova regola è un gruppo di regole gestito a pagamento, questo approccio può anche aiutare a contenere i costi legati all'utilizzo del gruppo di regole.

    • Aggiungi una regola logica con una regola attenuante: utilizza le istruzioni delle regole logiche per combinare la nuova regola con una regola che esclude i falsi positivi. Per informazioni, consultare Utilizzo di istruzioni di regole logiche in AWS WAF.

      Ad esempio, supponiamo che tu stia aggiungendo un'istruzione SQL injection attack match che genera falsi positivi per una categoria di richieste. Create una regola che corrisponda a tali richieste, quindi combinate le regole utilizzando istruzioni di regole logiche in modo da ottenere la corrispondenza solo per le richieste che non soddisfano i criteri dei falsi positivi e soddisfano i criteri di attacco SQL injection.

    • Aggiungi un'istruzione scope-down: per le istruzioni basate sulla frequenza e le istruzioni di riferimento per gruppi di regole gestite, escludi dalla valutazione le richieste che generano falsi positivi aggiungendo un'istruzione scope-down all'interno dell'istruzione principale.

      Una richiesta che non corrisponde all'istruzione scope-down non raggiunge mai il gruppo di regole o la valutazione basata sulla frequenza. Per informazioni sulle istruzioni scope-down, consulta. Utilizzo di istruzioni scope-down in AWS WAF Per vedere un esempio, consulta Esclusione dell'intervallo IP dalla gestione dei bot.

    • Aggiungi una regola di corrispondenza delle etichette: per i gruppi di regole che utilizzano l'etichettatura, identifica l'etichetta che la regola problematica sta applicando alle richieste. Potrebbe essere necessario impostare prima le regole del gruppo di regole in modalità conteggio, se non l'hai già fatto. Aggiungi una regola di corrispondenza delle etichette, posizionata in modo da seguire il gruppo di regole, che corrisponda all'etichetta aggiunta dalla regola problematica. Nella regola di corrispondenza delle etichette, puoi filtrare le richieste che desideri consentire da quelle che desideri bloccare.

      Se utilizzi questo approccio, una volta terminati i test, mantieni la regola problematica in modalità di conteggio nel gruppo di regole e mantieni valida la regola di abbinamento delle etichette personalizzata. Per informazioni sulle istruzioni di abbinamento delle etichette, consultaDichiarazione della regola di corrispondenza delle etichette. Per alcuni esempi, consulta Autorizzazione di uno specifico bot bloccato e Esempio ATP: gestione personalizzata delle credenziali mancanti e compromesse.

    • Modifica della versione di un gruppo di regole gestito: per i gruppi di regole gestiti con versioni diverse, modifica la versione che stai utilizzando. Ad esempio, puoi tornare all'ultima versione statica che stavi utilizzando con successo.

      Di solito si tratta di una soluzione temporanea. È possibile modificare la versione per il traffico di produzione mentre si continua a testare la versione più recente nell'ambiente di test o di staging o mentre si attende una versione più compatibile fornita dal provider. Per informazioni sulle versioni dei gruppi di regole gestiti, consultaUtilizzo di gruppi di regole gestiti in AWS WAF.

Quando ritieni che le nuove regole soddisfino le richieste necessarie, passa alla fase successiva del test e ripeti questa procedura. Eseguite la fase finale di test e ottimizzazione nel vostro ambiente di produzione.