Adicionar o grupo de regras gerenciadas anti-DDoS ao pacote de proteção (ACL da Web) - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Adicionar o grupo de regras gerenciadas anti-DDoS ao pacote de proteção (ACL da Web)

Esta seção explica como adicionar e configurar o grupo de regras AWSManagedRulesAntiDDoSRuleSet.

Para configurar o grupo de regras gerenciadas anti-DDoS, você fornece configurações que incluem qual é a sensibilidade do grupo de regras a ataques de DDoS e as ações que ele executa em solicitações que estão ou possam estar participando dos ataques. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas.

Para obter a descrição do grupo de regras e a lista de regras e rótulos, consulte Grupo de regras de prevenção de negação de serviço distribuída (DDoS) do AWS WAF.

Essa orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de proteção (ACL da Web), regras e grupos de regras do AWS WAF. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web), consulte Adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console.

Siga as práticas recomendadas

Use o grupo de regras anti-DDoS de acordo com as práticas recomendadas em Práticas recomendadas para mitigação de ameaças inteligentes no AWS WAF.

Para usar o grupo de regras AWSManagedRulesAntiDDoSRuleSet no pacote de proteção (ACL da Web)

  1. Adicione o grupo de regras gerenciadas da AWS, AWSManagedRulesAntiDDoSRuleSet ao pacote de proteção (ACL da Web) e edite as configurações do grupo de regras antes de salvar.

    nota

    Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

  2. No painel Configuração do grupo de regras, forneça qualquer configuração personalizada para o grupo de regras AWSManagedRulesAntiDDoSRuleSet.

    1. Em Nível de sensibilidade do bloco, especifique a sensibilidade que você deseja que a regra DDoSRequests tenha ao corresponder a rotulagem de suspeita de DDoS do grupo de regras. Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde:

      • A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo de alta suspeita awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

      • A sensibilidade média faz com que a regra corresponda aos rótulos de suspeita média e alta.

      • A sensibilidade alta faz com que a regra corresponda aos rótulos de suspeita: baixa, média e alta.

      Essa regra fornece o tratamento mais rígido de solicitações da Web suspeitas de participarem de ataques de DDoS.

    2. Em Habilitar desafio, escolha se deseja habilitar as regras ChallengeDDoSRequests e ChallengeAllDuringEvent, que, por padrão, aplicam a ação Challenge às solicitações que correspondem.

      Essas regras fornecem tratamento de solicitações com o objetivo de permitir que usuários legítimos prossigam com suas solicitações enquanto bloqueiam os participantes do ataque de DDoS. Você pode substituir suas configurações de ação com Allow ou Count ou desabilitar totalmente seu uso.

      Se você habilitar essas regras, forneça as configurações adicionais que desejar:

      • Em Nível de sensibilidade do desafio, especifique a sensibilidade que você deseja que a regra ChallengeDDoSRequests tenha.

        Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde:

        • A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo de alta suspeita awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

        • A sensibilidade média faz com que a regra corresponda aos rótulos de suspeita média e alta.

        • A sensibilidade alta faz com que a regra corresponda aos rótulos de suspeita: baixa, média e alta.

      • Para expressões regulares de URI isento, forneça uma expressão regular que corresponda aos URIs de solicitações da Web que não conseguem resolver um desafio silencioso do navegador. A ação Challenge bloqueará efetivamente as solicitações de URIs que não tenham o token de desafio, a menos que consigam resolver o desafio do navegador silencioso.

        A ação Challenge só pode ser tratada adequadamente por um cliente que espere conteúdo HTML. Para obter mais informações sobre como as ações de regra funcionam, consulte Comportamento de ações CAPTCHA e Challenge.

        Revise a expressão regular padrão e atualize-a conforme necessário. As regras usam a expressão regular especificada para identificar URIs de solicitação que não conseguem resolver a ação Challenge e impedir que as regras enviem um desafio de volta. As solicitações que você exclui dessa maneira só podem ser bloqueadas pelo grupo de regras com a regra DDoSRequests.

        A expressão padrão fornecida no console abrange a maioria dos casos de uso, mas você deve analisá-la e adaptá-la à sua aplicação.

        O AWS WAF suporta a sintaxe padrão usada pelo libpcre da biblioteca PCRE com algumas exceções. A biblioteca está documentada em PCRE: Expressões regulares compatíveis com Perl. Para ter informações sobre a AWS WAF, consulte Sintaxe de expressões regulares compatíveis no AWS WAF.

  3. Forneça as configurações adicionais que desejar para o grupo de regras.

    nota

    A AWS recomenda não usar uma instrução de redução de escopo com esse grupo de regras gerenciadas. A instrução de redução de escopo limita as solicitações que o grupo de regras observa e, portanto, pode resultar em uma linha de base de tráfego imprecisa e na diminuição da detecção de eventos de DDoS. A opção de instrução de redução de escopo está disponível para todas as instruções do grupo de regras gerenciadas, mas não deve ser usada para essa. Para informações sobre instruções de redução de escopo, consulte Como usar instruções de escopo reduzido no AWS WAF.

  4. Na página Definir prioridade da regra, mova a nova regra do grupo de regras gerenciadas anti-DDoS para cima para que ela seja executada somente após qualquer regra da ação Allow que você tenha e antes de qualquer outra regra. Isso dá ao grupo de regras a capacidade de rastrear a maior parte do tráfego para proteção anti-DDoS.

  5. Salve suas alterações no pacote de proteção (ACL da Web).

Antes de implantar sua implementação anti-DDoS para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação.