Práticas recomendadas para mitigação de ameaças inteligentes no AWS WAF - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Práticas recomendadas para mitigação de ameaças inteligentes no AWS WAF

Siga as práticas recomendadas desta seção para obter a implementação mais eficiente e econômica dos recursos de mitigação de ameaças inteligentes.

  • Implementar os SDKs de integração de aplicativos móveis e JavaScript: implemente a integração de aplicativos para habilitar o conjunto completo de funcionalidades de ACFP, ATP ou Controle de Bots da maneira mais eficaz possível. Os grupos de regras gerenciadas usam os tokens fornecidos pelos SDKs para separar o tráfego legítimo do cliente do tráfego indesejado no nível da sessão. Os SDKs de integração de aplicativos garantem que esses tokens estejam sempre disponíveis. Para obter detalhes, consulte:

    Use as integrações para implementar desafios em seu cliente e, para JavaScript, para personalizar a forma como os quebra-cabeças CAPTCHA são apresentados aos usuários finais. Para obter detalhes, consulte Integrações de aplicações clientes no AWS WAF.

    Se você personalizar os quebra-cabeças CAPTCHA usando a API JavaScript e usar a ação de regra de CAPTCHA em qualquer lugar do pacote de proteção (ACL da Web), siga as orientações para lidar com a resposta do CAPTCHA do AWS WAF em seu cliente em Tratamento de resposta de CAPTCHA do AWS WAF. Essa orientação se aplica a todas as regras que usam a ação CAPTCHA, incluindo aquelas do grupo de regras gerenciadas do ACFP e o nível de proteção direcionada do grupo de regras gerenciadas do Controle de Bots.

  • Limite as solicitações que você envia aos grupos de regras do ACFP, ATP e Controle de Bots: você incorre em taxas adicionais pelo uso dos grupos de regras das regras gerenciadas da AWS de mitigação de ameaças inteligentes. O grupo de regras do ACFP inspeciona as solicitações para os endpoints de registro e criação da conta que você especificar. O grupo de regras do ATP inspeciona as solicitações para o endpoint de login que você especificar. O grupo de regras do Controle de Bots inspeciona cada solicitação que chega até ele na avaliação do pacote de proteção (ACL da Web).

    Considere as seguintes abordagens para reduzir o uso desses grupos de regras:

    • Exclua solicitações da inspeção com uma instrução de redução de escopo na instrução do grupo de regras gerenciadas. Você pode fazer isso com qualquer instrução aninhável. Para mais informações, consulte Como usar instruções de escopo reduzido no AWS WAF.

    • Exclua solicitações da inspeção adicionando regras antes do grupo de regras. Para regras que você não pode usar em uma instrução de redução de escopo e para situações mais complexas, como rotulagem seguida pela correspondência de rótulos, convém adicionar regras que sejam executadas antes dos grupos de regras. Para obter informações, consulte Como usar instruções de escopo reduzido no AWS WAF e Como usar instruções de regra no AWS WAF.

    • Execute os grupos de regras depois de regras mais baratas. Se você tiver outras regras do AWS WAF padrão que bloqueiam solicitações por qualquer motivo, execute-as antes desses grupos de regras pagas. Para obter mais informações sobre regras e gerenciamento de regras, consulte Como usar instruções de regra no AWS WAF.

    • Se você estiver usando mais de um dos grupos de regras gerenciadas de mitigação de ameaças inteligentes, execute-os na seguinte ordem para manter os custos baixos: Controle de Bots, ATP, ACFP.

    Para obter informações detalhadas sobre definição de preço, consulte Definição de preço do AWS WAF.

  • Não limite as solicitações que você envia ao grupo de regras Anti-DDoS: esse grupo de regras funciona melhor quando você o configura para monitorar todo o tráfego da Web que você não permite explicitamente. Posicione-o na ACL da Web para ser avaliado somente após as regras com a ação da Allow regra e antes de todas as outras regras.

  • Para proteção d contra negação de serviço distribuída (DDoS), use a mitigação automática de DDoS da camada da aplicação do Anti-DDoS ou do Shield Advanced: os outros grupos de regras de mitigação de ameaças inteligentes não oferecem proteção contra DDoS. O ACFP protege contra tentativas fraudulentas de criação de conta na página de inscrição do seu aplicativo. O ATP protege contra tentativas de apropriação de conta em sua página de login. O Controle de Bots se concentra em aplicar padrões de acesso semelhantes aos humanos usando tokens e limitação dinâmica de intervalos nas sessões do cliente.

    O Anti-DDoS permite monitorar e controlar ataques de DDoS, possibilitando resposta rápida e mitigação das ameaças. O Shield Advanced com mitigação automática de DDoS na camada da aplicação responde automaticamente aos ataques de DDoS detectados, criando, avaliando e implementando mitigações personalizadas do AWS WAF para você.

    Para obter mais informações sobre Shield Advanced, consulte AWS Shield AdvancedVisão geral do e Como proteger a camada de aplicativo (camada 7) com AWS Shield Advanced e AWS WAF.

    Para obter mais informações sobre a prevenção de ataques negação de serviço distribuída (DDoS), consulte Grupo de regras Anti-DDoS e Prevenção de negação de serviço distribuída (DDoS).

  • Habilitar o grupo de regras Anti-DDoS e o nível de proteção visado do grupo de regras do Controle de Bots durante o tráfego normal da Web: essas categorias de regras precisam de tempo para estabelecer linhas de base para o tráfego normal.

    Ativar o nível de proteção direcionada do grupo de regras do Controle de Bots durante o tráfego normal da web: algumas regras do nível de proteção direcionada precisam de tempo para estabelecer linhas de base para os padrões normais de tráfego antes que possam reconhecer e responder a padrões de tráfego irregulares ou maliciosos. Por exemplo, as regras TGT_ML_* precisam de até 24 horas para se aquecerem.

    Adicione essas proteções quando você não estiver enfrentando um ataque e dê a elas tempo para estabelecer suas linhas de base antes de esperar que respondam adequadamente. Se você adicionar essas regras durante um ataque, precisará habilitar o grupo de regras Anti-DDoS no modo de contagem. Após o término do ataque, o tempo para estabelecer uma linha de base geralmente é do dobro ao triplo do tempo normal necessário, devido à distorção adicionada pelo tráfego do ataque. Para obter informações adicionais sobre as regras e os tempos de aquecimento exigidos, consulte Lista de regras.

  • Para proteção distribuída de negação de serviço (DDoS), usar a mitigação automática de DDoS da camada de aplicativo do Shield Advanced: os grupos de regras de mitigação de ameaças inteligentes não oferecem proteção contra DDoS. O ACFP protege contra tentativas fraudulentas de criação de conta na página de inscrição do seu aplicativo. O ATP protege contra tentativas de apropriação de conta em sua página de login. O Controle de Bots se concentra em aplicar padrões de acesso semelhantes aos humanos usando tokens e limitação dinâmica de intervalos nas sessões do cliente.

    Quando você usa o Shield Advanced com a mitigação automática de DDoS na camada de aplicativo ativada, o Shield Advanced responde automaticamente aos ataques de DDoS detectados criando, avaliando e implantando mitigações personalizadas do AWS WAF em seu nome. Para obter mais informações sobre Shield Advanced, consulte AWS Shield AdvancedVisão geral do e Como proteger a camada de aplicativo (camada 7) com AWS Shield Advanced e AWS WAF.

  • Usar cargas de tráfego de produção ao estabelecer linhas de base para o grupo de regras Anti-DDoS: é uma prática comum testar outros grupos de regras usando tráfego de teste artificial. No entanto, ao testar e estabelecer linhas de base para o grupo de regras Anti-DDoS, recomendamos que você use fluxos de tráfego que reflitam as cargas em seu ambiente de produção. Estabelecer linhas de base do Anti-DDoS usando tráfego típico é a melhor maneira de garantir que seus recursos sejam protegidos quando o grupo de regras for habilitado em um ambiente de produção.

  • Ajustar e configurar o tratamento de tokens: ajuste o tratamento de tokens do pacote de proteção (ACL da Web) para obter a melhor experiência do usuário.

  • Rejeitar solicitações com especificações arbitrárias de host: configure seus recursos protegidos para exigir que os cabeçalhos Host nas solicitações da web correspondam ao recurso-alvo. Você pode aceitar um valor ou um conjunto específico de valores, como myExampleHost.com e www.myExampleHost.com, mas não aceitar valores arbitrários para o host.

  • Para Application Load Balancers que são origens de distribuições do CloudFront, configurar o CloudFront e o AWS WAF e fazer o tratamento adequado de tokens: se você associar o pacote de proteção (ACL da Web) a um Application Load Balancer e implantar o Application Load Balancer como origem de uma distribuição do CloudFront, consulte Configuração necessária para Application Load Balancers que são origens do CloudFront.

  • Testar e ajustar antes da implantação: antes de implementar qualquer alteração no pacote de proteção (ACL da Web), siga os procedimentos de testes e ajustes neste guia para ter certeza de que você está obtendo o comportamento esperado. Isso é especialmente importante para esses recursos pagos. Para obter orientação geral, consulte Testar e ajustar suas proteções do AWS WAF. Para obter informações específicas sobre os grupos de regras gerenciadas pagos, consulte Testando e implantando o ACFP, Testando e implantando o ATP e Testando e implantando o Controle de Bots do AWS WAF.