Implantações de candidata a lançamento para regras gerenciadas da AWS - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Implantações de candidata a lançamento para regras gerenciadas da AWS

Esta seção explica como funciona uma implantação temporária de liberação de candidato.

Quando a AWS tem um conjunto candidato de mudanças de regras para um grupo de regras gerenciadas, ele as testa em uma implantação temporária da candidata a lançamento. A AWS avalia as regras da candidata no modo de contagem em relação ao tráfego de produção e executa as atividades de ajuste final, incluindo a mitigação de falsos positivos. A AWS testa as regras da candidata a lançamento dessa forma para todos os clientes que usam a versão padrão do grupo de regras. As implantações de candidata a lançamento não se aplicam a clientes que usam uma versão estática do grupo de regras.

Se você usar a versão padrão, uma implantação de candidata a lançamento não alterará a forma como seu tráfego da web é gerenciado pelo grupo de regras. Você pode observar o seguinte enquanto as regras da candidata estão sendo testadas:

  • O nome da versão padrão muda de Default (using Version_X.Y) para Default (using Version_X.Y_PLUS_RC_COUNT).

  • Métricas de contagem adicionais no Amazon CloudWatch com RC_COUNT nos nomes. Elas são geradas pelas regras da candidata a lançamento.

A AWS testa uma candidata a lançamento por cerca de uma semana, depois a remove e redefine a versão padrão para a versão estática recomendada atualmente.

A AWS realizará as seguintes etapas para a implantação de uma candidata a lançamento:

  1. Criar a candidata a lançamento: a AWS adiciona uma candidata a lançamento com base na versão estática recomendada atual, que é a versão para a qual o padrão está apontando.

    O nome do candidata a lançamento é o nome da versão estática acrescido de _PLUS_RC_COUNT. Por exemplo, se a versão estática recomendada atualmente for Version_2.1, a candidata a lançamento será nomeada Version_2.1_PLUS_RC_COUNT.

    A candidata a lançamento contém as seguintes regras:

    • Regras copiadas exatamente da versão estática recomendada atual, sem alterações nas configurações das regras.

    • Novas regras da candidata com a ação de regra definida como Count e com nomes que terminam com _RC_COUNT.

      A maioria das regras da candidata fornece propostas de melhorias para as regras que já existem no grupo de regras. O nome de cada uma dessas regras é o nome da regra existente acrescido de _RC_COUNT.

  2. Definir a versão padrão para a candidata a lançamento e teste: a AWS define a versão padrão para apontar para a nova candidata a lançamento, para realizar testes em relação ao seu tráfego de produção. O teste geralmente leva cerca de uma semana.

    Você verá o nome da versão padrão mudar daquele que indica somente a versão estática, como Default (using Version_1.4), para um que indica a versão estática mais as regras da candidata a lançamento, como Default (using Version_1.4_PLUS_RC_COUNT). Esse esquema de nomenclatura permite identificar qual versão estática você está usando para gerenciar seu tráfego da web.

    O diagrama a seguir mostra o estado das versões de exemplo de grupos de regras neste momento.

    Na parte superior da figura estão três versões estáticas empilhadas, com Version_1.4 na parte superior. Separada da pilha de versões estáticas está a versão VERSION_1.4_PLUS_RC_COUNT. Essa versão contém as regras de Version_1.4 e também contém duas regras da candidata a lançamento, RuleB_RC_COUNT e RuleZ_RC_COUNT, ambas com ação de contagem. O indicador de versão padrão aponta para Version_1.4_PLUS_RC_COUNT.

    As regras da candidata a lançamento são sempre configuradas com ação Count, para que não alterem a forma como o grupo de regras gerencia o tráfego da web.

    As regras da candidata a lançamento geram métricas de contagem do Amazon CloudWatch que a AWS usa para verificar o comportamento e identificar falsos positivos. A AWS faz ajustes conforme necessário, para ajustar o comportamento das regras de contagem de candidatas a lançamento.

    A versão candidata a lançamento não é estática e não está disponível para você escolher na lista de versões estáticas de grupos de regras. Você só pode ver o nome da versão candidata a lançamento na especificação da versão padrão.

  3. Retornar a versão padrão para a versão estática recomendada: depois de testar as regras da candidata a lançamento, a AWS define a versão padrão de volta para a versão estática recomendada atual. A configuração padrão do nome da versão elimina o _PLUS_RC_COUNT final e o grupo de regras deixa de gerar métricas de contagem do CloudWatch para as regras da candidata a lançamento. Essa é uma mudança silenciosa e não é o mesmo que a implantação de uma reversão de versão padrão.

    O diagrama a seguir mostra o estado das versões de exemplo do grupo de regras após a conclusão do teste da candidata a lançamento.

    Esta é a figura típica dos estados da versão novamente. Três versões estáticas Version_1.2, Version_1.3 e Version_1.4 estão empilhadas, com Version_1.4 na parte superior. Version_1.4 tem duas regras, RuleA e RuleB, ambas com ação de produção. Um indicador de versão padrão aponta para Version_1.4.
Tempo e notificações

A AWS implanta versões candidatas a lançamento conforme necessário, para testar melhorias em um grupo de regras.

  • SNS: a AWS envia uma notificação do SNS no início da implantação. A notificação indica o tempo estimado em que a candidata a lançamento será testada. Quando o teste for concluído, a AWS retornará silenciosamente o padrão para a configuração da versão estática, sem uma segunda notificação.

  • Log de alterações:A AWS não atualiza o log de alterações ou outras partes desse guia para esse tipo de implantação.