本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
最佳化機器人控制策略的成本
Web 流量的性質是動態的。這表示用於緩解威脅的技術和服務可能會隨著時間而變化和調校。這是考慮機器人控制策略及其所包含的控制項時的關鍵。隨著時間的推移進行最佳化是需要記住的主要原則,它來自 AWS Well-Architected Framework 的成本最佳化支柱。
AWS WAF Web ACLs可以是動態的,特別是在發行新功能或您嘗試緩解新威脅時。留意您的成本需要了解 AWS WAF 服務的成本維度
由於特殊化機器人控制的成本很高,因此主要成本最佳化目標是減少這些進階控制項檢查的請求數量。適用的技術包括分隔高價值內容、先套用成本較低的量值、縮小評估區域,以及將機器人保護與其他類型的控制項結合。成本監控技術可為您的組織提供額外的可見性。
分隔動態和靜態內容
一種成本降低技術是從動態應用程式隔離靜態內容。對典型 Web 應用程式的大多數請求都是對靜態物件的請求。減少應用程式伺服器上負載的常見方法是將靜態內容移至自己的 URL,例如 static.example.com。 這通常是透過使用針對靜態內容最佳化的快取組態建立唯一的內容交付分佈來實現。如果靜態內容不常以網站或應用程式為目標,則 這項技術也有助於降低機器人控制成本。將靜態內容與動態應用程式 分開,可以更精確地套用進階機器人控制。
先套用成本較低的規則
另一個技巧是套用低成本的基準規則,在使用更昂貴的進階控制項之前篩選掉不需要的流量。 實際上,這通常意味著將機器人控制緩解措施作為最後一層防禦,並使用先前的控制來篩選掉不需要機器人控制的技巧的流量。本指南先前討論過 這種金字塔方法。主要目標是使用這些成本較低的選項來停止不需要的流量,從而減少 進階、成本較高的緩解技術所處理的請求數量。
縮小評估區域
AWS WAF 縮小範圍陳述式提供強大的技術,可減少進階規則檢查的請求數量。 如果無法實作將靜態內容分隔為自己的 URL,則縮小範圍陳述式是篩選不需要進階緩解技術之請求的另一種方法。這可以透過定義特定應用程式路徑、HTTP 方法 (例如 POST) 或類似的組合來完成。
將機器人保護與其他控制項結合
保護應用程式免受多個威脅以及不必要的機器人流量時,應審查額外的成本控制考量。 例如,防止分散式阻斷服務 (DDoS) 攻擊和帳戶接管,需要額外的組態來影響成本。建議 Shield Advanced 協助保護應用程式免受 DDoS 攻擊。 特別是,其應用程式層緩解措施可以自動解決請求洪水,因此在將規則置於評估順序之前時,減少機器人控制規則群組可能處理的 AWS WAF 請求數量。Shield Advanced 具有額外優勢;標準受管和自訂 AWS WAF 規則對於 Shield Advanced 保護的資源無需額外費用。 請注意,智慧型威脅緩解規則群組,包括 Bot Control,即使對於 Shield Advanced 保護的資源,也會產生額外的成本。
需要帳戶接管預防的應用程式可以使用 AWS WAF Fraud Control 帳戶接管預防 (ATP) 規則群組。 ATP 規則群組的每次請求檢查成本高於 Bot Control 規則群組。 這種較高的成本使得盡可能精確地套用 ATP 規則群組至關重要。搭配 ATP 使用 Bot Control 規則群組有助於實現此目標。Bot Control 規則群組應放置在 Web ACL 中的 ATP 前面,以篩選出機器人請求,並減少 ATP 檢查的請求數量。
為了持續最佳化,最重要的活動是監控與 Bot Control 規則群組相關聯的 CloudWatch 指標。隨著時間的推移,目標是將 Bot Control 規則群組評估的請求數量減少為僅以您需要的資源為目標,以防止不必要的機器人活動為目標的請求數量。 建置 CloudWatch 儀表板可提供應用程式最關鍵指標的可見性,包括 AWS WAF 成本和用量。
監控成本
AWS Cost Explorer 是一個可讓您檢視和分析成本與用量的工具。Cost Explorer 有助於成本分析 AWS ,包括產生的 AWS WAF 成本。此工具提供最近 12 個月的成本資訊,並預測未來 12 個月的未來支出。
AWS 成本異常偵測是另一種成本管理控制工具,可用於監控 AWS WAF 成本。它使用進階 ML 技術來識別異常支出和根本原因。這可協助您在成本意外增加時快速採取行動或接收提醒。若要在達到特定成本閾值時收到提醒,AWS Budgets 可以提供該追蹤和監控功能。
