Testen und Bereitstellen von AWS WAF Bot Control

Dieser Abschnitt enthält allgemeine Anleitungen zum Konfigurieren und Testen einer AWS WAF Bot Control-Implementierung für Ihre Site. Die spezifischen Schritte, die Sie befolgen, hängen von Ihren Bedürfnissen, Ressourcen und den Webanfragen ab, die Sie erhalten.

Diese Informationen sind zusätzlich zu den allgemeinen Informationen zum Testen und Optimieren verfügbar, die Sie unter findenTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen.

Anmerkung

AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des Modells der gemeinsamen Verantwortung können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind.

Risiken rund um Produktionsdatenverkehr

Bevor Sie Ihre Bot-Control-Implementierung für den Produktionsdatenverkehr bereitstellen, sollten Sie sie in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren.

Diese Anleitung richtet sich an Benutzer, die im Allgemeinen wissen, wie man Web-ACLs, Regeln und Regelgruppen für AWS WAF erstellt und verwaltet. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt.

So konfigurieren und testen Sie eine Bot-Control-Implementierung

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

1. Hinzugen der verwalteten Bot-Control-Regelgruppe

   Anmerkung

   Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter AWS WAF -Preisgestaltung.

   Fügen Sie die verwaltete AWS Regelgruppe AWSManagedRulesBotControlRuleSet einer neuen oder vorhandenen Web-ACL hinzu und konfigurieren Sie sie so, dass sie das aktuelle Web-ACL-Verhalten nicht verändert.

   • Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor:

     • Wählen Sie im Bereich Inspektionsebene die Inspektionsebene aus, die Sie verwenden möchten.

       • Häufig — Erkennt eine Vielzahl von sich selbst identifizierenden Bots, z. B. Web-Scraping-Frameworks, Suchmaschinen und automatisierte Browser. Bot-Control-Schutzmaßnahmen auf dieser Ebene identifizieren häufig auftretende Bots mithilfe herkömmlicher Bot-Erkennungstechniken, wie z. B. der Analyse statischer Anforderungsdaten. Die Regeln kennzeichnen den Traffic dieser Bots und blockieren diejenigen, die sie nicht verifizieren können.

       • Gezielt — Beinhaltet Schutzmaßnahmen auf allgemeiner Ebene und bietet eine gezielte Erkennung für ausgeklügelte Bots, die sich nicht selbst identifizieren. Gezielte Schutzmaßnahmen reduzieren Bot-Aktivitäten mithilfe einer Kombination aus Ratenbegrenzung und CAPTCHA sowie Browser-Herausforderungen im Hintergrund.

         • TGT_— Regeln, die gezielten Schutz bieten, haben Namen, die mit beginnen. TGT_ Alle gezielten Schutzmaßnahmen verwenden Erkennungstechniken wie Browserabfragen, Fingerabdrücke und Verhaltensheuristiken, um bösartigen Bot-Traffic zu identifizieren.

         • TGT_ML_— Gezielte Schutzregeln, die maschinelles Lernen verwenden, haben Namen, die mit beginnen. TGT_ML_ Diese Regeln verwenden automatisierte, maschinelle Lernanalysen der Besucherstatistiken von Websites, um ungewöhnliches Verhalten zu erkennen, das auf verteilte, koordinierte Bot-Aktivitäten hindeutet. AWS WAF analysiert Statistiken über Ihren Website-Verkehr wie Zeitstempel, Browsereigenschaften und die zuvor besuchte URL, um das maschinelle Lernmodell von Bot Control zu verbessern. Funktionen für maschinelles Lernen sind standardmäßig aktiviert, Sie können sie jedoch in Ihrer Regelgruppenkonfiguration deaktivieren. Wenn maschinelles Lernen deaktiviert ist, werden diese Regeln AWS WAF nicht ausgewertet.

       Weitere Informationen zu dieser Option finden Sie unterAWS WAF Regelgruppe „Bot-Kontrolle“.

     • Öffnen Sie im Bereich Regeln die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie aus Count. Bei dieser Konfiguration werden Anfragen anhand aller Regeln in der Regelgruppe AWS WAF ausgewertet und nur die Treffer gezählt, die sich daraus ergeben, wobei Anfragen trotzdem Labels hinzugefügt werden. Weitere Informationen finden Sie unter Regelaktionen in einer Regelgruppe überschreiben.

       Mit dieser Überschreibung können Sie die potenziellen Auswirkungen der Bot-Kontrollregeln auf Ihren Traffic überwachen und so bestimmen, ob Sie Ausnahmen für Dinge wie interne Anwendungsfälle oder gewünschte Bots hinzufügen möchten.

   • Positionieren Sie die Regelgruppe so, dass sie in der Web-ACL als Letztes ausgewertet wird, mit einer Prioritätseinstellung, die numerisch höher ist als alle anderen Regeln oder Regelgruppen, die Sie bereits verwenden. Weitere Informationen finden Sie unter Reihenfolge der Verarbeitung von Regeln und Regelgruppen in einer Web-ACL.

     Auf diese Weise wird Ihre derzeitige Handhabung des Datenverkehrs nicht gestört. Wenn Sie beispielsweise Regeln haben, die bösartigen Datenverkehr wie SQL-Injection oder Cross-Site-Scripting erkennen, werden diese Anfragen weiterhin erkannt und protokolliert. Wenn Sie über Regeln verfügen, die bekannten nicht böswilligen Datenverkehr zulassen, lassen diese derartigen Datenverkehr weiterhin zu, ohne dass er von der durch Bot Control verwalteten Regelgruppe blockiert wird. Möglicherweise möchten Sie die Verarbeitungsreihenfolge während Ihrer Test- und Optimierungsaktivitäten anpassen, aber das ist ein guter Anfang.

2. Aktivieren Sie die Protokollierung und Metriken für die Web-ACL

   Konfigurieren Sie bei Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für die Web-ACL. Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der von Bot Control verwalteten Regelgruppe mit Ihrem Datenverkehr zu überwachen.

   • Weitere Informationen zur Protokollierung finden Sie unter AWS WAF Web-ACL-Verkehr protokollieren.

   • Informationen zu Amazon Security Lake finden Sie unter Was ist Amazon Security Lake? und Sammeln von Daten von AWS Diensten im Amazon Security Lake-Benutzerhandbuch.

   • Informationen zu CloudWatch Amazon-Metriken finden Sie unterÜberwachung mit Amazon CloudWatch.

   • Informationen zum Sampling von Webanforderungen finden Sie unter Anzeigen einer Stichprobe von Webanforderungen.

3. Zuordnen der Web-ACL zu einer Ressource

   Wenn die Web-ACL noch keiner Ressource zugeordnet ist, ordnen Sie sie zu. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung einer Web-ACL zu einer Ressource AWS.

4. Überwachung von Datenverkehr und Bot-Control-Regelübereinstimmungen

   Stellen Sie sicher, dass Datenverkehr fließt und dass durch die Regeln der durch Bot Control verwalteten Regelgruppe Bezeichnungen zu übereinstimmenden Webanforderungen hinzugefügt werden. Sie können die Labels in den Protokollen und die Bot- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, in der Liste mit auf zählen action gesetzt und ruleGroupList mit der overriddenAction Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben.

   Anmerkung

   Die verwaltete Bot-Control-Regelgruppe überprüft Bots, die die IP-Adressen von AWS WAF verwenden. Wenn Sie Bot Control verwenden und verifizierte Bots haben, die durch einen Proxy oder Load Balancer geleitet werden, müssen Sie sie ggf. explizit mit einer benutzerdefinierten Regel zulassen. Informationen zum Erstellen einer benutzerdefinierten Regel finden Sie unter Weitergeleitete IP-Adresse. Informationen darüber, wie Sie die Regel verwenden können, um die Behandlung von Webanforderungen durch Bot Control anzupassen, finden Sie im nächsten Schritt.

   Überprüfen Sie die Verarbeitung von Webanfragen sorgfältig auf Fehlalarme, die Sie möglicherweise durch eine benutzerdefinierte Behandlung abmildern müssen. Beispiele für falsch positive Ergebnisse finden Sie unterFalsche positive Ergebnisse mit AWS WAF Bot Control.

5. Anpassen der Behandlung von Webanforderungen durch Bot Control

   Fügen Sie bei Bedarf Ihre eigenen Regeln hinzu, die Anforderungen explizit zulassen oder blockieren. Dadurch ändern Sie, wie Bot-Control-Regeln andernfalls damit umgehen würden.

   Wie Sie dies tun, hängt von Ihrem Anwendungsfall ab, aber die folgenden Lösungen sind üblich:

   • Erlauben Sie Anforderungen explizit mit einer Regel, die Sie vor der verwalteten Bot-Control-Regelgruppe hinzufügen. Auf diese Weise gelangen die zugelassenen Anforderungen niemals zur Auswertung durch die Regelgruppe. Dies kann dazu beitragen, die Kosten für die Verwendung der verwalteten Bot-Control-Regelgruppe einzudämmen.

   • Schließen Sie Anfragen von der Bewertung durch Bot Control aus, indem Sie der Anweisung für verwaltete Regelgruppen von Bot Control eine Scopedown-Aussage hinzufügen. Das funktioniert genauso wie die vorherige Option. Dadurch können Sie die Kosten für die Verwendung der verwalteten Bot-Control-Regelgruppe eindämmen, da die Anforderungen, die nicht der Eingrenzungsanweisung entsprechen, nie zur Auswertung durch die Regelgruppe gelangen. Informationen zu Eingrenzungsanweisungen finden Sie unter Eingrenzungsanweisungen.

     -Beispiele finden Sie nachfolgend.

     • IP-Bereich von der Bot-Verwaltung ausschließen

     • Traffic von einem Bot zulassen, den Sie steuern

   • Verwenden Sie Bot Control-Bezeichnungen bei der Behandlung von Anforderungen, um Anforderungen zuzulassen oder zu blockieren. Fügen Sie nach der verwalteten Bot-Control-Regelgruppe eine Regel für einen Bezeichnungsabgleich hinzu, um Anforderungen mit Bezeichnungen, die Sie zulassen möchten, von denen zu trennen, die Sie blockieren möchten.

     Behalten Sie nach dem Testen die zugehörigen Bot-Control-Regeln im Zählmodus und die Entscheidungen zur Anforderungsbehandlung in Ihrer benutzerdefinierten Regel. Informationen zu Anweisungen für Bezeichnungsabgleiche finden Sie unter Regelanweisung für Bezeichnungsübereinstimmung.

     Beispiele für diese Art der Anpassung finden Sie im Folgenden:

     • Ausnahme für einen blockierten User Agent erstellen

     • Bestimmten blockierten Bot zulassen

     • Verifizierte Bots blockieren

   Weitere Beispiele finden Sie unter AWS WAF Beispiele für Bot-Kontrolle.

6. Aktivieren Sie bei Bedarf die Einstellungen der verwalteten Bot-Control-Regelgruppe

   Abhängig von Ihrer Situation haben Sie sich möglicherweise dafür entschieden, einige Bot-Kontrollregeln im Zählmodus oder mit einer anderen Aktionsüberschreibung zu belassen. Aktivieren Sie für die Regeln, die Sie so ausführen lassen möchten, wie sie innerhalb der Regelgruppe konfiguriert sind, die reguläre Regelkonfiguration. Bearbeiten Sie dazu die Regelgruppenanweisung in Ihrer Web-ACL und nehmen Sie Ihre Änderungen im Bereich Regeln vor.