Bewährte Methoden für intelligente Bedrohungsabwehr - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für intelligente Bedrohungsabwehr

Folgen Sie den bewährten Methoden in diesem Abschnitt, um die Funktionen zur intelligenten Bedrohungsabwehr am effizientesten und kostengünstigsten zu implementieren.

  • Implementieren Sie die SDKs JavaScript und die Integration mobiler Anwendungen — Implementieren Sie die Anwendungsintegration, um den vollen Funktionsumfang von ACFP, ATP oder Bot Control so effektiv wie möglich zu nutzen. Die verwalteten Regelgruppen verwenden die von den SDKs bereitgestellten Token, um legitimen Client-Verkehr auf Sitzungsebene von unerwünschtem Datenverkehr zu trennen. Die SDKs für die Anwendungsintegration stellen sicher, dass diese Token immer verfügbar sind. Details dazu finden Sie unter:

    Verwenden Sie die Integrationen, um Herausforderungen in Ihrem Client zu implementieren und beispielsweise die Art und Weise anzupassen JavaScript, wie CAPTCHA-Rätsel Ihren Endbenutzern präsentiert werden. Details hierzu finden Sie unter AWS WAF Integration von Client-Anwendungen.

    Wenn Sie CAPTCHA-Rätsel mithilfe der JavaScript API anpassen und die CAPTCHA Regelaktion an einer beliebigen Stelle in Ihrer Web-ACL verwenden, folgen Sie den Anweisungen für den Umgang mit der AWS WAF CAPTCHA-Antwort in Ihrem Client unter. Umgang mit einer CAPTCHA-Antwort von AWS WAF Diese Anleitung gilt für alle Regeln, die die CAPTCHA Aktion verwenden, einschließlich der Regeln in der verwalteten ACFP-Regelgruppe und der angestrebten Schutzstufe der verwalteten Regelgruppe Bot Control.

  • Beschränken Sie die Anfragen, die Sie an die Regelgruppen ACFP, ATP und Bot Control senden. Für die Nutzung der Regelgruppen mit intelligenten AWS verwalteten Regeln zur Abwehr von Bedrohungen fallen zusätzliche Gebühren an. Die ACFP-Regelgruppe überprüft Anfragen an die von Ihnen angegebenen Endpunkte für die Kontoregistrierung und Kontoerstellung. Die ATP-Regelgruppe überprüft Anfragen an den von Ihnen angegebenen Anmeldeendpunkt. Die Bot Control-Regelgruppe überprüft jede Anfrage, die sie bei der Web-ACL-Bewertung erreicht.

    Ziehen Sie die folgenden Ansätze in Betracht, um die Verwendung dieser Regelgruppen zu reduzieren:

    • Schließen Sie Anfragen von der Prüfung aus, wenn Sie in der Erklärung zur verwalteten Regelgruppe eine Erklärung zum Umfang angeben. Sie können dies mit jeder verschachtelten Anweisung tun. Weitere Informationen finden Sie unter Eingrenzungsanweisungen.

    • Schließen Sie Anfragen von der Prüfung aus, indem Sie Regeln vor der Regelgruppe hinzufügen. Für Regeln, die Sie nicht in einer Scope-down-Anweisung verwenden können, und für komplexere Situationen, wie z. B. die Kennzeichnung gefolgt von der Zuordnung von Bezeichnungen, möchten Sie möglicherweise Regeln hinzufügen, die vor den Regelgruppen ausgeführt werden. Weitere Informationen finden Sie unter Eingrenzungsanweisungen und Grundlagen der Regelerklärung.

    • Führen Sie die Regelgruppen nach kostengünstigeren Regeln aus. Wenn Sie andere AWS WAF Standardregeln haben, die Anfragen aus irgendeinem Grund blockieren, führen Sie sie vor diesen kostenpflichtigen Regelgruppen aus. Weitere Informationen zu Regeln und Regelverwaltung finden Sie unterGrundlagen der Regelerklärung.

    • Wenn Sie mehr als eine der Regelgruppen mit intelligenter Bedrohungsabwehr verwenden, führen Sie sie aus Kostengründen in der folgenden Reihenfolge aus: Bot Control, ATP, ACFP.

    Weitere Informationen finden Sie unter AWS WAF -Preise.

  • Aktivieren Sie die gezielte Schutzstufe der Regelgruppe Bot Control bei normalem Web-Verkehr — Einige Regeln der Zielschutzstufe benötigen Zeit, um Basiswerte für normale Datenverkehrsmuster festzulegen, bevor sie unregelmäßige oder bösartige Datenverkehrsmuster erkennen und darauf reagieren können. Beispielsweise benötigen die TGT_ML_* Regeln bis zu 24 Stunden, um sich aufzuwärmen.

    Fügen Sie diese Schutzmaßnahmen hinzu, wenn Sie nicht von einem Angriff betroffen sind, und geben Sie ihnen Zeit, ihre Grundlinien festzulegen, bevor sie erwarten, dass sie angemessen auf Angriffe reagieren. Wenn Sie diese Regeln während eines Angriffs hinzufügen, nachdem der Angriff abgeklungen ist, dauert die Erstellung einer Basislinie normalerweise doppelt bis dreimal so lange wie normalerweise erforderlich, da der Angriffsverkehr zu Verzerrungen führt. Weitere Informationen zu den Regeln und den dafür erforderlichen Aufwärmzeiten finden Sie unter. Liste der Regeln

  • Verwenden Sie für den Schutz vor Distributed-Denial-of-Service (DDoS) Shield Advanced die automatische DDoS-Abwehr auf Anwendungsebene. Die Regelgruppen zur intelligenten Bedrohungsabwehr bieten keinen DDoS-Schutz. ACFP schützt vor betrügerischen Versuchen, auf der Anmeldeseite Ihrer Anwendung ein Konto zu erstellen. ATP schützt vor Kontoübernahmeversuchen auf Ihrer Anmeldeseite. Bot Control konzentriert sich auf die Durchsetzung menschenähnlicher Zugriffsmuster mithilfe von Tokens und dynamischer Ratenbegrenzung bei Clientsitzungen.

    Wenn Sie Shield Advanced mit aktivierter automatischer DDoS-Abwehr auf Anwendungsebene verwenden, reagiert Shield Advanced automatisch auf erkannte DDoS-Angriffe, indem es in Ihrem Namen benutzerdefinierte AWS WAF Abwehr erstellt, bewertet und einsetzt. Weitere Informationen zu Shield Advanced finden Sie AWS Shield Advanced Überblick unter undAWS Shield Advanced Schutzmaßnahmen auf Anwendungsebene (Schicht 7).

  • Feinabstimmung und Konfiguration der Token-Behandlung — Passen Sie die Token-Behandlung der Web-ACL an, um eine optimale Benutzererfahrung zu erzielen.

    • Um die Betriebskosten zu senken und das Nutzererlebnis zu verbessern, sollten Sie die Immunitätszeiten Ihrer Tokenverwaltung so lange einstellen, wie es Ihre Sicherheitsanforderungen zulassen. Dadurch wird der Einsatz von CAPTCHA-Rätseln und stillen Herausforderungen auf ein Minimum reduziert. Weitere Informationen finden Sie unter Ablauf des Zeitstempels: Zeiten der AWS WAF Token-Immunität.

    • Um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen, konfigurieren Sie eine Token-Domainliste für Ihre Web-ACL. Weitere Informationen finden Sie unter AWS WAF Tokendomänen und Domainlisten.

  • Anfragen mit beliebigen Hostspezifikationen ablehnen — Konfigurieren Sie Ihre geschützten Ressourcen so, dass die Host Header in Webanfragen mit der Zielressource übereinstimmen müssen. Sie können einen Wert oder eine bestimmte Gruppe von Werten akzeptieren, z. B. myExampleHost.com undwww.myExampleHost.com, aber Sie können keine beliebigen Werte für den Host akzeptieren.

  • Für Application Load Balancer, die Ursprünge für CloudFront Distributionen sind, konfigurieren CloudFront und AWS WAF für die korrekte Token-Behandlung sorgen — Wenn Sie Ihre Web-ACL einem Application Load Balancer zuordnen und den Application Load Balancer als Ursprung für eine CloudFront Distribution bereitstellen, finden Sie weitere Informationen unter. Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront

  • Testen und Optimieren vor der Bereitstellung — Bevor Sie Änderungen an Ihrer Web-ACL vornehmen, sollten Sie die Test- und Optimierungsverfahren in diesem Handbuch befolgen, um sicherzustellen, dass Sie das erwartete Verhalten erhalten. Dies ist besonders wichtig für diese kostenpflichtigen Funktionen. Allgemeine Hinweise finden Sie unterTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen. Spezifische Informationen zu den kostenpflichtigen verwalteten Regelgruppen finden Sie unter Testen und Bereitstellen von ACFPTesten und Bereitstellen von ATP, undTesten und Bereitstellen von AWS WAF Bot Control.