Prueba e implementación de Anti- DDo S - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prueba e implementación de Anti- DDo S

Deberá configurar y probar la prevención de la denegación de servicio AWS WAF distribuida antes de implementar la función. DDo Esta sección proporciona una guía general para la configuración y las pruebas; sin embargo, los pasos específicos que decida seguir dependerán de sus necesidades, recursos y solicitudes web que reciba.

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en Probando y ajustando sus AWS WAF protecciones.

nota

AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el modelo de responsabilidad compartida para asegurarse de que sus recursos AWS estén debidamente protegidos.

Riesgo de tráfico de producción

Pruebe y ajuste su implementación DDo antiS en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en su tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía.

Para configurar y probar una implementación de prevención de denegación de servicio AWS WAF distribuida DDo

Realice estos pasos primero en un entorno de prueba y, después, en producción.

  1. Agregue el grupo de reglas gestionadas de prevención de denegación de servicio (DDoS) AWS WAF distribuida en modo de recuento
    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte AWS WAF Precios.

    Agregue el grupo de reglas AWS administradas AWSManagedRulesAntiDDoSRuleSet a un paquete de protección nuevo o existente (ACL web) y configúrelo de manera que no altere el comportamiento actual del paquete de protección (ACL web). Para obtener más información sobre las reglas y etiquetas de este grupo de reglas, consulte AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida.

    • Cuando añada el grupo de reglas administradas, edítelo y haga lo siguiente:

      • En el panel de configuración del grupo de reglas, proporcione los detalles necesarios para realizar actividades DDo antiS para su tráfico web. Para obtener más información, consulte Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web).

      • En el panel Reglas, abra el menú desplegable Anular todas las acciones de reglas y elija Count. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte Invalidar acciones de reglas en un grupo de reglas.

        Con esta modificación, puede supervisar el posible impacto de las reglas gestionadas por DDo Anti-S para determinar si desea realizar modificaciones, por ejemplo, ampliar la expresión regular para las URIs que no soportan un navegador silencioso.

    • Sitúe el grupo de reglas de forma que se evalúe lo antes posible, inmediatamente después de cualquier regla que permita el tráfico. Las reglas se evalúan en orden de prioridad numérico ascendente. La consola establece el orden automáticamente, empezando por la parte superior de la lista de reglas. Para obtener más información, consulte Establecer la prioridad de las reglas.

  2. Habilite el registro y las métricas para el paquete de protección (ACL web)

    Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y CloudWatch las métricas de Amazon para el paquete de protección (ACL web). Puede usar estas herramientas de visibilidad para monitorear la interacción del grupo de reglas administrado por DDo Anti-S con su tráfico.

  3. Asocie el paquete de protección (ACL web) a un recurso

    Si el paquete de protección (ACL web) aún no está asociado a un recurso de prueba, asócielo. Para obtener información, consulte Asociar o disociar la protección a un recurso AWS.

  4. Supervise el tráfico y las coincidencias DDo de las reglas anti-S

    Asegúrese de que su tráfico normal fluya y de que las reglas del grupo de reglas gestionado por DDo Anti-S agreguen etiquetas a las solicitudes web coincidentes. Puedes ver las etiquetas en los registros y ver las métricas DDo antiS y de etiquetas en las métricas de Amazon CloudWatch . En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en ruleGroupList con action establecida para el recuento y con overriddenAction indicando la acción de regla configurada que ha anulado.

  5. Personalice la gestión de las solicitudes web de Anti- DDo S

    Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas Anti- DDo S las gestionarían de otro modo.

    Por ejemplo, puede utilizar las etiquetas Anti- DDo S para permitir o bloquear las solicitudes o para personalizar su gestión. Puede añadir una regla de coincidencia de etiquetas después del grupo de reglas gestionado por Anti- DDo S para filtrar las solicitudes etiquetadas según la gestión que desee aplicar. Tras realizar las pruebas, mantenga las reglas Anti- DDo S relacionadas en el modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada.

  6. Elimine las reglas de prueba y configure los ajustes de DDo Anti-S

    Revise los resultados de las pruebas para determinar qué reglas DDo antiS desea mantener en el modo de recuento únicamente para su supervisión. Para cualquier regla que desee ejecutar con la protección activa, desactive el modo de recuento en la configuración del grupo de reglas del paquete de protección (ACL web) para que puedan realizar las acciones configuradas. Una vez que haya finalizado estos ajustes, elimine las reglas de coincidencia de etiquetas de prueba temporales y conserve las reglas personalizadas que haya creado para su uso en producción. Para obtener información adicional sobre la configuración DDo de Anti-S, consulteMejores prácticas para la mitigación inteligente de amenazas en AWS WAF.

  7. Monitorización y ajuste

    Para asegurarse de que las solicitudes web se gestionan como usted desea, supervise de cerca el tráfico después de activar la funcionalidad Anti- DDo S que pretende utilizar. Ajuste el comportamiento según sea necesario con la anulación del recuento de reglas en el grupo de reglas y con sus propias reglas.