Pruebas e implementación de la ATP

Esta sección proporciona una guía general para configurar y probar una implementación de prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control en su sitio. Los pasos específicos que elija seguir dependerán de sus necesidades, recursos y solicitudes web que reciba.

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en Probando y ajustando sus AWS WAF protecciones.

nota

AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el modelo de responsabilidad compartida para asegurarse de que sus recursos AWS estén debidamente protegidos.

Riesgo de tráfico de producción

Antes de implementar cambios en su ATP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas.

AWS WAF proporciona credenciales de prueba que puede utilizar para verificar la configuración de su ATP. En el siguiente procedimiento, configurará una ACL web de prueba para usar el grupo de reglas administrado de ATP, configurará una regla para capturar la etiqueta agregada por el grupo de reglas y, a continuación, realizará un intento de inicio de sesión con estas credenciales de prueba. Verificarás que tu ACL web ha gestionado correctamente el intento comprobando CloudWatch las métricas de Amazon para el intento de inicio de sesión.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar las ACL web, las reglas y los grupos de reglas de AWS WAF . Estos temas se tratan en secciones anteriores de esta guía.

Para configurar y probar una implementación de prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control

Realice estos pasos primero en un entorno de prueba y, después, en producción.

1. Agregue el grupo de reglas gestionadas para la prevención de la apropiación de cuentas (ATP) de AWS WAF Fraud Control en el modo de recuento

   nota

   Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para obtener más información, consulte AWS WAF Precios.

   Agregue el grupo de reglas AWS administradas AWSManagedRulesATPRuleSet a una ACL web nueva o existente y configúrelo para que no altere el comportamiento actual de la ACL web. Para obtener más información sobre las reglas y etiquetas de este grupo de reglas, consulte AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude.

   • Cuando añada el grupo de reglas administrado, edítelo y haga lo siguiente:

     • En el panel de Configuración del grupo de reglas, proporcione los detalles de las páginas de registro de su aplicación. El grupo de reglas de la ATP utiliza esta información para monitorizar las actividades de inicio de sesión. Para obtener más información, consulte Adición del grupo de reglas administradas por ATP a la nueva ACL web.

     • En el panel Reglas, abra el menú desplegable Anular todas las acciones de reglas y elija Count. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte Invalidar acciones de reglas en un grupo de reglas.

       Con esta anulación puede supervisar el posible impacto de las reglas administradas de ATP para determinar si desea agregar excepciones, por ejemplo, excepciones para casos de uso interno.

   • Sitúe el grupo de reglas de forma que se evalúe según las reglas existentes en la ACL web, con una configuración de prioridad numéricamente superior a la de cualquier regla o grupo de reglas que ya esté utilizando. Para obtener más información, consulte Procesamiento del orden de las reglas y los grupos de reglas en una ACL web.

     De esta forma, no se interrumpe su gestión actual del tráfico. Por ejemplo, si tiene reglas que detectan tráfico malicioso, como la inyección de código SQL o el scripting entre sitios, seguirán detectándolo y registrándolo. Como alternativa, si tiene reglas que permiten el tráfico no malicioso conocido, estas pueden seguir permitiéndolo sin que el grupo de reglas administrado de ATP lo bloquee. Puede decidir ajustar el procesamiento de pedidos durante sus actividades de prueba y ajuste.

2. Habilite el registro y las métricas para la ACL web

   Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y CloudWatch las métricas de Amazon para la ACL web. Puede usar estas herramientas de visibilidad para monitorizar la interacción del grupo de reglas administrado de ATP con su tráfico.

   • Para obtener información sobre la configuración y uso de los registros, consulte Registro del tráfico de ACL AWS WAF web.

   • Para obtener información acerca de Amazon Security Lake, consulte ¿Qué es Amazon Security Lake? y Recopilación de datos de AWS los servicios de la guía del usuario de Amazon Security Lake.

   • Para obtener información sobre CloudWatch las métricas de Amazon, consultaMonitorización con Amazon CloudWatch.

   • Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte Visualizar una muestra de solicitudes web.

3. Asocie la ACL web con un recurso

   Si la ACL web aún no está asociada a un recurso de prueba, asóciela. Para obtener más información, consulte Asociar o desasociar una ACL web a un recurso AWS.

4. Supervise el tráfico y las coincidencias de las reglas de la ATP

   Asegúrese de que el tráfico fluya normalmente y de que las reglas del grupo de reglas administrado de ATP agreguen etiquetas a las solicitudes web coincidentes. Puedes ver las etiquetas en los registros y ver las métricas de ATP y etiquetas en las CloudWatch métricas de Amazon. En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en ruleGroupList con action establecida para el recuento y con overriddenAction indicando la acción de regla configurada que ha anulado.

5. Verificación de las capacidades de comprobación de credenciales del grupo de reglas

   Realice un intento de registro probando las credenciales comprometidas y compruebe que el grupo de reglas coincide con ellas según lo esperado.

   1. Inicie sesión en la página de inicio de sesión de su recurso protegido con el siguiente par AWS WAF de credenciales de prueba:

      • Usuario: WAF_TEST_CREDENTIAL@wafexample.com

      • Contraseña: WAF_TEST_CREDENTIAL_PASSWORD

      Estas credenciales de prueba se clasifican como credenciales comprometidas y el grupo de reglas administrado de ATP agregará la etiqueta awswaf:managed:aws:atp:signal:credential_compromised a la solicitud de registro, lo que se puede ver en los registros.

   2. En los registros de la ACL web, busque la etiqueta awswaf:managed:aws:atp:signal:credential_compromised en el campo labels de las entradas de registro de las solicitudes de registro de web de prueba. Para obtener más información acerca del registro, consulte Registro del tráfico de ACL AWS WAF web.

   Una vez que haya comprobado que el grupo de reglas captura las credenciales comprometidas según lo esperado, puede tomar las medidas necesarias para configurar su implementación según lo necesite para el recurso protegido.

6. Para CloudFront las distribuciones, pruebe la gestión de errores de inicio de sesión del grupo de reglas

   1. Realice esta prueba para cada criterio de respuesta al fallo que haya configurado para el grupo de reglas de la ATP. Espere al menos 10 minutos entre las pruebas.

      Para probar un único criterio de error, identifique en la respuesta un intento de inicio de sesión que no funcione con ese criterio. A continuación, desde una única dirección IP de cliente, realice al menos 10 intentos de inicio de sesión fallidos en menos de 10 minutos.

      Tras los primeros 6 errores, la regla de inicio de sesión fallido volumétrico debería empezar a coincidir con el resto de los intentos, etiquetándolos y contándolos. Es posible que la regla omita la primera o las dos primeras debido a la latencia.

   2. En los registros de la ACL web, busque la etiqueta awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high en el campo labels de las entradas de registro de las solicitudes de registro de web de prueba. Para obtener más información acerca del registro, consulte Registro del tráfico de ACL AWS WAF web.

   Estas pruebas verifican que los criterios de error coincidan con las respuestas comprobando que los recuentos de inicios de sesión fallidos superen los umbrales de la regla VolumetricIpFailedLoginResponseHigh. Una vez alcanzado el umbral, si sigue enviando solicitudes de registro desde la misma dirección IP, la regla seguirá siendo válida hasta que la tasa de éxito caiga por debajo del umbral. Si se supera el umbral, la regla compara los intentos de registro exitosos o fallidos desde la dirección IP.

7. Personalización la gestión de las solicitudes web de la ATP

   Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas de la ATP las gestionarían.

   Por ejemplo, puede utilizar las etiquetas de la ATP para permitir o bloquear las solicitudes o para personalizar su gestión. Puede agregar una regla de coincidencia de etiquetas después del grupo de reglas administrado de ATP para filtrar las solicitudes etiquetadas según la gestión que desee aplicar. Tras realizar las pruebas, mantenga las reglas de la ATP relacionadas en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. Para ver un ejemplo, consulte Ejemplo de ATP: gestión personalizada de las credenciales faltantes o comprometidas.

8. Elimine las reglas de prueba y active la configuración del grupo de reglas administrado de ATP

   Según su situación, es posible que haya decidido dejar algunas reglas de la ATP en modo de recuento. Para las reglas que desee ejecutar tal como están configuradas dentro del grupo de reglas, deshabilite el modo de recuento en la configuración del grupo de reglas de la ACL web. Cuando termine de realizar las pruebas, también puede eliminar las reglas de coincidencia de etiquetas de prueba.

9. Monitorización y ajuste

   Para asegurarse de que las solicitudes web se gestionen como desee, monitorice de cerca el tráfico después de activar la funcionalidad de la ATP que pretende utilizar. Ajuste el comportamiento según sea necesario con la anulación del recuento de reglas en el grupo de reglas y con sus propias reglas.

Cuando termine de probar la implementación del grupo de reglas de la ATP, si aún no lo ha hecho, le recomendamos encarecidamente que integre el AWS WAF JavaScript SDK en la página de inicio de sesión del navegador para mejorar las capacidades de detección. AWS WAF también proporciona SDK móviles para integrar dispositivos iOS y Android. Para obtener más información acerca de la integración de los SDK, consulte AWS WAF integración de aplicaciones cliente. Para obtener más información sobre esta recomendación, consulte Motivos por los que debería utilizar los SDK de integración de aplicaciones con ATP.