Motivos por los que debería utilizar los SDK de integración de aplicaciones con ATP - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Motivos por los que debería utilizar los SDK de integración de aplicaciones con ATP

El grupo de reglas administrado de la ATP requiere los tokens de desafío que generan los SDK de integración de aplicaciones. Los tokens habilitan el conjunto completo de protecciones que ofrece el grupo de reglas.

Recomendamos encarecidamente implementar los SDK de integración de aplicaciones para un uso más eficiente del grupo de reglas de la ATP. El script de desafío debe ejecutarse antes del grupo de reglas de la ATP para que el grupo de reglas se beneficie de los tokens que adquiere el script. Esto ocurre automáticamente con los SDK de integración de aplicaciones. Si no puede utilizar los SDK, también puede configurar su ACL web de forma que ejecute la acción de regla Challenge o CAPTCHA contra todas las solicitudes que vaya a inspeccionar el grupo de reglas de la ATP. El uso de la acción de regla Challenge o CAPTCHA puede generar tarifas adicionales. Para obtener más información sobre precios, consulte precios de AWS WAF.

Capacidades del grupo de reglas de la ATP que no requieren un token

Cuando las solicitudes web no tienen un token, el grupo de reglas administrado de la ATP es capaz de bloquear los siguientes tipos de tráfico:

  • Direcciones IP únicas que realizan muchas solicitudes de inicio de sesión.

  • Direcciones IP únicas que realizan muchas solicitudes de inicio de sesión fallidas en un corto espacio de tiempo.

  • Intentos de inicio de sesión con recorrido de contraseña, que utilizan el mismo nombre de usuario pero cambian las contraseñas.

Capacidades del grupo de reglas de ATP que requieren un token

La información proporcionada en el token de desafío amplía las capacidades del grupo de reglas y de la seguridad general de las aplicaciones cliente.

El token proporciona información del cliente con cada solicitud web, lo que permite al grupo de reglas de la ATP separar las sesiones de clientes legítimas de las sesiones de clientes que se comportan mal, incluso cuando ambas se originan en una sola dirección IP. El grupo de reglas usa la información de los tokens para agregar el comportamiento de las solicitudes de sesión de los clientes con el fin de lograr una detección y mitigación más precisas.

Cuando el token está disponible en las solicitudes web, el grupo de reglas de la ATP puede detectar y bloquear las siguientes categorías adicionales de clientes a nivel de sesión:

  • Las sesiones de cliente que no superan el desafío silencioso que gestionan los SDK.

  • Sesiones de clientes que utilizan nombres de usuario o contraseñas con recorrido. Esto también se conoce como “relleno de credenciales”.

  • Sesiones de clientes que utilizan repetidamente credenciales robadas para el registro.

  • Sesiones de clientes que pasan mucho tiempo intentando iniciar sesión.

  • Sesiones de clientes que realizan muchas solicitudes de inicio de sesión. El grupo de reglas ATP proporciona un mejor aislamiento de los clientes que la regla AWS WAF basada en tasas, que puede bloquear a los clientes por dirección IP. El grupo de reglas de la ATP también utiliza un umbral inferior.

  • Sesiones de clientes que realizan muchas solicitudes de inicio de sesión fallidas en poco tiempo. Esta funcionalidad está disponible para las CloudFront distribuciones protegidas de Amazon.

Para obtener más información acerca de las capacidades de este grupo de reglas, consulte AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude.

Para obtener información sobre los SDK, consulte AWS WAF integración de aplicaciones cliente. Para obtener información sobre AWS WAF los tokens, consulteAWS WAF tokens de solicitud web. Para obtener información sobre las acciones de las reglas, consulte CAPTCHAy Challenge en AWS WAF.