Contrôles statiques pour la gestion des robots - AWS Conseils prescriptifs
Autoriser l'annonceContrôles basés sur IPContrôles intrinsèques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles statiques pour la gestion des robots

Pour effectuer une action, les contrôles statiques évaluent les informations statiques de la requête HTTP (S), telles que son adresse IP ou ses en-têtes. Ces contrôles peuvent être utiles pour les activités de robots peu sophistiquées ou pour le trafic bénéfique attendu de robots qui doit être vérifié et géré. Les techniques de contrôle statique incluent : les listes d'autorisations, les contrôles basés sur l'adresse IP et les contrôles intrinsèques.

Autoriser l'annonce

L'autorisation de mise en vente est un contrôle qui permet d'identifier le trafic convivial par le biais des contrôles d'atténuation des bots existants. Il existe différentes manières d'y parvenir. Le plus simple est d'utiliser une règle qui correspond à un ensemble d'adresses IP ou à une condition de correspondance similaire. Lorsqu'une demande correspond à une règle définie pour une Allow action, elle n'est pas évaluée par les règles suivantes. Dans certains cas, vous devez empêcher l'application de certaines règles uniquement ; en d'autres termes, vous devez autoriser la liste pour une règle, mais pas pour toutes les règles. Il s'agit d'un scénario courant de gestion des faux positifs pour les règles. L'autorisation de mise en vente est considérée comme une règle générale. Pour réduire le risque de faux négatifs, nous vous recommandons de l'associer à une autre option plus précise, telle qu'une correspondance de chemin ou d'en-tête.

Contrôles basés sur IP

Blocs d'adresses IP uniques

Un outil couramment utilisé pour atténuer l'impact des robots consiste à limiter les demandes provenant d'un seul demandeur. L'exemple le plus simple consiste à bloquer l'adresse IP source du trafic si ses demandes sont malveillantes ou si leur volume est élevé. Cela utilise des règles de correspondance des ensembles d' AWS WAF adresses IP pour implémenter des blocs basés sur l'adresse IP. Ces règles correspondent aux adresses IP et appliquent une action de BlockChallenge, ouCAPTCHA. Vous pouvez déterminer si un trop grand nombre de demandes proviennent d'une adresse IP en consultant le réseau de diffusion de contenu (CDN), un pare-feu d'applications Web ou les journaux des applications et des services. Cependant, dans la plupart des cas, ce contrôle n'est pas pratique sans automatisation.

L'automatisation des listes d'adresses IP bloquées se AWS WAF fait généralement à l'aide de règles basées sur le débit. Pour plus d’informations, consultez Règles basées sur un débit dans ce guide. Vous pouvez également implémenter les automatisations de sécurité pour la AWS WAF solution. Cette solution met automatiquement à jour la liste des adresses IP à bloquer, et une AWS WAF règle refuse les demandes correspondant à ces adresses IP.

L'un des moyens de reconnaître une attaque de bot consiste à faire en sorte qu'une multitude de requêtes provenant de la même adresse IP se concentrent sur un petit nombre de pages Web. Cela indique que le bot supprime les prix ou tente à plusieurs reprises des connexions qui échouent à un pourcentage élevé. Vous pouvez créer des automatisations qui reconnaissent immédiatement ce modèle. Les automatisations bloquent l'adresse IP, ce qui réduit l'efficacité de l'attaque en l'identifiant et en l'atténuant rapidement. Le blocage d'adresses IP spécifiques est moins efficace lorsqu'un attaquant dispose d'un grand nombre d'adresses IP à partir desquelles lancer des attaques ou lorsque le comportement de l'attaque est difficile à reconnaître et à dissocier du trafic normal. 

Réputation de l'adresse IP

Un service de réputation IP fournit des informations qui aident à évaluer la fiabilité d'une adresse IP. Ces informations sont généralement dérivées en agrégeant les informations relatives à l'IP provenant des activités passées à partir de cette adresse IP. Une activité antérieure permet d'indiquer dans quelle mesure une adresse IP est susceptible de générer des requêtes malveillantes. Les données sont ajoutées à des listes gérées qui suivent le comportement des adresses IP.

Les adresses IP anonymes constituent un cas spécifique de réputation des adresses IP. L'adresse IP source provient de sources connues d'adresses IP faciles à acquérir, telles que des machines virtuelles basées sur le cloud, ou de proxys, tels que des fournisseurs VPN ou des nœuds Tor connus. Les groupes de règles gérés par la liste de réputation d' AWS WAF Amazon IP et la liste d'adresses IP anonymes utilisent les renseignements internes d'Amazon sur les menaces pour identifier ces adresses IP.

Les informations fournies par ces listes gérées peuvent vous aider à agir sur les activités identifiées à partir de ces sources. Sur la base de ces informations, vous pouvez créer des règles qui bloquent directement le trafic ou des règles qui limitent le nombre de demandes (telles que des règles basées sur le débit). Vous pouvez également utiliser cette intelligence pour évaluer la source du trafic en utilisant les règles en COUNT mode. Cela examine les critères de correspondance et applique des étiquettes que vous pouvez utiliser pour créer des règles personnalisées.

Règles basées sur un débit

Les règles basées sur les taux peuvent être un outil précieux pour certains scénarios. Par exemple, les règles basées sur les taux sont efficaces lorsque le trafic des robots atteint des volumes élevés par rapport aux utilisateurs utilisant des identifiants de ressource uniformes (URI) sensibles ou lorsque le volume de trafic commence à affecter les opérations normales. La limitation du débit permet de maintenir les demandes à des niveaux gérables et de limiter et de contrôler l'accès. AWS WAF peut implémenter une règle de limitation de débit dans une liste de contrôle d'accès Web (ACL Web) en utilisant une instruction de règle basée sur le taux. Lorsque vous utilisez des règles basées sur le taux, il est recommandé d'inclure une règle générale couvrant l'ensemble du site, des règles spécifiques aux URI et des règles basées sur le taux de réputation des adresses IP. Les règles basées sur le taux de réputation IP associent l'intelligence de la réputation des adresses IP à une fonctionnalité de limitation du débit.

Pour l'ensemble du site, une règle générale basée sur le taux de réputation des adresses IP crée un plafond qui empêche les robots peu sophistiqués d'inonder un site à partir d'un petit nombre d'adresses IP. La limitation du débit est particulièrement recommandée pour protéger les URI qui ont un coût ou un impact élevé, comme les pages de connexion ou de création de compte.

Les règles de limitation de débit peuvent fournir un premier niveau de défense rentable. Vous pouvez utiliser des règles plus avancées pour protéger les URI sensibles. Les règles basées sur le débit spécifiques aux URI peuvent limiter l'impact sur les pages critiques ou sur les API qui affectent le backend, telles que l'accès aux bases de données. Les mesures d'atténuation avancées visant à protéger certains URI, abordées plus loin dans ce guide, entraînent souvent des coûts supplémentaires, et ces règles basées sur les taux spécifiques aux URI peuvent vous aider à contrôler les coûts. Pour plus d'informations sur les règles basées sur les taux couramment recommandées, consultez les trois règles basées AWS WAF sur les taux les plus importantes dans le blog sur la AWS sécurité. Dans certains cas, il est utile de limiter le type de demande évalué par une règle basée sur le taux. Vous pouvez utiliser des instructions de portée réduite pour, par exemple, limiter les règles basées sur le taux en fonction de la zone géographique de l'adresse IP source.

AWS WAF offre une fonctionnalité avancée pour les règles basées sur les taux grâce à l'utilisation de clés d'agrégation. Grâce à cette fonctionnalité, vous pouvez configurer une règle basée sur le taux afin d'utiliser diverses autres clés d'agrégation et combinaisons de touches, en plus de l'adresse IP source. Par exemple, en tant que combinaison unique, vous pouvez agréger les demandes en fonction d'une adresse IP transférée, de la méthode HTTP et d'un argument de requête. Cela vous permet de configurer des règles plus précises pour une atténuation volumétrique sophistiquée du trafic.

Contrôles intrinsèques

Les contrôles intrinsèques sont différents types de validations ou de vérifications internes ou inhérentes au sein d'un système ou d'un processus. Pour le contrôle des robots, AWS WAF effectue une vérification intrinsèque en validant que les informations envoyées dans la demande correspondent aux signaux du système. Par exemple, il effectue des recherches DNS inversées et d'autres vérifications du système. Certaines demandes automatisées sont nécessaires, telles que les demandes liées au référencement. Autoriser la mise en vente est un moyen de laisser passer les bons robots attendus. Mais parfois, les robots malveillants imitent les bons robots, et il peut être difficile de les séparer. AWS WAF fournit des méthodes pour y parvenir par le biais du groupe de règles AWS WAF Bot Control géré. Les règles de ce groupe permettent de vérifier que les robots auto-identifiés sont bien ceux qu'ils prétendent être. AWS WAF vérifie les détails de la demande par rapport au modèle connu de ce bot, et il effectue également des recherches DNS inversées et d'autres vérifications objectives.