Test et déploiement de l'ACFP - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Test et déploiement de l'ACFP

Cette section fournit des conseils généraux pour configurer et tester une implémentation de prévention de AWS WAF la fraude (ACFP) lors de la création de comptes Fraud Control pour votre site. Les étapes spécifiques que vous choisirez de suivre dépendront de vos besoins, des ressources et des demandes Web que vous recevrez.

Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies surTester et ajuster vos AWS WAF protections.

Note

AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au modèle de responsabilité partagée pour vous assurer que vos ressources AWS sont correctement protégées.

Risque lié au trafic de production

Avant de déployer votre implémentation ACFP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer.

AWS WAF fournit des informations d'identification de test que vous pouvez utiliser pour vérifier votre configuration ACFP. Dans la procédure suivante, vous allez configurer une ACL Web de test pour utiliser le groupe de règles géré par l'ACFP, configurer une règle pour capturer l'étiquette ajoutée par le groupe de règles, puis exécuter une tentative de création de compte à l'aide de ces informations d'identification de test. Vous allez vérifier que votre ACL Web a correctement géré la tentative en consultant les CloudWatch statistiques Amazon relatives à la tentative de création de compte.

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des ACL, des règles et des groupes de règles AWS WAF Web. Ces sujets sont abordés dans les sections précédentes de ce guide.

Pour configurer et tester une implémentation de la prévention des AWS WAF fraudes (ACFP) lors de la création de comptes de contrôle des fraudes

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

  1. Ajouter le groupe de règles géré par AWS WAF Fraud Control pour la création de comptes et la prévention des fraudes (ACFP) en mode décompte
    Note

    Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

    Ajoutez le groupe de règles AWS gérées AWSManagedRulesACFPRuleSet à une ACL Web nouvelle ou existante et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel de l'ACL Web. Pour plus de détails sur les règles et les libellés de ce groupe de règles, consultezAWS WAF Groupe de règles de prévention des fraudes (ACFP) pour la création de comptes et la prévention des fraudes.

    • Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit :

      • Dans le volet de configuration du groupe de règles, fournissez les détails des pages d'enregistrement et de création de compte de votre application. Le groupe de règles ACFP utilise ces informations pour surveiller les activités de connexion. Pour plus d’informations, consultez Ajouter le groupe de règles géré par l'ACFP à votre ACL Web.

      • Dans le volet Règles, ouvrez le menu déroulant Remplacer toutes les actions des règles et choisissez. Count Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour plus d’informations, consultez Remplacer les actions des règles dans un groupe de règles.

        Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles gérées par l'ACFP afin de déterminer si vous souhaitez ajouter des exceptions, telles que des exceptions pour des cas d'utilisation internes.

    • Positionnez le groupe de règles de manière à ce qu'il soit évalué selon vos règles existantes dans l'ACL Web, avec un paramètre de priorité numériquement supérieur à celui des règles ou groupes de règles que vous utilisez déjà. Pour plus d’informations, consultez Ordre de traitement des règles et des groupes de règles dans une ACL Web.

      De cette façon, votre gestion actuelle du trafic n'est pas perturbée. Par exemple, si vous avez des règles qui détectent le trafic malveillant tel que l'injection SQL ou les scripts intersites, elles continueront à le détecter et à le consigner. Par ailleurs, si vous avez des règles qui autorisent le trafic connu non malveillant, elles peuvent continuer à autoriser ce trafic, sans qu'il soit bloqué par le groupe de règles géré par l'ACFP. Vous pouvez décider d'ajuster l'ordre de traitement lors de vos activités de test et de réglage.

  2. Implémenter les SDK d'intégration des applications

    Intégrez le AWS WAF JavaScript SDK dans les processus d'enregistrement et de création de compte de votre navigateur. AWS WAF fournit également des SDK mobiles pour intégrer les appareils iOS et Android. Pour plus d'informations sur les kits de développement logiciel (SDK) d'intégration, consultezAWS WAF intégration d'applications clientes. Pour plus d'informations sur cette recommandation, consultezPourquoi utiliser les SDK d'intégration d'applications avec ACFP.

    Note

    Si vous ne parvenez pas à utiliser les SDK d'intégration d'applications, il est possible de tester le groupe de règles ACFP en le modifiant dans votre ACL Web et en supprimant la dérogation que vous avez accordée à la règle. AllRequests Cela active le paramètre Challenge d'action de la règle, afin de garantir que les demandes incluent un jeton de défi valide.

    Faites-le d'abord dans un environnement de test, puis avec le plus grand soin dans votre environnement de production. Cette approche est susceptible de bloquer des utilisateurs. Par exemple, si le chemin de votre page d'inscription n'accepte pas les requêtes GET texte/html, cette configuration de règles peut bloquer efficacement toutes les demandes sur la page d'enregistrement.

  3. Activer la journalisation et les métriques pour l'ACL Web

    Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour l'ACL Web. Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles géré par l'ACFP avec votre trafic.

  4. Associer l'ACL Web à une ressource

    Si l'ACL Web n'est pas déjà associée à une ressource de test, associez-la. Pour plus d’informations, veuillez consulter Associer ou dissocier une ACL Web à une ressource AWS.

  5. Surveillez le trafic et les correspondances aux règles ACFP

    Assurez-vous que votre trafic normal circule et que les règles du groupe de règles géré par l'ACFP ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux, ainsi que l'ACFP et les métriques relatives aux étiquettes dans les CloudWatch métriques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le ruleGroupList champ « action set to count » et overriddenAction indiquent l'action de règle configurée que vous avez remplacée.

  6. Testez les capacités de vérification des informations d'identification du groupe de règles

    Effectuez une tentative de création de compte en testant les informations d'identification compromises et vérifiez que le groupe de règles correspond à celles-ci, comme prévu.

    1. Accédez à la page d'enregistrement du compte de votre ressource protégée et essayez d'ajouter un nouveau compte. Utilisez la paire d'identifiants de AWS WAF test suivante et participez à n'importe quel test

      • Utilisateur : WAF_TEST_CREDENTIAL@wafexample.com

      • Mot de passe : WAF_TEST_CREDENTIAL_PASSWORD

      Ces informations d'identification de test sont classées dans la catégorie des informations d'identification compromises, et le groupe de règles géré par l'ACFP ajoutera l'awswaf:managed:aws:acfp:signal:credential_compromisedétiquette à la demande de création de compte, que vous pouvez consulter dans les journaux.

    2. Dans vos journaux ACL Web, recherchez l'awswaf:managed:aws:acfp:signal:credential_compromisedétiquette dans le labels champ des entrées du journal pour votre demande de création de compte de test. Pour de plus amples informations sur la journalisation, veuillez consulter Journalisation AWS WAF du trafic ACL Web.

    Après avoir vérifié que le groupe de règles capture les informations d'identification compromises comme prévu, vous pouvez prendre des mesures pour configurer sa mise en œuvre en fonction de vos besoins pour votre ressource protégée.

  7. Pour les CloudFront distributions, testez la gestion par le groupe de règles des tentatives de création de comptes en masse

    Exécutez ce test pour chaque critère de réponse positive que vous avez configuré pour le groupe de règles ACFP. Attendez au moins 30 minutes entre les tests.

    1. Pour chacun de vos critères de succès, identifiez une tentative de création de compte qui sera couronnée de succès avec ce critère de succès dans la réponse. Ensuite, à partir d'une seule session client, effectuez au moins 5 tentatives de création de compte réussies en moins de 30 minutes. Un utilisateur ne crée normalement qu'un seul compte sur votre site.

      Une fois la première création de compte réussie, la VolumetricSessionSuccessfulResponse règle devrait commencer à correspondre aux autres réponses à la création de votre compte, à les étiqueter et à les compter, en fonction de votre dérogation à l'action de la règle. Il se peut que la règle omette le premier ou les deux premiers en raison de la latence.

    2. Dans vos journaux ACL Web, recherchez l'awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:highétiquette dans le labels champ des entrées du journal pour vos demandes Web de création de compte de test. Pour de plus amples informations sur la journalisation, veuillez consulter Journalisation AWS WAF du trafic ACL Web.

    Ces tests vérifient que vos critères de réussite correspondent à vos réponses en vérifiant que le nombre de réussites agrégés par la règle dépasse le seuil de la règle. Une fois le seuil atteint, si vous continuez à envoyer des demandes de création de compte depuis la même session, la règle continuera de correspondre jusqu'à ce que le taux de réussite tombe en dessous du seuil. Lorsque le seuil est dépassé, la règle fait correspondre les tentatives de création de compte réussies ou non à partir de l'adresse de session.

  8. Personnaliser le traitement des requêtes Web ACFP

    Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles ACFP les traiteraient autrement.

    Par exemple, vous pouvez utiliser les étiquettes ACFP pour autoriser ou bloquer les demandes ou pour personnaliser le traitement des demandes. Vous pouvez ajouter une règle de correspondance d'étiquettes après le groupe de règles géré par l'ACFP afin de filtrer les demandes étiquetées pour le traitement que vous souhaitez appliquer. Après le test, maintenez les règles ACFP associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée. Pour obtenir un exemple, consultez Exemple ACFP : réponse personnalisée pour des informations d'identification compromises.

  9. Supprimez vos règles de test et activez les paramètres du groupe de règles géré par l'ACFP

    Selon votre situation, vous avez peut-être décidé de laisser certaines règles ACFP en mode décompte. Pour les règles que vous souhaitez exécuter telles que configurées au sein du groupe de règles, désactivez le mode de comptage dans la configuration du groupe de règles ACL Web. Lorsque vous avez terminé le test, vous pouvez également supprimer les règles de correspondance de vos étiquettes de test.

  10. Surveillez et réglez

    Pour vous assurer que les requêtes Web sont traitées comme vous le souhaitez, surveillez attentivement votre trafic après avoir activé la fonctionnalité ACFP que vous souhaitez utiliser. Ajustez le comportement selon vos besoins en annulant le nombre de règles sur le groupe de règles et en appliquant vos propres règles.

Une fois que vous avez terminé de tester l'implémentation de votre groupe de règles ACFP, si vous n'avez pas encore intégré le AWS WAF JavaScript SDK dans les pages d'enregistrement et de création de compte de votre navigateur, nous vous recommandons vivement de le faire. AWS WAF fournit également des SDK mobiles pour intégrer les appareils iOS et Android. Pour plus d'informations sur les kits de développement logiciel (SDK) d'intégration, consultezAWS WAF intégration d'applications clientes. Pour plus d'informations sur cette recommandation, consultezPourquoi utiliser les SDK d'intégration d'applications avec ACFP.