Tester et déployer Anti- DDo S - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tester et déployer Anti- DDo S

Vous devez configurer et tester la prévention du déni de service (DDoS) AWS WAF distribué avant de déployer la fonctionnalité. Cette section fournit des conseils généraux pour la configuration et les tests, mais les étapes spécifiques que vous choisissez de suivre dépendront de vos besoins, des ressources et des demandes Web que vous recevrez.

Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies surTester et ajuster vos AWS WAF protections.

Note

AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au modèle de responsabilité partagée pour vous assurer que vos ressources AWS sont correctement protégées.

Risque lié au trafic de production

Testez et ajustez votre implémentation DDo anti-S dans un environnement de test ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer.

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide.

Pour configurer et tester une mise en œuvre de la prévention du déni de service (DDoS) AWS WAF distribué

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

  1. Ajouter le groupe de règles gérées de prévention du déni de service (DDoS) AWS WAF distribué en mode décompte
    Note

    Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

    Ajoutez le groupe de règles AWS gérées AWSManagedRulesAntiDDoSRuleSet à un pack de protection (ACL Web) nouveau ou existant et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel du pack de protection (ACL Web). Pour plus de détails sur les règles et les libellés de ce groupe de règles, consultezAWS WAF Groupe de règles de prévention du déni de service distribué (DDoS).

    • Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit :

      • Dans le volet de configuration du groupe de règles, fournissez les informations nécessaires pour effectuer des activités DDo anti-S pour votre trafic Web. Pour de plus amples informations, veuillez consulter Ajout du groupe de règles gérées DDo anti-S à votre pack de protection (ACL Web).

      • Dans le volet Règles, ouvrez le menu déroulant Remplacer toutes les actions des règles et choisissez. Count Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour de plus amples informations, veuillez consulter Remplacer les actions des règles dans un groupe de règles.

        Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles gérées DDo anti-S afin de déterminer si vous souhaitez apporter des modifications, telles que l'extension de l'expression régulière pour les personnes URIs qui ne peuvent pas gérer un problème de navigateur silencieux.

    • Positionnez le groupe de règles de manière à ce qu'il soit évalué le plus tôt possible, immédiatement après les règles autorisant le trafic. Les règles sont évaluées par ordre de priorité numérique croissant. La console définit l'ordre pour vous, en commençant par le haut de votre liste de règles. Pour de plus amples informations, veuillez consulter Définition de la priorité des règles.

  2. Activer la journalisation et les métriques pour le pack de protection (ACL Web)

    Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour le pack de protection (ACL Web). Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles gérées DDo anti-S avec votre trafic.

  3. Associer le pack de protection (ACL Web) à une ressource

    Si le pack de protection (ACL Web) n'est pas déjà associé à une ressource de test, associez-le. Pour plus d'informations, consultez Associer ou dissocier une protection à une ressource AWS.

  4. Surveillez le trafic et les correspondances DDo aux règles anti-S

    Assurez-vous que votre trafic normal circule et que les règles des groupes de règles gérés Anti- DDo S ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux, ainsi que les statistiques DDo anti-S et relatives aux étiquettes dans les CloudWatch statistiques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le ruleGroupList champ « action set to count » et overriddenAction indiquent l'action de règle configurée que vous avez remplacée.

  5. Personnaliser la gestion des requêtes Web Anti- DDo S

    Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles DDo anti-S les traiteraient autrement.

    Par exemple, vous pouvez utiliser des étiquettes DDo anti-S pour autoriser ou bloquer les demandes ou pour personnaliser le traitement des demandes. Vous pouvez ajouter une règle de correspondance d'étiquettes après le groupe de règles géré DDo anti-S afin de filtrer les demandes étiquetées pour le traitement que vous souhaitez appliquer. Après le test, maintenez les règles DDo anti-S associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée.

  6. Supprimer les règles de test et configurer les paramètres Anti- DDo S

    Passez en revue les résultats de vos tests pour déterminer les règles DDo anti-S que vous souhaitez conserver en mode comptage à des fins de surveillance uniquement. Pour toutes les règles que vous souhaitez exécuter avec une protection active, désactivez le mode de comptage dans la configuration du groupe de règles du pack de protection (ACL Web) pour leur permettre d'exécuter les actions configurées. Une fois que vous avez finalisé ces paramètres, supprimez toutes les règles de correspondance temporaires des étiquettes de test tout en conservant les règles personnalisées que vous avez créées pour une utilisation en production. Pour d'autres considérations relatives à la configuration DDo anti-S, voirLes meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF.

  7. Surveiller et régler

    Pour vous assurer que les requêtes Web sont traitées comme vous le souhaitez, surveillez attentivement votre trafic après avoir activé la fonctionnalité DDo anti-S que vous souhaitez utiliser. Ajustez le comportement selon vos besoins en annulant le nombre de règles sur le groupe de règles et en appliquant vos propres règles.