Tester et déployer ATP - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tester et déployer ATP

Cette section fournit des conseils généraux pour configurer et tester une implémentation de prévention du piratage de compte (ATP) de contrôle des AWS WAF fraudes pour votre site. Les étapes spécifiques que vous choisirez de suivre dépendront de vos besoins, des ressources et des demandes Web que vous recevrez.

Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies surTester et ajuster vos AWS WAF protections.

Note

AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au modèle de responsabilité partagée pour vous assurer que vos ressources AWS sont correctement protégées.

Risque lié au trafic de production

Avant de déployer votre implémentation ATP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer.

AWS WAF fournit des informations d'identification de test que vous pouvez utiliser pour vérifier votre configuration ATP. Dans la procédure suivante, vous allez configurer une ACL Web de test pour utiliser le groupe de règles géré par ATP, configurer une règle pour capturer l'étiquette ajoutée par le groupe de règles, puis exécuter une tentative de connexion à l'aide de ces informations d'identification de test. Vous allez vérifier que votre ACL Web a correctement géré la tentative en vérifiant les CloudWatch métriques Amazon relatives à la tentative de connexion.

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des ACL, des règles et des groupes de règles AWS WAF Web. Ces sujets sont abordés dans les sections précédentes de ce guide.

Pour configurer et tester une mise en œuvre de la prévention du piratage de comptes (ATP) de contrôle des AWS WAF fraudes

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

  1. Ajouter le groupe de règles géré par AWS WAF Fraud Control Account Takeover Prevention (ATP) en mode décompte
    Note

    Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

    Ajoutez le groupe de règles AWS gérées AWSManagedRulesATPRuleSet à une ACL Web nouvelle ou existante et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel de l'ACL Web. Pour plus de détails sur les règles et les étiquettes de ce groupe de règles, consultezAWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP).

    • Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit :

      • Dans le volet de configuration du groupe de règles, fournissez les détails de la page de connexion de votre application. Le groupe de règles ATP utilise ces informations pour surveiller les activités de connexion. Pour plus d’informations, consultez Ajouter le groupe de règles géré par ATP à votre ACL Web.

      • Dans le volet Règles, ouvrez le menu déroulant Remplacer toutes les actions des règles et choisissez. Count Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour plus d’informations, consultez Remplacer les actions des règles dans un groupe de règles.

        Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles gérées par l'ATP afin de déterminer si vous souhaitez ajouter des exceptions, telles que des exceptions pour des cas d'utilisation internes.

    • Positionnez le groupe de règles de manière à ce qu'il soit évalué selon vos règles existantes dans l'ACL Web, avec un paramètre de priorité numériquement supérieur à celui des règles ou groupes de règles que vous utilisez déjà. Pour plus d’informations, consultez Ordre de traitement des règles et des groupes de règles dans une ACL Web.

      Ainsi, votre gestion actuelle du trafic n'est pas perturbée. Par exemple, si vous avez des règles qui détectent le trafic malveillant tel que l'injection SQL ou les scripts intersites, elles continueront à le détecter et à le consigner. Par ailleurs, si vous avez des règles qui autorisent le trafic connu non malveillant, elles peuvent continuer à autoriser ce trafic, sans qu'il soit bloqué par le groupe de règles géré par ATP. Vous pouvez décider d'ajuster l'ordre de traitement lors de vos activités de test et de réglage.

  2. Activer la journalisation et les métriques pour l'ACL Web

    Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour l'ACL Web. Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles géré par ATP avec votre trafic.

  3. Associer l'ACL Web à une ressource

    Si l'ACL Web n'est pas déjà associée à une ressource de test, associez-la. Pour plus d’informations, veuillez consulter Associer ou dissocier une ACL Web à une ressource AWS.

  4. Surveillez le trafic et les correspondances aux règles ATP

    Assurez-vous que votre trafic normal circule et que les règles des groupes de règles gérés par ATP ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux, ainsi que l'ATP et les métriques relatives aux étiquettes dans les CloudWatch statistiques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le ruleGroupList champ « action set to count » et overriddenAction indiquent l'action de règle configurée que vous avez remplacée.

  5. Testez les capacités de vérification des informations d'identification du groupe de règles

    Effectuez une tentative de connexion en testant les informations d'identification compromises et vérifiez que le groupe de règles correspond à celles-ci comme prévu.

    1. Connectez-vous à la page de connexion de votre ressource protégée à l'aide de la paire d'identifiants de AWS WAF test suivante :

      • Utilisateur : WAF_TEST_CREDENTIAL@wafexample.com

      • Mot de passe : WAF_TEST_CREDENTIAL_PASSWORD

      Ces informations d'identification de test sont classées dans la catégorie des informations d'identification compromises, et le groupe de règles géré par ATP ajoutera l'awswaf:managed:aws:atp:signal:credential_compromisedétiquette à la demande de connexion, que vous pouvez voir dans les journaux.

    2. Dans vos journaux ACL Web, recherchez l'awswaf:managed:aws:atp:signal:credential_compromisedétiquette dans le labels champ des entrées du journal pour vos demandes Web de connexion de test. Pour de plus amples informations sur la journalisation, veuillez consulter Journalisation AWS WAF du trafic ACL Web.

    Après avoir vérifié que le groupe de règles capture les informations d'identification compromises comme prévu, vous pouvez prendre des mesures pour configurer sa mise en œuvre en fonction de vos besoins pour votre ressource protégée.

  6. Pour les CloudFront distributions, testez la gestion des échecs de connexion du groupe de règles

    1. Effectuez un test pour chaque critère de réponse aux défaillances que vous avez configuré pour le groupe de règles ATP. Attendez au moins 10 minutes entre les tests.

      Pour tester un seul critère d'échec, identifiez une tentative de connexion qui échouera avec ce critère dans la réponse. Ensuite, à partir d'une seule adresse IP client, effectuez au moins 10 tentatives de connexion infructueuses en moins de 10 minutes.

      Après les 6 premiers échecs, la règle volumétrique des échecs de connexion devrait commencer à correspondre au reste de vos tentatives, à les étiqueter et à les compter. Il se peut que la règle omette le premier ou les deux premiers en raison de la latence.

    2. Dans vos journaux ACL Web, recherchez l'awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:highétiquette dans le labels champ des entrées du journal pour vos demandes Web de connexion de test. Pour de plus amples informations sur la journalisation, veuillez consulter Journalisation AWS WAF du trafic ACL Web.

    Ces tests vérifient que vos critères d'échec correspondent à vos réponses en vérifiant que le nombre de connexions échouées dépasse les seuils de la règleVolumetricIpFailedLoginResponseHigh. Une fois les seuils atteints, si vous continuez à envoyer des demandes de connexion à partir de la même adresse IP, la règle continuera de correspondre jusqu'à ce que le taux d'échec tombe en dessous du seuil. Lorsque les seuils sont dépassés, la règle fait correspondre les connexions réussies ou échouées à partir de l'adresse IP.

  7. Personnaliser le traitement des requêtes Web ATP

    Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles ATP les traiteraient autrement.

    Par exemple, vous pouvez utiliser les étiquettes ATP pour autoriser ou bloquer les demandes ou pour personnaliser le traitement des demandes. Vous pouvez ajouter une règle de correspondance d'étiquettes après le groupe de règles géré par ATP afin de filtrer les demandes étiquetées pour le traitement que vous souhaitez appliquer. Après le test, maintenez les règles ATP associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée. Pour obtenir un exemple, consultez Exemple ATP : gestion personnalisée des informations d'identification manquantes ou compromises.

  8. Supprimez vos règles de test et activez les paramètres du groupe de règles géré par ATP

    Selon votre situation, vous avez peut-être décidé de laisser certaines règles ATP en mode décompte. Pour les règles que vous souhaitez exécuter telles que configurées au sein du groupe de règles, désactivez le mode de comptage dans la configuration du groupe de règles ACL Web. Lorsque vous avez terminé le test, vous pouvez également supprimer les règles de correspondance de vos étiquettes de test.

  9. Surveiller et régler

    Pour vous assurer que les requêtes Web sont traitées comme vous le souhaitez, surveillez attentivement votre trafic après avoir activé la fonctionnalité ATP que vous souhaitez utiliser. Ajustez le comportement selon vos besoins en annulant le nombre de règles sur le groupe de règles et en appliquant vos propres règles.

Une fois que vous aurez terminé de tester l'implémentation de votre groupe de règles ATP, si ce n'est déjà fait, nous vous recommandons vivement d'intégrer le AWS WAF JavaScript SDK dans la page de connexion de votre navigateur, afin d'améliorer les capacités de détection. AWS WAF fournit également des SDK mobiles pour intégrer les appareils iOS et Android. Pour plus d'informations sur les SDK d'intégration, consultezAWS WAF intégration d'applications clientes. Pour plus d'informations sur cette recommandation, consultezPourquoi utiliser les SDK d'intégration d'applications avec ATP.