Menguji dan menerapkan DDo Anti-S

Anda akan ingin mengkonfigurasi dan menguji pencegahan AWS WAF Distributed Denial of Service (DDoS) sebelum menerapkan fitur. Bagian ini memberikan panduan umum untuk mengkonfigurasi dan menguji, namun langkah-langkah spesifik yang Anda pilih untuk diikuti akan tergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima.

Informasi ini merupakan tambahan dari informasi umum tentang pengujian dan penyetelan yang disediakan diMenguji dan menyetel perlindungan Anda AWS WAF.

catatan

AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat Model Tanggung Jawab Bersama untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar.

Risiko lalu lintas produksi

Uji dan sesuaikan implementasi DDo anti-S Anda di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya.

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini.

Untuk mengkonfigurasi dan menguji implementasi pencegahan AWS WAF Distributed Denial of Service (DDoS)

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

1. Tambahkan grup aturan terkelola pencegahan AWS WAF Distributed Denial of Service (DDoS) dalam mode hitungan

   catatan

   Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat Harga AWS WAF.

   Tambahkan grup aturan Aturan AWS Terkelola AWSManagedRulesAntiDDoSRuleSet ke paket perlindungan baru atau yang sudah ada (web ACL) dan konfigurasikan agar tidak mengubah perilaku paket perlindungan (web ACL) saat ini. Untuk detail tentang aturan dan label untuk grup aturan ini, lihatAWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi.

   • Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut:

     • Di panel konfigurasi grup Aturan, berikan detail yang diperlukan untuk melakukan aktivitas DDo anti-S untuk lalu lintas web Anda. Untuk informasi selengkapnya, lihat Menambahkan grup aturan terkelola Anti- DDo S ke paket perlindungan Anda (web ACL).

     • Di panel Aturan, buka dropdown Override all rule actions dan pilih. Count Dengan konfigurasi ini, AWS WAF mengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat Mengesampingkan tindakan aturan dalam grup aturan.

       Dengan penggantian ini, Anda dapat memantau dampak potensial dari aturan terkelola Anti- DDo S untuk menentukan apakah Anda ingin melakukan modifikasi, seperti memperluas regex untuk URIs yang tidak dapat menangani tantangan browser diam.

   • Posisikan grup aturan sehingga dievaluasi sedini mungkin, segera setelah aturan apa pun yang memungkinkan lalu lintas. Aturan dievaluasi dalam urutan prioritas numerik menaik. Konsol menetapkan urutan untuk Anda, mulai dari bagian atas daftar aturan Anda. Untuk informasi selengkapnya, lihat Menetapkan prioritas aturan.

2. Aktifkan pencatatan dan metrik untuk paket perlindungan (web ACL)

   Jika diperlukan, konfigurasikan pencatatan, pengumpulan data Amazon Security Lake, pengambilan sampel permintaan, dan CloudWatch metrik Amazon untuk paket perlindungan (web ACL). Anda dapat menggunakan alat visibilitas ini untuk memantau interaksi grup aturan terkelola Anti DDo S dengan lalu lintas Anda.

   • Untuk informasi tentang mengonfigurasi dan menggunakan logging, lihatLalu lintas paket AWS WAF perlindungan pencatatan (web ACL).

   • Untuk informasi tentang Amazon Security Lake, lihat Apa itu Amazon Security Lake? dan Mengumpulkan data dari AWS layanan di panduan pengguna Amazon Security Lake.

   • Untuk informasi tentang CloudWatch metrik Amazon, lihatPemantauan CloudWatch dengan Amazon.

   • Untuk informasi tentang pengambilan sampel permintaan web, lihatMelihat contoh permintaan web.

3. Kaitkan paket perlindungan (web ACL) dengan sumber daya

   Jika paket perlindungan (web ACL) belum dikaitkan dengan sumber daya pengujian, kaitkan. Untuk informasi, lihat Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS.

4. Pantau lalu lintas dan kecocokan aturan DDo Anti-S

   Pastikan lalu lintas normal Anda mengalir dan aturan grup aturan terkelola Anti- DDo S menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat metrik DDo Anti-S dan label di metrik Amazon CloudWatch . Di log, aturan yang telah Anda ganti untuk dihitung dalam grup aturan muncul di action set to count, dan ruleGroupList dengan overriddenAction menunjukkan tindakan aturan yang dikonfigurasi yang Anda timpa.

5. Kustomisasi penanganan permintaan web DDo Anti-S

   Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan DDo Anti-S akan menanganinya.

   Misalnya, Anda dapat menggunakan label DDo Anti-S untuk mengizinkan atau memblokir permintaan atau untuk menyesuaikan penanganan permintaan. Anda dapat menambahkan aturan pencocokan label setelah grup aturan terkelola Anti- DDo S untuk memfilter permintaan berlabel untuk penanganan yang ingin Anda terapkan. Setelah pengujian, pertahankan aturan DDo Anti-S terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan kustom Anda.

6. Hapus aturan pengujian dan konfigurasikan pengaturan DDo Anti-S

   Tinjau hasil pengujian Anda untuk menentukan aturan DDo Anti-S mana yang ingin Anda pertahankan dalam mode hitungan hanya untuk pemantauan. Untuk aturan apa pun yang ingin Anda jalankan dengan perlindungan aktif, nonaktifkan mode hitungan dalam konfigurasi grup aturan paket perlindungan (web ACL) untuk memungkinkan mereka melakukan tindakan yang dikonfigurasi. Setelah Anda menyelesaikan pengaturan ini, hapus aturan pencocokan label uji sementara sambil mempertahankan aturan kustom apa pun yang Anda buat untuk penggunaan produksi. Untuk pertimbangan konfigurasi DDo Anti-S tambahan, lihatPraktik terbaik untuk mitigasi ancaman cerdas di AWS WAF.

7. Memantau dan menyetel

   Untuk memastikan bahwa permintaan web ditangani seperti yang Anda inginkan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsi DDo Anti-S yang ingin Anda gunakan. Sesuaikan perilaku sesuai kebutuhan dengan penggantian hitungan aturan pada grup aturan dan dengan aturan Anda sendiri.