Menguji dan menerapkan ATP - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menguji dan menerapkan ATP

Bagian ini memberikan panduan umum untuk mengonfigurasi dan menguji implementasi pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP) untuk situs Anda. Langkah-langkah spesifik yang Anda pilih untuk diikuti akan tergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima.

Informasi ini merupakan tambahan dari informasi umum tentang pengujian dan penyetelan yang disediakan diMenguji dan menyetel perlindungan Anda AWS WAF.

catatan

AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat Model Tanggung Jawab Bersama untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar.

Risiko lalu lintas produksi

Sebelum Anda menerapkan implementasi ATP Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan dampak potensial terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya.

AWS WAF menyediakan kredensyal pengujian yang dapat Anda gunakan untuk memverifikasi konfigurasi ATP Anda. Dalam prosedur berikut, Anda akan mengonfigurasi ACL web uji untuk menggunakan grup aturan terkelola ATP, mengonfigurasi aturan untuk menangkap label yang ditambahkan oleh grup aturan, dan kemudian menjalankan upaya masuk menggunakan kredenal pengujian ini. Anda akan memverifikasi bahwa ACL web Anda telah mengelola upaya dengan benar dengan memeriksa CloudWatch metrik Amazon untuk upaya login.

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola ACL AWS WAF web, aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini.

Untuk mengonfigurasi dan menguji implementasi pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP)

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

  1. Tambahkan grup aturan terkelola pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP) dalam mode hitung
    catatan

    Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat Harga AWS WAF.

    Tambahkan grup aturan Aturan AWS Terkelola AWSManagedRulesATPRuleSet ke ACL web baru atau yang sudah ada dan konfigurasikan agar tidak mengubah perilaku ACL web saat ini. Untuk detail tentang aturan dan label untuk grup aturan ini, lihatAWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP).

    • Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut:

      • Di panel konfigurasi grup Aturan, berikan detail halaman login aplikasi Anda. Grup aturan ATP menggunakan informasi ini untuk memantau aktivitas masuk. Untuk informasi selengkapnya, lihat Menambahkan grup aturan terkelola ATP ke ACL web Anda.

      • Di panel Aturan, buka dropdown Override all rule actions dan pilih. Count Dengan konfigurasi ini, AWS WAF mengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat Mengesampingkan tindakan aturan dalam grup aturan.

        Dengan penggantian ini, Anda dapat memantau dampak potensial dari aturan terkelola ATP untuk menentukan apakah Anda ingin menambahkan pengecualian, seperti pengecualian untuk kasus penggunaan internal.

    • Posisikan grup aturan sehingga dievaluasi setelah aturan yang ada di ACL web, dengan pengaturan prioritas yang secara numerik lebih tinggi daripada aturan atau grup aturan apa pun yang sudah Anda gunakan. Untuk informasi selengkapnya, lihat Memproses urutan aturan dan kelompok aturan dalam ACL web.

      Dengan cara ini, penanganan lalu lintas Anda saat ini tidak terganggu. Misalnya, jika Anda memiliki aturan yang mendeteksi lalu lintas berbahaya seperti injeksi SQL atau skrip lintas situs, mereka akan terus mendeteksi dan mencatatnya. Sebagai alternatif, jika Anda memiliki aturan yang memungkinkan lalu lintas non-berbahaya yang diketahui, mereka dapat terus mengizinkan lalu lintas itu, tanpa diblokir oleh grup aturan yang dikelola ATP. Anda mungkin memutuskan untuk menyesuaikan urutan pemrosesan selama aktivitas pengujian dan penyetelan Anda.

  2. Aktifkan pencatatan dan metrik untuk ACL web

    Jika diperlukan, konfigurasikan pencatatan, pengumpulan data Amazon Security Lake, pengambilan sampel permintaan, dan CloudWatch metrik Amazon untuk ACL web. Anda dapat menggunakan alat visibilitas ini untuk memantau interaksi grup aturan terkelola ATP dengan lalu lintas Anda.

  3. Kaitkan ACL web dengan sumber daya

    Jika ACL web belum dikaitkan dengan sumber daya pengujian, kaitkan. Untuk informasi, lihat Mengaitkan atau memisahkan ACL web dengan sumber daya AWS.

  4. Pantau lalu lintas dan kecocokan aturan ATP

    Pastikan lalu lintas normal Anda mengalir dan aturan grup aturan terkelola ATP menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat ATP dan metrik label di metrik Amazon CloudWatch . Di log, aturan yang telah Anda ganti untuk dihitung dalam grup aturan muncul di action set to count, dan ruleGroupList dengan overriddenAction menunjukkan tindakan aturan yang dikonfigurasi yang Anda timpa.

  5. Uji kemampuan pemeriksaan kredensi grup aturan

    Lakukan upaya login dengan menguji kredensyal yang dikompromikan dan periksa apakah grup aturan cocok dengan mereka seperti yang diharapkan.

    1. Masuk ke halaman login sumber daya yang dilindungi menggunakan pasangan kredensi AWS WAF pengujian berikut:

      • Pengguna: WAF_TEST_CREDENTIAL@wafexample.com

      • Kata Sandi: WAF_TEST_CREDENTIAL_PASSWORD

      Kredensi pengujian ini dikategorikan sebagai kredenal yang dikompromikan, dan grup aturan terkelola ATP akan menambahkan awswaf:managed:aws:atp:signal:credential_compromised label ke permintaan login, yang dapat Anda lihat di log.

    2. Di log ACL web Anda, cari awswaf:managed:aws:atp:signal:credential_compromised label di labels bidang pada entri log untuk permintaan web login pengujian Anda. Untuk informasi tentang pencatatan, lihatPencatatan AWS WAF lalu lintas ACL web.

    Setelah memverifikasi bahwa grup aturan menangkap kredensional yang dikompromikan seperti yang diharapkan, Anda dapat mengambil langkah-langkah untuk mengonfigurasi implementasinya sesuai kebutuhan untuk sumber daya yang dilindungi.

  6. Untuk CloudFront distribusi, uji manajemen kegagalan login grup aturan

    1. Jalankan pengujian untuk setiap kriteria respons kegagalan yang Anda konfigurasikan untuk grup aturan ATP. Tunggu setidaknya 10 menit di antara tes.

      Untuk menguji kriteria kegagalan tunggal, identifikasi upaya login yang akan gagal dengan kriteria tersebut dalam respons. Kemudian, dari satu alamat IP klien, lakukan setidaknya 10 upaya login yang gagal dalam waktu kurang dari 10 menit.

      Setelah 6 kegagalan pertama, aturan login volumetrik yang gagal akan mulai cocok dengan sisa upaya Anda, memberi label dan menghitungnya. Aturan mungkin melewatkan satu atau dua yang pertama karena latensi.

    2. Di log ACL web Anda, cari awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high label di labels bidang pada entri log untuk permintaan web login pengujian Anda. Untuk informasi tentang pencatatan, lihatPencatatan AWS WAF lalu lintas ACL web.

    Pengujian ini memverifikasi bahwa kriteria kegagalan Anda cocok dengan tanggapan Anda dengan memeriksa bahwa jumlah login yang gagal melampaui ambang batas aturan. VolumetricIpFailedLoginResponseHigh Setelah Anda mencapai ambang batas, jika Anda terus mengirim permintaan login dari alamat IP yang sama, aturan akan terus cocok hingga tingkat kegagalan turun di bawah ambang batas. Sementara ambang batas terlampaui, aturan cocok dengan login yang berhasil atau gagal dari alamat IP.

  7. Kustomisasi penanganan permintaan web ATP

    Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan ATP akan menanganinya.

    Misalnya, Anda dapat menggunakan label ATP untuk mengizinkan atau memblokir permintaan atau untuk menyesuaikan penanganan permintaan. Anda dapat menambahkan aturan pencocokan label setelah grup aturan terkelola ATP untuk memfilter permintaan berlabel untuk penanganan yang ingin Anda terapkan. Setelah pengujian, pertahankan aturan ATP terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan kustom Anda. Sebagai contoh, lihat Contoh ATP: Penanganan khusus untuk kredensi yang hilang dan dikompromikan.

  8. Hapus aturan pengujian Anda dan aktifkan pengaturan grup aturan terkelola ATP

    Tergantung pada situasi Anda, Anda mungkin telah memutuskan bahwa Anda ingin meninggalkan beberapa aturan ATP dalam mode hitungan. Untuk aturan yang ingin Anda jalankan seperti yang dikonfigurasi di dalam grup aturan, nonaktifkan mode hitungan dalam konfigurasi grup aturan ACL web. Setelah selesai menguji, Anda juga dapat menghapus aturan pencocokan label pengujian.

  9. Memantau dan menyetel

    Untuk memastikan bahwa permintaan web ditangani seperti yang Anda inginkan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsionalitas ATP yang ingin Anda gunakan. Sesuaikan perilaku sesuai kebutuhan dengan penggantian hitungan aturan pada grup aturan dan dengan aturan Anda sendiri.

Setelah Anda selesai menguji implementasi grup aturan ATP, jika Anda belum melakukannya, kami sangat menyarankan Anda mengintegrasikan AWS WAF JavaScript SDK ke halaman login browser Anda, untuk meningkatkan kemampuan deteksi. AWS WAF juga menyediakan SDK seluler untuk mengintegrasikan perangkat iOS dan Android. Untuk informasi selengkapnya tentang SDK integrasi, lihatAWS WAF integrasi aplikasi klien. Untuk informasi tentang rekomendasi ini, lihatMengapa Anda harus menggunakan SDK integrasi aplikasi dengan ATP.