Menguji dan menerapkan ATP - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menguji dan menerapkan ATP

Bagian ini memberikan panduan umum untuk mengkonfigurasi dan mengujiAWS WAFImplementasi pencegahan pengambilalihan akun (ATP) Kontrol Penipuan untuk situs Anda. Langkah-langkah spesifik yang Anda pilih untuk diikuti akan bergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima.

Risiko lalu lintas produksi

Sebelum Anda menerapkan implementasi ATP untuk lalu lintas produksi, uji dan setel di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak pada lalu lintas Anda. Kemudian uji dan sesuaikan aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya.

AWS WAFmenyediakan kredensyal pengujian yang dapat Anda gunakan untuk memverifikasi konfigurasi ATP Anda. Dalam prosedur berikut, Anda akan mengkonfigurasi ACL web pengujian untuk menggunakan grup aturan terkelola ATP, mengonfigurasi aturan untuk menangkap label yang ditambahkan oleh grup aturan, dan kemudian menjalankan upaya masuk menggunakan kredensyal pengujian ini. Anda akan memverifikasi bahwa ACL web Anda telah mengelola upaya dengan benar dengan memeriksa Amazon CloudWatch metrik untuk upaya login.

Panduan ini ditujukan untuk pengguna yang secara umum mengetahui cara membuat dan mengelolaAWS WAFACL web, aturan, dan kelompok aturan. Topik-topik tersebut dibahas dalam bagian sebelumnya dari panduan ini.

Untuk mengkonfigurasi dan mengujiAWS WAFImplementasi pencegahan pengambilalihan akun (ATP) Kontrol Penipuan

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, lalu dalam produksi.

  1. TambahkanAWS WAFGrup aturan terkelola pencegahan pengambilalihan akun (ATP) Kontrol Penipuan

    TambahkanAWSGrup aturan Aturan TerkelolaAWSManagedRulesATPRuleSetke ACL web baru atau yang sudah ada dan konfigurasikan sehingga tidak mengubah perilaku ACL web saat ini. Untuk detail tentang aturan dan label untuk grup aturan ini, lihatAWS WAFKelompok aturan pencegahan pengambilalihan akun (ATP) Kontrol Penipuan.

    • Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut:

      • DiKonfigurasi grup aturnpanel, memberikan rincian halaman login aplikasi Anda. Grup aturan ATP menggunakan informasi ini untuk memantau aktivitas login. Untuk informasi selengkapnya, lihat Menggunakan grup aturan terkelola ATP.

      • DiAturanpanel, nyalakanTetapkan semua tindakan aturan untuk dihitungberalih. Dengan konfigurasi ini,AWS WAFmengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat Menetapkan tindakan aturan untuk dihitung di grup aturan.

        Hal ini memungkinkan Anda untuk memantau dampak aturan yang dikelola ATP untuk menentukan apakah Anda ingin menambahkan pengecualian, seperti pengecualian untuk kasus penggunaan internal.

    • Posisikan grup aturan sehingga dievaluasi setelah aturan yang ada di web ACL, dengan setelan prioritas yang secara numerik lebih tinggi daripada aturan atau grup aturan yang sudah Anda gunakan. Untuk informasi selengkapnya, lihat Memproses urutan aturan dan kelompok aturan dalam ACL web.

      Dengan cara ini, penanganan lalu lintas Anda saat ini tidak terganggu. Misalnya, jika Anda memiliki aturan yang mendeteksi lalu lintas berbahaya seperti injeksi SQL atau skrip lintas situs, mereka akan terus mendeteksi dan mencatat bahwa. Bergantian, jika Anda memiliki aturan yang memungkinkan lalu lintas non-berbahaya yang diketahui, mereka dapat terus mengizinkan lalu lintas itu, tanpa diblokir oleh grup aturan yang dikelola ATP. Anda mungkin memutuskan untuk menyesuaikan urutan pemrosesan selama aktivitas pengujian dan penyetelan Anda.

  2. Tambahkan aturan untuk mencocokkan label grup aturan ATP untuk kredensyal yang disusupi

    Segera setelah kelompok aturan ATP, tambahkan aturan pencocokan label sebagai berikut:

    • Cocokkan dengan labelawswaf:managed:aws:atp:signal:credential_compromised.

    • Tetapkan tindakan aturan keCount.

    • Pastikan aturan ini memiliki pengaturan prioritas numerik yang lebih tinggi daripada grup aturan ATP sehingga aturan ini berjalan setelah aturan ATP. Di konsol, itu harus terdaftar terakhir. Untuk informasi selengkapnya, lihat Memproses urutan aturan dan kelompok aturan dalam ACL web.

    Anda akan mencari nama aturan ini di Amazon Anda CloudWatch metrik, saat Anda menguji konfigurasi Anda.

  3. Aktifkan pengambilan sampel, logging, dan metrik untuk ACL web

    Jika diperlukan, konfigurasikan pencatatan log untuk ACL web, dan aktifkan pengambilan sampel dan Amazon CloudWatchmetrik. Hal ini memungkinkan Anda untuk memantau interaksi kelompok aturan yang dikelola ATP dengan lalu lintas Anda.

  4. Mengaitkan ACL web dengan sumber daya

    Jika ACL web belum dikaitkan dengan sumber daya pengujian, kaitkan itu. Untuk informasi, lihat Mengaitkan atau memisahkan web ACL denganAWSsumber daya.

  5. Pantau kecocokan lalu lintas dan aturan ATP

    Pastikan lalu lintas normal Anda mengalir dan aturan grup aturan terkelola ATP menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat metrik aturan pencocokan label di Amazon CloudWatch metrik. Di log, aturan yang telah Anda tetapkan untuk dihitung dalam grup aturan muncul di bawahexcludedRulesdi dalamruleGroupList.

  6. Menguji kemampuan pengecekan kredensi grup aturan

    Lakukan upaya masuk dengan kredensyal yang disusupi pengujian dan periksa apakah grup aturan cocok dengan kredensi tersebut seperti yang diharapkan. Lakukan hal berikut:

    1. Masuk ke halaman login sumber daya Anda yang dilindungi menggunakan salah satu dari berikut iniAWS WAFpasangan kredensi uji:

      • Pengguna:WAF_TEST_CREDENTIALkata sandiWAF_TEST_CREDENTIAL_PASSWORD

      • Pengguna:WAF_TEST_CREDENTIAL@wafexample.comkata sandiWAF_TEST_CREDENTIAL_PASSWORD

      Kredensyal pengujian ini dikategorikan sebagai kredensyal yang disusupi, dan grup aturan yang dikelola ATP akan menambahkanawswaf:managed:aws:atp:signal:credential_compromisedlabel untuk permintaan login.

    2. Periksa hasil berikut dari tes Anda:

      • Di Amazon Anda CloudWatch metrik, cariCountedRequestmetrik untuk aturan Anda yang cocok dengan label kredensyal yang disusupi. Untuk informasi tentang Amazon CloudWatch metrik, lihatPemantauan CloudWatch dengan Amazon.

      • Di log ACL web Anda, cariawswaf:managed:aws:atp:signal:credential_compromisedlabel dilabelsbidang pada entri log untuk permintaan web login pengujian Anda. Untuk informasi tentang pencatatan, lihatMencatat lalu lintas ACL web.

    Setelah Anda memverifikasi bahwa grup aturan menangkap kredensyal yang disusupi seperti yang diharapkan, Anda dapat mengambil langkah-langkah untuk mengonfigurasi implementasinya sesuai kebutuhan untuk sumber daya yang dilindungi.

  7. Kustomisasi penanganan permintaan web ATP

    Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah bagaimana aturan ATP akan menanganinya.

    Misalnya, Anda dapat menggunakan label ATP untuk mengizinkan atau memblokir permintaan atau menyesuaikan penanganan permintaan. Anda dapat menambahkan aturan pencocokan label setelah grup aturan terkelola ATP untuk memfilter permintaan berlabel untuk penanganan yang ingin Anda terapkan. Setelah pengujian, simpan aturan ATP terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan khusus Anda. Sebagai contoh, lihat Contoh ATP: Penanganan khusus untuk kredensyal yang hilang dan dikompromikan.

  8. Hapus aturan pengujian dan aktifkan pengaturan grup aturan terkelola ATP

    Tergantung pada situasi Anda, Anda mungkin telah memutuskan bahwa Anda ingin meninggalkan beberapa aturan ATP dalam mode hitungan. Untuk aturan yang ingin Anda jalankan dengan cara dikonfigurasi di dalam grup aturan, aktifkan konfigurasi aturan reguler. Untuk melakukan ini, nonaktifkan mode hitungan dalam konfigurasi grup aturan ACL web untuk aturan. Setelah selesai menguji, Anda juga dapat menghapus aturan pencocokan label pengujian.

  9. Monitor dan tune

    Untuk memastikan bahwa permintaan web ditangani sesuai keinginan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsionalitas ATP yang ingin Anda gunakan. Sesuaikan perilaku sesuai kebutuhan dengan penggantian jumlah aturan pada grup aturan dan dengan aturan Anda sendiri.

Setelah Anda selesai menguji implementasi grup aturan ATP, kami sarankan Anda mengintegrasikanAWS WAFATP JavaScript SDK ke halaman login browser Anda, untuk meningkatkan kemampuan deteksi.AWS WAFjuga menyediakan SDK seluler untuk mengintegrasikan perangkat iOS dan Android. Untuk informasi selengkapnya tentang SDKs integrasi, lihatAWS WAFintegrasi aplikasi klien.