Memperkenalkan pengalaman konsol baru untuk AWS WAF
Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan konsol.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memilih dan mengonfigurasi Kontrol Bot untuk kasus penggunaan Anda
Bot Control melindungi terhadap berbagai ancaman otomatis. Konfigurasi yang tepat tergantung pada apa yang Anda lindungi dan ancaman apa yang Anda hadapi. Gunakan topik ini untuk memilih tingkat perlindungan yang tepat dan konfigurasikan Kontrol Bot untuk skenario aplikasi umum.
Mencocokkan Kontrol Bot ke aplikasi Anda
Ancaman bot umumnya terbagi dalam tiga kategori:
-
Ancaman penipuan — Isian kredensyal, akun palsu, dan pembelian otomatis.
-
Ancaman konten — Pengikisan data harga, katalog produk, dan konten yang dipublikasikan.
-
Ancaman ketersediaan — Volume lalu lintas bot yang menurunkan kinerja atau meningkatkan biaya infrastruktur.
Untuk sebagian besar ancaman ini, kami merekomendasikan tingkat perlindungan yang ditargetkan dengan SDK integrasi aplikasi klien. Skenario berikut menjelaskan cara mengkonfigurasi Kontrol Bot untuk masing-masing.
Melindungi halaman login dan akun
Credential stuffing dan serangan pengambilalihan akun menggunakan alat otomatis untuk menguji kredensyal yang dicuri terhadap titik akhir login Anda. Penipuan pembuatan akun menggunakan bot untuk membuat akun palsu dalam skala besar. Integrasikan SDK integrasi aplikasi di seluruh situs Anda, dan pasangkan Kontrol Bot dengan grup aturan terkelola Kontrol AWS WAF Penipuan untuk perlindungan login dan pembuatan akun.
Melindungi katalog produk dan data harga
Jika aplikasi Anda menampilkan informasi produk, harga, tingkat inventaris, atau data kompetitif lainnya, bot dapat mengikis konten ini untuk memberi makan intelijen pesaing, membangun situs perbandingan, atau melemahkan harga Anda. Pengikis ini sering meniru browser nyata dan memutar melalui alamat IP perumahan untuk menghindari deteksi. Terapkan Kontrol Bot di seluruh halaman produk dan katalog Anda, bukan hanya checkout. Dengan cara ini Bot Control dapat mendeteksi pola perilaku pengikisan otomatis bahkan ketika bot tampak seperti browser normal.
Melindungi konten yang dipublikasikan
Penerbit konten, situs berita, dan platform media menghadapi bot yang menyalin artikel, gambar, dan konten asli lainnya. Pencurian konten ini dapat melemahkan peringkat penelusuran Anda, mengurangi pendapatan iklan, dan merusak posisi kompetitif Anda. Terapkan Kontrol Bot di seluruh halaman konten Anda. Gunakan dasbor Kontrol Bot untuk memantau bot mana yang mengakses konten Anda dan memutuskan bagaimana menangani setiap kategori. Untuk informasi selengkapnya, lihat AWS WAF Komponen Kontrol Bot.
Mengurangi biaya infrastruktur dari crawler yang tidak diinginkan
Scraper, crawler, dan alat otomatis dapat menghasilkan volume lalu lintas yang tinggi, meningkatkan biaya komputasi dan transfer data Anda tanpa memberikan nilai bisnis. Bot Control mengidentifikasi bot yang mendeklarasikan diri berdasarkan kategori, seperti pencakar, pustaka HTTP, dan kerangka kerja perayapan. Anda kemudian dapat memblokir atau membatasi tarif setiap kategori secara independen menggunakan label. Untuk pengikisan yang mengelak, perlindungan yang ditargetkan mendeteksi bot yang menyamarkan identitas mereka, termasuk yang menggunakan proxy perumahan dan browser tanpa kepala.
Melindungi transaksi bernilai tinggi
Arus checkout, pembelian persediaan terbatas, dan penjualan tiket adalah target untuk bot pembelian otomatis yang bersaing dengan pelanggan yang sah. Bot Control mendeteksi browser otomatis seperti Selenium dan Puppeteer, dan menerapkan pembatasan tingkat sesi untuk mencegah satu klien memonopoli inventaris. Integrasikan SDK di halaman transaksi Anda untuk akurasi deteksi terkuat.
Mengelola perayap AI dan melatih pencakar data
Bot AI mengumpulkan konten dari aplikasi Anda untuk melatih model atau data permukaan dalam aplikasi AI. Bot Control mengkategorikan bot AI yang dikenal. Tulis aturan khusus untuk mengizinkan bot AI tertentu yang ingin Anda izinkan, seperti perayap mesin telusur terverifikasi, dan blokir atau batasi tarif lainnya. Untuk agen AI yang menggunakan kerangka kerja otomatisasi browser untuk berinteraksi dengan aplikasi Anda, Bot Control mendeteksi dan menantang sesi otomatis ini. Dengan Web Bot Authentication (WBA), agen AI yang sah dapat membuktikan identitas mereka secara kriptografis. Ini memberi Anda sinyal yang dapat diandalkan untuk membedakan agen resmi dari yang tidak sah. Untuk informasi lebih lanjut tentang WBA, lihatOtentikasi bot web untuk agen AI.
Melindungi aplikasi seluler
Aplikasi seluler menghadapi ancaman bot yang mirip dengan aplikasi web, tetapi lalu lintas mereka memiliki karakteristik yang berbeda. Klien seluler menggunakan agen pengguna non-browser. Permintaan HTTP dari kerangka kerja aplikasi seluler asli dikecualikan dari SignalNonBrowserUserAgent aturan Kontrol Bot, tetapi pustaka HTTP non-standar dan browser dalam aplikasi tidak. Integrasikan SDK AWS WAF Seluler ke dalam aplikasi iOS atau Android Anda untuk menyediakan token sisi klien yang digunakan perlindungan bertarget untuk deteksi akurat.
Memilih antara perlindungan umum dan yang ditargetkan
Bot Control menawarkan dua tingkat perlindungan. Panduan berikut membantu Anda memilih tingkat yang tepat untuk aplikasi Anda.
Tingkat perlindungan umum
Perlindungan umum mendeteksi bot yang mengidentifikasi diri mereka melalui string agen pengguna, alamat IP, dan karakteristik permintaan lainnya. Ini memverifikasi bahwa bot yang mengklaim berasal dari organisasi yang dikenal (seperti mesin pencari) sebenarnya berasal dari organisasi tersebut. Perlindungan umum memberi Anda visibilitas ke siapa yang mengunjungi aplikasi Anda dan memungkinkan Anda mengontrol setiap kategori bot secara independen. Itu tidak memerlukan SDK dan memiliki biaya per permintaan yang lebih rendah. Perlindungan umum adalah titik awal yang baik ketika Anda terutama perlu mengelola lalu lintas bot yang diketahui, seperti memblokir pencakar yang tidak diinginkan sambil mengizinkan perayap mesin pencari.
Tingkat perlindungan yang ditargetkan
Tingkat perlindungan yang ditargetkan mendeteksi semua yang dideteksi oleh tingkat perlindungan umum, dan menambahkan deteksi untuk bot yang tidak mengidentifikasi diri. Ini menggunakan interogasi browser, sidik jari TLS, heuristik perilaku, dan pembelajaran mesin untuk membedakan klien otomatis dari manusia. Pembelajaran mesin menganalisis pola lalu lintas situs web spesifik Anda, termasuk cap waktu, karakteristik browser, dan perilaku navigasi. Ini memperbarui pendeteksiannya saat lalu lintas Anda berubah dan saat taktik bot berubah. Perlindungan yang ditargetkan direkomendasikan untuk aplikasi yang menghadapi isian kredensyal, pengikisan lanjutan, pembelian otomatis, atau aktivitas bot apa pun di mana penyerang secara aktif mencoba menghindari deteksi.
Untuk sebagian besar aplikasi web produksi, kami merekomendasikan perlindungan yang ditargetkan. Untuk panduan tentang mengonfigurasi perlindungan yang ditargetkan untuk skenario tertentu, lihatMencocokkan Kontrol Bot ke aplikasi Anda. Untuk panduan mengelola biaya pada volume lalu lintas tinggi, lihatMengelola biaya.
| Biasa | Ditargetkan | |
|---|---|---|
| Mendeteksi bot pengenal diri | Ya | Ya |
| Memverifikasi bot yang sah (mesin pencari, layanan pemantauan) | Ya | Ya |
| Mendeteksi bot yang menyembunyikan identitas mereka | Tidak | Ya |
| Pembelajaran mesin disesuaikan dengan lalu lintas Anda | Tidak | Ya |
| Session-level membatasi tingkat | Tidak | Ya |
| Mendeteksi alat otomatisasi browser | Ya (mengidentifikasi diri) | Ya (termasuk mengelak) |
| SDK integrasi aplikasi klien | Tidak diperlukan | Sangat direkomendasikan |
Memeriksa versi grup aturan Anda
Grup aturan terkelola Bot Control diperbarui dari waktu ke waktu dengan kemampuan deteksi baru. Periksa versi mana yang sedang Anda gunakan dan apakah versi statis yang lebih baru tersedia. Versi yang lebih baru mencakup deteksi tambahan yang dapat meningkatkan jangkauan Anda terhadap ancaman bot baru. Anda dapat meninjau versi yang tersedia dan perubahannya diAWS Aturan terkelola changelog.
Cara kerja deteksi Bot Control
Bot Control memberi label pada setiap permintaan yang dievaluasi dengan klasifikasi terperinci: nama bot, kategori, organisasi, dan status verifikasi. Anda menulis aturan yang cocok pada label ini untuk memutuskan tindakan apa yang harus diambil untuk setiap jenis bot. Ini memberi Anda kontrol penuh daripada satu keputusan allow-or-block untuk semua lalu lintas bot.
Pada tingkat perlindungan yang ditargetkan, Bot Control menggabungkan beberapa teknik deteksi. Ini termasuk pencocokan tanda tangan, interogasi browser, sidik jari TLS, heuristik perilaku, dan pembelajaran mesin yang disesuaikan dengan pola lalu lintas situs web Anda. Bot yang menghindari satu teknik mungkin ditangkap oleh yang lain. Pembelajaran mesin juga mendeteksi aktivitas bot yang terkoordinasi: pola di mana banyak klien bekerja sama dengan cara yang akan terlewatkan oleh analisis permintaan individu. Untuk penjelasan rinci tentang semua komponen Kontrol Bot, lihatAWS WAF Komponen Kontrol Bot. Untuk panduan tentang bagaimana Challenge dan CAPTCHA interaksi bekerja antara klien dan AWS WAF, lihat. CAPTCHAdan Challenge di AWS WAF
Mengelola biaya
Biaya Anda untuk menggunakan grup aturan terkelola Kontrol Bot meningkat dengan jumlah permintaan web yang AWS WAF mengevaluasi dengannya. Untuk sebagian besar aplikasi, biaya Kontrol Bot dibenarkan oleh perlindungan yang diberikannya. Memblokir lalu lintas bot mengurangi biaya komputasi, bandwidth, dan transfer data Anda, seringkali lebih dari biaya inspeksi itu sendiri. Jika Anda perlu mengoptimalkan biaya lebih lanjut, strategi berikut dapat membantu.
Kecualikan aset statis
Optimalisasi biaya paling sederhana adalah mengecualikan permintaan untuk jenis file statis seperti.css,, .png.jpg, dan .svg dari inspeksi Kontrol Bot. Bot yang menargetkan data dan fungsionalitas aplikasi Anda mencapai titik akhir dinamis, bukan stylesheet atau gambar Anda. Ini mengurangi permintaan yang diperiksa tanpa mengurangi efektivitas deteksi. Sebagai contoh, lihat Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk konten dinamis.
Aturan pesanan untuk efisiensi
Tempatkan aturan yang lebih murah sebelum grup aturan terkelola Bot Control di paket perlindungan Anda (web ACL). Aturan seperti daftar reputasi IP, pembatasan geografis, dan aturan berbasis tarif dapat memblokir lalu lintas yang jelas tidak diinginkan sebelum mencapai inspeksi Kontrol Bot berbayar. Permintaan yang diblokir oleh aturan sebelumnya tidak pernah dievaluasi oleh Bot Control, sehingga Anda tidak dikenakan biaya tambahan per permintaan untuk mereka.
Cakupan ke titik akhir tertentu bila sesuai
Untuk beberapa aplikasi, Anda mungkin ingin menerapkan Bot Control hanya untuk bagian tertentu dari situs Anda. Misalnya, jika aplikasi Anda memiliki bagian informasi publik yang tidak berisi data sensitif atau konten berharga, Anda dapat mengecualikannya dari pemeriksaan. Berhati-hatilah untuk tidak mengecualikan halaman yang berisi konten yang layak dilindungi, seperti katalog produk, data harga, atau artikel yang diterbitkan. Sebagai contoh, lihat Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk halaman login.
Mengintegrasikan SDK integrasi aplikasi klien
Gunakan SDK JavaScript dan Mobile untuk memaksimalkan efektivitas perlindungan yang ditargetkan. SDK menyediakan sidik jari browser, manajemen token tantangan, dan telemetri perilaku yang digunakan aturan yang ditargetkan untuk deteksi tingkat sesi. Sesi di sini diidentifikasi oleh token klien yang diperoleh SDK, yang mewakili browser atau perangkat tertentu. Tanpa SDK, perlindungan yang ditargetkan memiliki konteks yang jauh lebih sedikit untuk dikerjakan, dan tidak dapat secara andal membedakan bot canggih dari pengguna yang sah.
Integrasikan SDK dari awal
Saat Anda menerapkan perlindungan yang ditargetkan, integrasikan SDK secara bersamaan. Ini berlaku apakah Anda menerapkan ke produksi atau mengevaluasi Kontrol Bot di lingkungan pengujian. Mengevaluasi perlindungan yang ditargetkan tanpa SDK tidak memberi Anda gambaran akurat tentang kemampuan pendeteksiannya, karena banyak aturan yang ditargetkan bergantung pada sinyal sisi klien yang hanya disediakan SDK.
Integrasi luas direkomendasikan
Untuk deteksi terkuat, integrasikan JavaScript SDK di semua halaman yang menyajikan konten dinamis, bukan hanya login atau checkout. Bot Control membangun profil perilaku dari cara klien menavigasi aplikasi Anda, termasuk waktu permintaan, urutan halaman, dan pola interaksi. Ketika SDK hadir hanya pada satu halaman, Bot Control memiliki konteks perilaku terbatas untuk membedakan pengguna nyata dari bot yang telah belajar meniru satu pemuatan halaman. Integrasi yang lebih luas memberi Bot Control gambaran yang lebih kaya dari setiap sesi klien, yang meningkatkan deteksi bot canggih seperti botnet proxy perumahan. Minimal, integrasikan SDK pada halaman Anda yang paling penting, tetapi perlakukan ini sebagai titik awal daripada status akhir.
Aplikasi seluler
Untuk aplikasi iOS dan Android, gunakan AWS WAF Mobile SDK. Mobile SDK menangani akuisisi dan pembaruan token dalam aplikasi Anda. Untuk informasi selengkapnya tentang SDK, lihat Integrasi aplikasi klien di AWS WAF.
Penyesuaian konfigurasi umum
Sebagian besar penerapan Bot Control memerlukan beberapa penyesuaian konfigurasi agar sesuai dengan karakteristik spesifik lalu lintas aplikasi Anda. Berikut ini adalah penyesuaian yang paling umum.
Memungkinkan alat pemantauan dan pemeriksaan kesehatan
Alat pemantauan internal, pemeriksa waktu aktif, dan pemeriksaan kesehatan penyeimbang beban menghasilkan lalu lintas otomatis yang dapat diidentifikasi oleh Bot Control sebagai aktivitas bot. Kecualikan permintaan ini dari inspeksi Kontrol Bot menggunakan pernyataan cakupan bawah yang cocok pada rentang alamat IP sumber atau header khusus yang disertakan oleh alat pemantauan Anda.
Tidak termasuk browser dalam aplikasi dan pustaka HTTP non-standar
Jika pengguna mengakses situs Anda melalui browser dalam aplikasi, seperti tautan yang dibuka dari aplikasi media sosial, atau jika aplikasi seluler Anda menggunakan pustaka HTTP non-standar, klien ini dapat memicu aturan tersebutSignalNonBrowserUserAgent. Kerangka kerja seluler asli standar dikecualikan dari aturan ini, tetapi agen pengguna non-browser lainnya tidak. Konfigurasikan pengecualian agen pengguna dalam grup aturan Kontrol Bot untuk klien ini. Sebagai contoh, lihat Contoh Kontrol Bot: Membuat pengecualian untuk agen pengguna yang diblokir.
Mengelola perayap bot terverifikasi
Kontrol Bot memungkinkan bot terverifikasi secara default. Jika Anda ingin membatasi kecepatan bahkan perayap yang diverifikasi, misalnya untuk mengurangi beban dari perayapan mesin telusur yang agresif tetapi sah, gunakan label bot untuk menulis aturan berbasis tarif khusus yang membatasi tingkat permintaan untuk kategori bot terverifikasi tertentu. Sebagai contoh, lihat Contoh Kontrol Bot: Secara eksplisit mengizinkan bot terverifikasi.
Meneruskan sinyal bot ke asal Anda
Anda dapat meneruskan label klasifikasi Kontrol Bot ke aplikasi Anda sebagai header permintaan khusus. Asal Anda kemudian dapat menggunakan label untuk menyajikan konten yang disederhanakan ke pencakar yang dicurigai, mencatat aktivitas bot di analitik Anda sendiri, atau menyertakan pengidentifikasi permintaan di halaman blokir untuk pelaporan positif palsu. Gunakan fitur header permintaan AWS WAF khusus untuk menyisipkan header berdasarkan kecocokan label. Untuk informasi selengkapnya tentang nilai label dinamis di header, lihatPermintaan dan tanggapan web yang disesuaikan di AWS WAF.
Memicu otentikasi step-up
Alih-alih memblokir lalu lintas yang mencurigakan secara langsung, Anda dapat meneruskan sinyal Kontrol Bot ke aplikasi Anda dan menggunakannya untuk memicu verifikasi tambahan. Misalnya, jika Kontrol Bot memberi label sesi sebagai mencurigakan, aplikasi Anda dapat memerlukan otentikasi multi-faktor atau menyajikan langkah verifikasi tambahan sebelum menyelesaikan tindakan sensitif. Step-up otentikasi mengurangi dampak positif palsu sambil tetap melindungi terhadap ancaman otomatis. Gunakan header permintaan khusus untuk meneruskan label Kontrol Bot yang relevan ke asal Anda.
Pengujian sebelum menegakkan
Selalu gunakan Kontrol Bot dalam mode hitung terlebih dahulu. Dalam mode hitung, Kontrol Bot memberi label pada semua permintaan tetapi tidak memblokir lalu lintas apa pun. Tinjau label di AWS WAF log Anda untuk memahami apa yang terdeteksi Bot Control dalam lalu lintas Anda, verifikasi bahwa lalu lintas yang sah tidak salah label, dan kemudian beralih ke mode blokir setelah Anda yakin dengan akurasi deteksi. Untuk panduan rinci tentang pengujian dan penerapan, lihatMenguji dan menerapkan Kontrol AWS WAF Bot.
