Praktik terbaik untuk mitigasi ancaman cerdas - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk mitigasi ancaman cerdas

Ikuti praktik terbaik di bagian ini untuk implementasi fitur mitigasi ancaman cerdas yang paling efisien dan hemat biaya.

  • Implementasikan SDK integrasi aplikasi seluler — Terapkan integrasi aplikasi untuk mengaktifkan set lengkap fungsionalitas ACFP, ATP, atau Bot Control dengan cara yang seefektif mungkin. JavaScript Grup aturan terkelola menggunakan token yang disediakan oleh SDK untuk memisahkan lalu lintas klien yang sah dari lalu lintas yang tidak diinginkan di tingkat sesi. SDK integrasi aplikasi memastikan bahwa token ini selalu tersedia. Untuk detailnya, lihat berikut ini:

    Gunakan integrasi untuk mengimplementasikan tantangan di klien Anda dan, untuk JavaScript, untuk menyesuaikan bagaimana teka-teki CAPTCHA disajikan kepada pengguna akhir Anda. Untuk detailnya, lihat AWS WAF integrasi aplikasi klien.

    Jika Anda menyesuaikan teka-teki CAPTCHA menggunakan JavaScript API dan Anda menggunakan tindakan CAPTCHA aturan di mana saja di ACL web Anda, ikuti panduan untuk menangani respons AWS WAF CAPTCHA di klien Anda di. Menangani respons CAPTCHA dari AWS WAF Panduan ini berlaku untuk aturan apa pun yang menggunakan CAPTCHA tindakan, termasuk yang ada di grup aturan terkelola ACFP dan tingkat perlindungan yang ditargetkan dari grup aturan terkelola Kontrol Bot.

  • Batasi permintaan yang Anda kirim ke grup aturan ACFP, ATP, dan Kontrol Bot — Anda dikenakan biaya tambahan untuk menggunakan grup aturan Aturan Terkelola mitigasi AWS ancaman cerdas. Grup aturan ACFP memeriksa permintaan ke titik akhir pendaftaran dan pembuatan akun yang Anda tentukan. Grup aturan ATP memeriksa permintaan ke titik akhir login yang Anda tentukan. Grup aturan Bot Control memeriksa setiap permintaan yang mencapainya dalam evaluasi ACL web.

    Pertimbangkan pendekatan berikut untuk mengurangi penggunaan kelompok aturan ini:

    • Kecualikan permintaan dari inspeksi dengan pernyataan cakupan bawah dalam pernyataan grup aturan terkelola. Anda dapat melakukan ini dengan pernyataan nestable apa pun. Untuk informasi, lihat Pernyataan cakupan ke bawah.

    • Kecualikan permintaan dari inspeksi dengan menambahkan aturan sebelum grup aturan. Untuk aturan yang tidak dapat digunakan dalam pernyataan scope-down dan untuk situasi yang lebih kompleks, seperti pelabelan diikuti dengan pencocokan label, Anda mungkin ingin menambahkan aturan yang berjalan sebelum grup aturan. Untuk informasi selengkapnya, lihat Pernyataan cakupan ke bawah dan Dasar-dasar pernyataan aturan.

    • Jalankan kelompok aturan setelah aturan yang lebih murah. Jika Anda memiliki AWS WAF aturan standar lain yang memblokir permintaan karena alasan apa pun, jalankan sebelum grup aturan berbayar ini. Untuk informasi selengkapnya tentang aturan dan manajemen aturan, lihatDasar-dasar pernyataan aturan.

    • Jika Anda menggunakan lebih dari satu grup aturan terkelola mitigasi ancaman cerdas, jalankan dengan urutan berikut untuk menekan biaya: Kontrol Bot, ATP, ACFP.

    Untuk informasi harga terperinci, lihat AWS WAF Harga.

  • Aktifkan tingkat perlindungan yang ditargetkan dari grup aturan Kontrol Bot selama lalu lintas web normal — Beberapa aturan tingkat perlindungan yang ditargetkan memerlukan waktu untuk menetapkan garis dasar untuk pola lalu lintas normal sebelum mereka dapat mengenali dan merespons pola lalu lintas yang tidak teratur atau berbahaya. Misalnya, TGT_ML_* aturan membutuhkan waktu hingga 24 jam untuk pemanasan.

    Tambahkan perlindungan ini ketika Anda tidak mengalami serangan dan beri mereka waktu untuk menetapkan garis dasar mereka sebelum mengharapkan mereka merespons serangan dengan tepat. Jika Anda menambahkan aturan ini selama serangan, setelah serangan mereda, waktu untuk menetapkan garis dasar biasanya dari dua kali lipat menjadi tiga kali lipat waktu normal yang diperlukan, karena kemiringan yang ditambahkan oleh lalu lintas serangan. Untuk informasi tambahan tentang aturan dan waktu pemanasan yang mereka butuhkan, lihatDaftar aturan.

  • Untuk perlindungan penolakan layanan terdistribusi (DDoS), gunakan mitigasi DDoS lapisan aplikasi otomatis Shield Advanced - Grup aturan mitigasi ancaman cerdas tidak memberikan perlindungan DDoS. ACFP melindungi terhadap upaya pembuatan akun palsu ke halaman pendaftaran aplikasi Anda. ATP melindungi terhadap upaya pengambilalihan akun ke halaman login Anda. Bot Control berfokus pada penegakan pola akses seperti manusia menggunakan token dan pembatasan laju dinamis pada sesi klien.

    Saat Anda menggunakan Shield Advanced dengan mitigasi DDoS lapisan aplikasi otomatis diaktifkan, Shield Advanced secara otomatis merespons serangan DDoS yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan mitigasi khusus atas nama Anda. AWS WAF Untuk informasi selengkapnya tentang Shield Advanced, lihatAWS Shield Advanced ikhtisar, danAWS Shield Advanced perlindungan lapisan aplikasi (lapisan 7).

  • Sesuaikan dan konfigurasikan penanganan token — Sesuaikan penanganan token ACL web untuk pengalaman pengguna terbaik.

    • Untuk mengurangi biaya pengoperasian dan meningkatkan pengalaman pengguna akhir Anda, sesuaikan waktu kekebalan manajemen token Anda ke waktu terlama yang diizinkan oleh persyaratan keamanan Anda. Ini membuat penggunaan teka-teki CAPTCHA dan tantangan diam seminimal mungkin. Untuk informasi, lihat Kedaluwarsa stempel waktu: waktu kekebalan token AWS WAF.

    • Untuk mengaktifkan berbagi token antar aplikasi yang dilindungi, konfigurasikan daftar domain token untuk ACL web Anda. Untuk informasi, lihat AWS WAF domain token dan daftar domain.

  • Tolak permintaan dengan spesifikasi host arbitrer — Konfigurasikan sumber daya yang dilindungi agar Host header dalam permintaan web cocok dengan sumber daya yang ditargetkan. Anda dapat menerima satu nilai atau satu set nilai tertentu, misalnya myExampleHost.com danwww.myExampleHost.com, tetapi tidak menerima nilai arbitrer untuk host.

  • Untuk Application Load Balancer yang berasal dari CloudFront distribusi, konfigurasikan CloudFront dan AWS WAF untuk penanganan token yang tepat — Jika Anda mengaitkan ACL web Anda ke Application Load Balancer dan Anda menerapkan Application Load Balancer sebagai asal distribusi, lihat. CloudFront Konfigurasi yang diperlukan untuk Application Load Balancer yang berasal CloudFront

  • Uji dan sesuaikan sebelum menerapkan — Sebelum Anda menerapkan perubahan apa pun pada ACL web Anda, ikuti prosedur pengujian dan penyetelan dalam panduan ini untuk memastikan bahwa Anda mendapatkan perilaku yang Anda harapkan. Ini sangat penting untuk fitur-fitur berbayar ini. Untuk panduan umum, lihatMenguji dan menyetel perlindungan Anda AWS WAF. Untuk informasi khusus tentang grup aturan terkelola berbayar, lihatMenguji dan menerapkan ACFP,Menguji dan menerapkan ATP, danMenguji dan menerapkan Kontrol AWS WAF Bot.