Manajemen versi dengan grup aturan terkelola - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen versi dengan grup aturan terkelola

Banyak penyedia grup aturan terkelola memperbarui opsi dan kemampuan grup aturan dalam versi baru grup aturan. Biasanya, versi spesifik dari grup aturan terkelola bersifat statis. Terkadang, penyedia mungkin perlu memperbarui beberapa atau semua versi grup aturan terkelola yang ada, misalnya, untuk menanggapi ancaman keamanan yang muncul.

Bila Anda menambahkan grup aturan terkelola ke ACL web, jika grup aturan mendukung pembuatan versi, Anda dapat memilih untuk mengizinkan penyedia mengelola versi yang Anda gunakan atau Anda dapat mengelola sendiri pengaturan versi.

Tidak dapat menemukan versi yang Anda inginkan?

Jika Anda tidak melihat versi dalam daftar versi grup aturan, versi tersebut mungkin dijadwalkan kedaluwarsa atau sudah kedaluwarsa. Setelah versi dijadwalkan kedaluwarsa,AWS WAFtidak lagi mengizinkan Anda untuk memilihnya untuk grup aturan.

Notifikasi versi dan SNS untukAWSGrup aturan Aturan Terkelola

YangAWSGrup aturan Aturan Terkelola semuanya menyediakan notifikasi versi dan pembaruan SNS kecuali untuk grup aturan untuk reputasi IP, Kontrol Bot, dan pencegahan pengambilalihan akun.

YangAWSGrup aturan aturan yang terkelola yang menyediakan notifikasi semuanya menggunakan topik SNS Amazon Resource Name (ARN).

Siklus hidup versi untuk grup aturan terkelola

Penyedia menangani tahapan siklus hidup versi statis grup aturan terkelola berikut:

  • Rilis dan pembaruan— Penyedia grup aturan terkelola mengumumkan versi statis baru dari grup aturan terkelola mereka melalui notifikasi untuk topik Amazon Simple Notification Service (Amazon SNS). Penyedia mungkin juga menggunakan topik untuk mengkomunikasikan informasi penting lainnya tentang kelompok aturan mereka, seperti pembaruan yang diperlukan mendesak.

    Anda dapat berlangganan topik grup aturan dan mengonfigurasi cara menerima notifikasi. Untuk informasi selengkapnya, lihatMendapatkan pemberitahuan tentang versi dan pembaruan baru.

  • Penjadwalan kedaluwarsa- Penyedia grup aturan terkelola menjadwalkan versi lama grup aturan untuk kedaluwarsa. Versi yang dijadwalkan kedaluwarsa tidak dapat ditambahkan ke aturan ACL web Anda. Setelah kedaluwarsa dijadwalkan untuk versi,AWS WAFmelacak kedaluwarsa dengan metrik hitung mundur di Amazon CloudWatch.

    Anda dapat mengatur alarm pada metrik di CloudWatch untuk melacak kedaluwarsa versi yang Anda gunakan. Ini memberi Anda waktu untuk menguji versi baru dan beralih dari versi yang kedaluwarsa sebelum hitungan mundur selesai. Untuk informasi selengkapnya, lihat Kedaluwarsa versi pelacakan mudur.

  • Kedaluwarsa versi- Saat versi kedaluwarsa, penyedia grup aturan menentukan cara mengelola kedaluwarsa untuk ACL web yang masih menggunakan versi kedaluwarsa:

    • UntukAWSGrup aturan Aturan Terkelola,AWS WAFmemindahkan ACL web apa pun yang menggunakan versi kedaluwarsa ke versi default grup aturan.

    • UntukAWS Marketplacekelompok aturan, penyedia menentukan bagaimana menangani kedaluwarsa. Minta informasi kepada penyedia grup aturan terkelola Anda.

Praktik terbaik untuk menangani versi grup aturan terkelola

Ikuti panduan praktik terbaik versi ini saat Anda menggunakan grup aturan terkelola.

Bila Anda menggunakan grup aturan terkelola di ACL web, Anda dapat memilih untuk menggunakan versi statis tertentu dari grup aturan, atau Anda dapat memilih untuk menggunakan versi default:

  • Versi default—AWS WAFselalu menetapkan versi default ke versi statis yang saat ini direkomendasikan oleh penyedia. Saat penyedia memperbarui versi statis yang disarankan,AWS WAFsecara otomatis memperbarui pengaturan versi default untuk grup aturan di ACL web Anda.

    Bila Anda menggunakan versi default grup aturan terkelola, lakukan hal berikut sebagai praktik terbaik:

    • Berlangganan notifikasi— Berlangganan pemberitahuan untuk perubahan pada kelompok aturan dan mengawasi mereka. Sebagian besar penyedia mengirim pemberitahuan lanjutan dari versi statis baru dan perubahan versi default. Ini memungkinkan Anda untuk memeriksa efek dari versi statis baru sebelum pengaturan versi default Anda pindah ke sana. Untuk informasi selengkapnya, lihatMendapatkan pemberitahuan tentang versi dan pembaruan baru.

    • Tinjau efek pengaturan versi statis dan buat penyesuaian sesuai kebutuhan sebelum default Anda disetel ke sana- Sebelum default Anda diatur ke versi statis baru, tinjau efek versi statis pada pemantauan dan pengelolaan permintaan web Anda. Versi statis baru mungkin memiliki aturan baru untuk ditinjau. Cari positif palsu atau perilaku tak terduga lainnya, jika Anda perlu mengubah cara Anda menggunakan grup aturan. Anda dapat menetapkan aturan untuk menghitung, misalnya, untuk menghentikan mereka dari memblokir lalu lintas sementara Anda mengetahui bagaimana Anda ingin menangani perilaku baru. Untuk informasi selengkapnya, lihat Menguji dan menyetelAWS WAFperlindungan.

  • Versi statis- Jika Anda memilih untuk menggunakan versi statis, Anda harus memperbarui pengaturan versi secara manual saat Anda siap untuk mengadopsi versi baru grup aturan.

    Bila Anda menggunakan versi statis grup aturan terkelola, lakukan hal berikut sebagai praktik terbaik:

    • Buat versi Anda tetap mutakhir- Jaga grup aturan terkelola Anda sedekat mungkin dengan versi terbaru. Saat versi baru dirilis, uji, sesuaikan pengaturan sesuai kebutuhan, dan terapkan secara tepat waktu. Untuk informasi tentang pengujian, lihatMenguji dan menyetelAWS WAFperlindungan.

    • Berlangganan notifikasi- Berlangganan pemberitahuan untuk perubahan pada grup aturan, sehingga Anda tahu kapan penyedia Anda merilis versi statis baru. Sebagian besar penyedia memberikan pemberitahuan lanjutan tentang perubahan versi. Selain itu, penyedia Anda mungkin perlu memperbarui versi statis yang Anda gunakan untuk menutup celah keamanan atau karena alasan mendesak lainnya. Anda akan tahu apa yang terjadi jika Anda berlangganan notifikasi penyedia. Untuk informasi selengkapnya, lihat Mendapatkan pemberitahuan tentang versi dan pembaruan baru.

    • Hindari kedaluwarsa versi- Jangan biarkan versi statis kedaluwarsa saat Anda menggunakannya. Penanganan penyedia versi kedaluwarsa dapat bervariasi dan mungkin termasuk memaksa peningkatan ke versi yang tersedia atau perubahan lain yang dapat menimbulkan konsekuensi yang tidak terduga. LacakAWS WAFmetrik kedaluwarsa dan setel alarm yang memberi Anda jumlah hari yang cukup untuk berhasil meningkatkan ke versi yang didukung. Untuk informasi selengkapnya, lihat Kedaluwarsa versi pelacakan mudur.