Test e implementazione dell'ATP

Questa sezione fornisce linee guida generali per configurare e testare un'implementazione di AWS WAF Fraud Control Account Takeover Prevention (ATP) per il tuo sito. I passaggi specifici che sceglierete di seguire dipenderanno dalle vostre esigenze, dalle risorse e dalle richieste web che riceverete.

Queste informazioni si aggiungono alle informazioni generali su test e ottimizzazione fornite all'indirizzoTest e ottimizzazione delle protezioni AWS WAF.

Nota

AWS Le Managed Rules sono progettate per proteggerti dalle minacce web più comuni. Se utilizzati in conformità con la documentazione, i gruppi di regole AWS Managed Rules aggiungono un altro livello di sicurezza per le applicazioni. Tuttavia, i gruppi di regole AWS Managed Rules non sono intesi come sostituti delle responsabilità in materia di sicurezza, che sono determinate dalle AWS risorse selezionate. Fai riferimento al modello di responsabilità condivisa per assicurarti che le tue risorse AWS siano adeguatamente protette.

Rischio legato al traffico di produzione

Prima di implementare l'implementazione ATP per il traffico di produzione, testala e ottimizzala in un ambiente di staging o di test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testate e ottimizzate le regole in modalità di conteggio in base al traffico di produzione prima di attivarle.

AWS WAF fornisce credenziali di test che è possibile utilizzare per verificare la configurazione ATP. Nella procedura seguente, configurerai un ACL web di prova per utilizzare il gruppo di regole gestito ATP, configurerai una regola per acquisire l'etichetta aggiunta dal gruppo di regole e quindi eseguirai un tentativo di accesso utilizzando queste credenziali di test. Verificherai che il tuo ACL web abbia gestito correttamente il tentativo controllando i CloudWatch parametri di Amazon per il tentativo di accesso.

Questa guida è destinata agli utenti che sanno in generale come creare e gestire ACL AWS WAF Web, regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida.

Per configurare e testare un'implementazione di AWS WAF Fraud Control Account Takeover Prevention (ATP)

Esegui questi passaggi prima in un ambiente di test, poi in produzione.

1. Aggiungi il gruppo di regole gestito per la prevenzione dell'acquisizione di account (ATP) di AWS WAF Fraud Control in modalità count

   Nota

   Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS WAF.

   Aggiungi il gruppo di regole AWS Managed Rules AWSManagedRulesATPRuleSet a un ACL web nuovo o esistente e configuralo in modo che non alteri il comportamento corrente dell'ACL web. Per informazioni dettagliate sulle regole e le etichette per questo gruppo di regole, consulta. AWS WAF Gruppo di regole per la prevenzione delle acquisizioni di account (ATP) per il controllo delle frodi

   • Quando aggiungi il gruppo di regole gestito, modificalo e procedi come segue:

     • Nel riquadro di configurazione del gruppo di regole, fornisci i dettagli della pagina di accesso dell'applicazione. Il gruppo di regole ATP utilizza queste informazioni per monitorare le attività di accesso. Per ulteriori informazioni, consulta Aggiungere il gruppo di regole gestite da ATP all'ACL Web.

     • Nel riquadro Regole, apri il menu a discesa Sostituisci tutte le azioni delle regole e scegli. Count Con questa configurazione, AWS WAF valuta le richieste in base a tutte le regole del gruppo di regole e conta solo le corrispondenze risultanti, pur continuando ad aggiungere etichette alle richieste. Per ulteriori informazioni, consulta Sovrascrivere le azioni delle regole in un gruppo di regole.

       Con questo override, è possibile monitorare il potenziale impatto delle regole gestite da ATP per determinare se aggiungere eccezioni, ad esempio eccezioni per casi d'uso interni.

   • Posiziona il gruppo di regole in modo che venga valutato in base alle regole esistenti nell'ACL Web, con un'impostazione di priorità numericamente superiore a qualsiasi regola o gruppo di regole che stai già utilizzando. Per ulteriori informazioni, consulta Ordine di elaborazione delle regole e dei gruppi di regole in un ACL Web.

     In questo modo, l'attuale gestione del traffico non viene interrotta. Ad esempio, se hai regole che rilevano il traffico dannoso come SQL injection o cross-site scripting, continueranno a rilevarlo e registrarlo. In alternativa, se esistono regole che consentono il traffico noto e non dannoso, queste possono continuare a consentire tale traffico senza che venga bloccato dal gruppo di regole gestito dall'ATP. Potresti decidere di modificare l'ordine di elaborazione durante le attività di test e ottimizzazione.

2. Abilita la registrazione e le metriche per l'ACL web

   Se necessario, configura la registrazione, la raccolta dei dati di Amazon Security Lake, il campionamento delle richieste e i CloudWatch parametri Amazon per l'ACL Web. Puoi utilizzare questi strumenti di visibilità per monitorare l'interazione del gruppo di regole gestito da ATP con il tuo traffico.

   • Per informazioni sulla configurazione e l'utilizzo della registrazione, vedere. Registrazione del traffico AWS WAF ACL Web

   • Per informazioni su Amazon Security Lake, consulta Cos'è Amazon Security Lake? e Raccolta di dati dai AWS servizi nella guida per l'utente di Amazon Security Lake.

   • Per informazioni sui CloudWatch parametri di Amazon, consultaMonitoraggio con Amazon CloudWatch.

   • Per informazioni sul campionamento delle richieste web, consulta. Visualizzazione di un esempio di richieste Web

3. Associare l'ACL Web a una risorsa

   Se l'ACL web non è già associato a una risorsa di test, associala. Per informazioni, consulta Associazione o dissociazione di un ACL Web con una risorsa AWS.

4. Monitora il traffico e la corrispondenza delle regole ATP

   Assicurati che il traffico sia regolare e che le regole del gruppo di regole gestite da ATP aggiungano etichette alle richieste web corrispondenti. Puoi vedere le etichette nei log e vedere i parametri ATP e delle etichette nei parametri di Amazon. CloudWatch Nei log, le regole che hai sostituito per conteggiare nel gruppo di regole vengono visualizzate nel comando ruleGroupList con action set to count e overriddenAction indicano l'azione della regola configurata che hai ignorato.

5. Verifica le funzionalità di controllo delle credenziali del gruppo di regole

   Esegui un tentativo di accesso con le credenziali di test compromised e verifica che il gruppo di regole corrisponda a tali credenziali come previsto.

   1. Accedi alla pagina di accesso della risorsa protetta utilizzando la seguente coppia di credenziali AWS WAF di test:

      • Utente: WAF_TEST_CREDENTIAL@wafexample.com

      • Password: WAF_TEST_CREDENTIAL_PASSWORD

      Queste credenziali di test sono classificate come credenziali compromesse e il gruppo di regole gestite ATP aggiungerà l'awswaf:managed:aws:atp:signal:credential_compromisedetichetta alla richiesta di accesso, che puoi vedere nei log.

   2. Nei registri ACL Web, cerca l'awswaf:managed:aws:atp:signal:credential_compromisedetichetta nel labels campo delle voci di registro per le richieste web di accesso di prova. Per ulteriori informazioni sulla registrazione, consulta Registrazione del traffico AWS WAF ACL Web.

   Dopo aver verificato che il gruppo di regole acquisisca le credenziali compromesse come previsto, puoi adottare le misure necessarie per configurarne l'implementazione in base alle tue esigenze per la risorsa protetta.

6. Per le CloudFront distribuzioni, prova la gestione degli errori di accesso del gruppo di regole

   1. Esegui un test per ogni criterio di risposta agli errori configurato per il gruppo di regole ATP. Attendi almeno 10 minuti tra un test e l'altro.

      Per testare un singolo criterio di errore, identifica un tentativo di accesso che abbia esito negativo con quel criterio nella risposta. Quindi, da un singolo indirizzo IP del client, esegui almeno 10 tentativi di accesso falliti in meno di 10 minuti.

      Dopo i primi 6 errori, la regola volumetrica di accesso fallito dovrebbe iniziare a corrispondere agli altri tentativi, etichettandoli e contandoli. La regola potrebbe non rispettare i primi uno o due a causa della latenza.

   2. Nei registri ACL Web, cerca l'awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:highetichetta nel labels campo delle voci di registro per le richieste web di accesso di prova. Per ulteriori informazioni sulla registrazione, consulta Registrazione del traffico AWS WAF ACL Web.

   Questi test verificano che i criteri di errore corrispondano alle risposte fornite, verificando che il numero di accessi non riusciti superi le soglie stabilite dalla regola. VolumetricIpFailedLoginResponseHigh Una volta raggiunte le soglie, se continui a inviare richieste di accesso dallo stesso indirizzo IP, la regola continuerà a corrispondere fino a quando la percentuale di errori non scenderà al di sotto della soglia. Sebbene le soglie vengano superate, la regola corrisponde sia agli accessi riusciti che a quelli non riusciti dall'indirizzo IP.

7. Personalizza la gestione delle richieste web ATP

   Se necessario, aggiungi le tue regole che consentono o bloccano esplicitamente le richieste, per modificare il modo in cui le regole ATP le gestirebbero altrimenti.

   Ad esempio, puoi utilizzare le etichette ATP per consentire o bloccare le richieste o per personalizzare la gestione delle richieste. È possibile aggiungere una regola di corrispondenza delle etichette dopo il gruppo di regole gestite ATP per filtrare le richieste etichettate in base alla gestione che si desidera applicare. Dopo il test, mantieni le regole ATP correlate in modalità di conteggio e mantieni le decisioni sulla gestione delle richieste nella tua regola personalizzata. Per vedere un esempio, consulta Esempio ATP: gestione personalizzata delle credenziali mancanti e compromesse.

8. Rimuovi le regole del test e abilita le impostazioni del gruppo di regole gestite ATP

   A seconda della situazione, potresti aver deciso di lasciare alcune regole ATP in modalità count. Per le regole che desideri eseguire secondo la configurazione configurata all'interno del gruppo di regole, disabilita la modalità di conteggio nella configurazione del gruppo di regole ACL Web. Al termine del test, puoi anche rimuovere le regole di corrispondenza delle etichette di test.

9. Monitora e sintonizza

   Per assicurarti che le richieste web vengano gestite come desideri, monitora attentamente il traffico dopo aver abilitato la funzionalità ATP che intendi utilizzare. Modificate il comportamento in base alle esigenze applicando le regole (rules count override) sul gruppo di regole e con le vostre regole.

Dopo aver terminato il test dell'implementazione del gruppo di regole ATP, se non l'hai già fatto, ti consigliamo vivamente di integrare l' AWS WAF JavaScript SDK nella pagina di accesso del browser, per funzionalità di rilevamento avanzate. AWS WAF fornisce anche SDK mobili per integrare dispositivi iOS e Android. Per ulteriori informazioni sugli SDK di integrazione, consulta. AWS WAF integrazione delle applicazioni client Per informazioni su questa raccomandazione, consultaPerché dovresti usare gli SDK di integrazione delle applicazioni con ATP.