Ti presentiamo una nuova esperienza di console per AWS WAF
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Lavorare con la console.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scelta e configurazione di Bot Control per il tuo caso d'uso
Bot Control protegge da una serie di minacce automatizzate. La configurazione corretta dipende da cosa stai proteggendo e dalle minacce che devi affrontare. Usa questo argomento per scegliere il giusto livello di protezione e configurare Bot Control per scenari applicativi comuni.
Abbina Bot Control alla tua applicazione
Le minacce dei bot si dividono generalmente in tre categorie:
-
Minacce di frode: furto di credenziali, account falsi e acquisti automatizzati.
-
Minacce relative ai contenuti: perdita di dati sui prezzi, cataloghi di prodotti e contenuti pubblicati.
-
Minacce alla disponibilità: volume di traffico bot che riduce le prestazioni o aumenta i costi dell'infrastruttura.
Per la maggior parte di queste minacce, consigliamo il livello di protezione mirato con gli SDK di integrazione delle applicazioni client. I seguenti scenari descrivono come configurare Bot Control per ciascuna di esse.
Protezione delle pagine di accesso e dell'account
Gli attacchi legati al furto di credenziali e all'acquisizione di account utilizzano strumenti automatizzati per testare le credenziali rubate rispetto agli endpoint di accesso. La frode nella creazione di account utilizza i bot per creare account falsi su larga scala. Integra l'SDK per l'integrazione delle applicazioni nel tuo sito e abbina Bot Control ai gruppi di regole gestiti da AWS WAF Fraud Control per proteggere l'accesso e la creazione di account.
Protezione dei cataloghi di prodotti e dei dati sui prezzi
Se l'applicazione mostra informazioni sui prodotti, i prezzi, i livelli di inventario o altri dati sulla concorrenza, i bot possono eliminare questi contenuti per fornire informazioni sulla concorrenza, creare siti di confronto o ridurre i prezzi. Questi scraper spesso imitano i browser reali e ruotano tra gli indirizzi IP residenziali per evitare di essere rilevati. Applica Bot Control alle pagine dei prodotti e del catalogo, non solo al checkout. In questo modo Bot Control può rilevare i modelli comportamentali dello scraping automatico anche quando il bot sembra essere un normale browser.
Protezione dei contenuti pubblicati
Gli editori di contenuti, i siti di notizie e le piattaforme multimediali devono affrontare bot che copiano articoli, immagini e altri contenuti originali. Questo furto di contenuti può indebolire il tuo posizionamento nelle ricerche, ridurre le entrate pubblicitarie e minare la tua posizione competitiva. Applica Bot Control alle tue pagine di contenuti. Usa la dashboard di Bot Control per monitorare quali bot accedono ai tuoi contenuti e decidere come gestire ciascuna categoria. Per ulteriori informazioni, consulta AWS WAF Componenti Bot Control.
Riduzione dei costi di infrastruttura dovuti a crawler indesiderati
Gli scraper, i crawler e gli strumenti automatizzati possono generare un volume di traffico elevato, aumentando i costi di elaborazione e trasferimento dei dati senza fornire valore aziendale. Bot Control identifica i bot che si dichiarano automaticamente per categoria, ad esempio scraper, librerie HTTP e framework di scansione. È quindi possibile bloccare o limitare ogni categoria in modo indipendente utilizzando le etichette. Per quanto riguarda lo scraping evasivo, la protezione mirata rileva i bot che mascherano la propria identità, compresi quelli che utilizzano proxy residenziali e browser headless.
Protezione delle transazioni di alto valore
I flussi di pagamento, gli acquisti con scorte limitate e la vendita di biglietti sono obiettivi per i bot di acquisto automatizzati che competono con i clienti legittimi. Bot Control rileva i browser automatici come Selenium e Puppeteer e applica una limitazione della frequenza a livello di sessione per impedire che un singolo cliente monopolizzi l'inventario. Integra gli SDK nelle pagine delle transazioni per la massima precisione di rilevamento.
Gestione dei crawler AI e addestramento degli scraper di dati
I bot di intelligenza artificiale raccolgono contenuti dall'applicazione per addestrare modelli o far emergere dati nelle applicazioni di intelligenza artificiale. Bot Control classifica i bot AI noti. Scrivi regole personalizzate per consentire l'utilizzo di specifici bot di intelligenza artificiale che desideri autorizzare, come i crawler verificati dei motori di ricerca, e bloccarne o limitarne altri. Per gli agenti di intelligenza artificiale che utilizzano framework di automazione del browser per interagire con l'applicazione, Bot Control rileva e sfida queste sessioni automatizzate. Con Web Bot Authentication (WBA), gli agenti AI legittimi possono dimostrare crittograficamente la propria identità. Ciò fornisce un segnale affidabile per distinguere gli agenti autorizzati da quelli non autorizzati. Per ulteriori informazioni su WBA, vedere. Autenticazione tramite bot Web per agenti AI
Protezione delle applicazioni mobili
Le applicazioni mobili sono soggette a minacce bot simili a quelle delle applicazioni web, ma il loro traffico presenta caratteristiche diverse. I client mobili utilizzano agenti utente diversi dal browser. Le richieste HTTP provenienti da framework nativi di applicazioni mobili sono escluse dalla SignalNonBrowserUserAgent regola Bot Control, ma non le librerie HTTP non standard e i browser in-app. Integra AWS WAF Mobile SDK nella tua applicazione iOS o Android per fornire i token lato client utilizzati dalla protezione mirata per un rilevamento accurato.
Scelta tra protezione comune e mirata
Bot Control offre due livelli di protezione. La seguente guida ti aiuta a scegliere il livello giusto per la tua applicazione.
Livello di protezione comune
La protezione comune rileva i bot che si identificano tramite stringhe user-agent, indirizzi IP e altre caratteristiche di richiesta. Verifica che i bot che dichiarano di appartenere a organizzazioni note (come i motori di ricerca) provengano effettivamente da tali organizzazioni. La protezione comune offre visibilità su chi sta visitando l'applicazione e consente di controllare ogni categoria di bot in modo indipendente. Non richiede gli SDK e ha un costo per richiesta inferiore. La protezione comune è un buon punto di partenza quando è necessario gestire principalmente il traffico di bot noto, ad esempio bloccando gli scraper indesiderati e consentendo al contempo i crawler dei motori di ricerca.
Livello di protezione mirato
Il livello di protezione mirato rileva tutto ciò che rileva il livello di protezione comune e aggiunge il rilevamento per i bot che non si identificano automaticamente. Utilizza l'interrogazione tramite browser, il fingerprinting TLS, l'euristica comportamentale e l'apprendimento automatico per distinguere i client automatizzati dagli umani. L'apprendimento automatico analizza i modelli di traffico specifici del tuo sito Web, inclusi timestamp, caratteristiche del browser e comportamento di navigazione. Aggiorna il suo rilevamento man mano che il traffico cambia e le tattiche dei bot cambiano. La protezione mirata è consigliata per le applicazioni che devono affrontare il furto di credenziali, lo scraping avanzato, gli acquisti automatici o qualsiasi attività bot in cui l'aggressore tenti attivamente di eludere il rilevamento.
Per la maggior parte delle applicazioni web di produzione, consigliamo una protezione mirata. Per indicazioni sulla configurazione della protezione mirata per scenari specifici, consultaAbbina Bot Control alla tua applicazione. Per indicazioni sulla gestione dei costi in caso di volumi di traffico elevati, vedereGestione dei costi.
| Informazioni | Mirato | |
|---|---|---|
| Rileva i bot che si identificano automaticamente | Sì | Sì |
| Verifica i bot legittimi (motori di ricerca, servizi di monitoraggio) | Sì | Sì |
| Rileva i bot che nascondono la propria identità | No | Sì |
| Apprendimento automatico adattato al tuo traffico | No | Sì |
| Session-level limitazione della velocità | No | Sì |
| Rileva gli strumenti di automazione del browser | Sì (identificazione automatica) | Sì (incluso evasivo) |
| SDK per l'integrazione delle applicazioni client | Campo non obbligatorio | Consigliato vivamente |
Verifica della versione del tuo gruppo di regole
Il gruppo di regole gestito da Bot Control viene aggiornato nel tempo con nuove funzionalità di rilevamento. Verifica quale versione stai utilizzando attualmente e se è disponibile una versione statica più recente. Le versioni più recenti includono rilevamenti aggiuntivi che possono aumentare la copertura contro le nuove minacce dei bot. È possibile esaminare le versioni disponibili e le relative modifiche nel. AWS Registro delle modifiche di Managed Rules
Come funziona il rilevamento di Bot Control
Bot Control etichetta ogni richiesta che valuta con una classificazione granulare: nome del bot, categoria, organizzazione e stato della verifica. Scrivi le regole che corrispondono su queste etichette per decidere quale azione intraprendere per ogni tipo di bot. In questo modo hai il pieno controllo anziché un'unica decisione di autorizzazione o blocco per tutto il traffico dei bot.
A livello di protezione mirato, Bot Control combina diverse tecniche di rilevamento. Queste includono la corrispondenza delle firme, l'interrogazione tramite browser, l'impronta digitale TLS, l'euristica comportamentale e l'apprendimento automatico adattato ai modelli di traffico del tuo sito web. Un bot che elude una tecnica può essere catturato da un'altra. L'apprendimento automatico rileva anche l'attività coordinata dei bot: modelli in cui più client collaborano in modi che l'analisi delle singole richieste non verrebbe a buon fine. Per una descrizione dettagliata di tutti i componenti di Bot Control, consultaAWS WAF Componenti Bot Control. Per una descrizione dettagliata di come funzionano CAPTCHA le interazioni Challenge e tra il cliente e AWS WAF, vedi. CAPTCHAe Challenge in AWS WAF
Gestione dei costi
I costi per l'utilizzo del gruppo di regole gestito da Bot Control aumentano con il numero di richieste web che AWS WAF vengono valutate con esso. Per la maggior parte delle applicazioni, il costo di Bot Control è giustificato dalla protezione che offre. Il blocco del traffico bot riduce i costi di elaborazione, larghezza di banda e trasferimento dei dati, spesso più del costo dell'ispezione stessa. Se hai bisogno di ottimizzare ulteriormente i costi, le seguenti strategie possono aiutarti.
Escludi le risorse statiche
La più semplice ottimizzazione dei costi consiste nell'escludere le richieste di tipi di file statici come .css .png.jpg, e .svg dall'ispezione di Bot Control. I bot che prendono di mira i dati e le funzionalità dell'applicazione colpiscono gli endpoint dinamici, non i fogli di stile o le immagini. Ciò riduce le richieste ispezionate senza ridurre l'efficacia del rilevamento. Per vedere un esempio, consulta Esempio di Bot Control: utilizzo di Bot Control solo per contenuti dinamici.
Ordina regole per l'efficienza
Inserisci regole meno costose prima del gruppo di regole gestito da Bot Control nel tuo pacchetto di protezione (ACL web). Regole come elenchi di reputazione IP, restrizioni geografiche e regole basate sulle tariffe possono bloccare il traffico chiaramente indesiderato prima che raggiunga l'ispezione a pagamento di Bot Control. Le richieste bloccate da regole precedenti non vengono mai valutate da Bot Control, quindi non è previsto alcun costo aggiuntivo per richiesta.
Ambito per endpoint specifici, se del caso
Per alcune applicazioni, potresti voler applicare Bot Control solo a parti specifiche del tuo sito. Ad esempio, se l'applicazione ha una sezione informativa pubblica che non contiene dati sensibili o contenuti preziosi, puoi escluderla dall'ispezione. Fai attenzione a non escludere pagine che contengono contenuti che vale la pena proteggere, come cataloghi di prodotti, dati sui prezzi o articoli pubblicati. Per vedere un esempio, consulta Esempio di Bot Control: utilizzo di Bot Control solo per la pagina di accesso.
Integrazione degli SDK di integrazione delle applicazioni client
Utilizza gli SDK JavaScript and Mobile per massimizzare l'efficacia della protezione mirata. Gli SDK forniscono l'impronta digitale del browser, la gestione dei token di sfida e la telemetria comportamentale che le regole mirate utilizzano per il rilevamento a livello di sessione. Una sessione qui viene identificata dal token client acquisito dall'SDK, che rappresenta un browser o un dispositivo specifico. Senza gli SDK, la protezione mirata ha molto meno contesto su cui lavorare e non è in grado di distinguere in modo affidabile i bot avanzati dagli utenti legittimi.
Integra l'SDK fin dall'inizio
Quando implementi una protezione mirata, integra contemporaneamente gli SDK. Questo vale sia che stiate implementando in produzione sia che stiate valutando Bot Control in un ambiente di test. Valutare una protezione mirata senza gli SDK non fornisce un quadro preciso delle sue capacità di rilevamento, poiché molte delle regole mirate dipendono dai segnali lato client forniti solo dagli SDK.
Si consiglia un'ampia integrazione
Per un rilevamento più efficace, integra l' JavaScript SDK su tutte le pagine che offrono contenuti dinamici, non solo su login o check-out. Bot Control crea profili comportamentali in base al modo in cui i clienti utilizzano l'applicazione, compresi i tempi delle richieste, le sequenze di pagine e i modelli di interazione. Quando l'SDK è presente su una sola pagina, Bot Control ha un contesto comportamentale limitato per distinguere un utente reale da un bot che ha imparato a simulare il caricamento di una pagina. Un'integrazione più ampia offre a Bot Control un quadro più completo di ogni sessione client, migliorando il rilevamento di bot avanzati come le botnet proxy residenziali. Come minimo, integra l'SDK nelle pagine più importanti, ma consideralo un punto di partenza piuttosto che uno stato finale.
applicazioni mobili
Per le applicazioni iOS e Android, usa AWS WAF Mobile SDK. Mobile SDK gestisce l'acquisizione e il rinnovo dei token all'interno dell'app. Per ulteriori informazioni sugli SDK, consulta Integrazioni di applicazioni client in AWS WAF.
Regolazioni di configurazione comuni
La maggior parte delle implementazioni di Bot Control richiede alcuni aggiustamenti della configurazione per adattarli alle caratteristiche specifiche del traffico delle applicazioni. Di seguito sono riportate le modifiche più comuni.
Consentire strumenti di monitoraggio e controllo dello stato di salute
Gli strumenti di monitoraggio interni, i controllori dell'uptime e i controlli dello stato del bilanciamento del carico generano traffico automatizzato che Bot Control può identificare come attività dei bot. Escludi queste richieste dall'ispezione di Bot Control utilizzando un'istruzione scope-down che corrisponda all'intervallo di indirizzi IP di origine o un'intestazione personalizzata inclusa negli strumenti di monitoraggio.
Esclusi i browser in-app e le librerie HTTP non standard
Se gli utenti accedono al tuo sito tramite browser in-app, ad esempio link aperti da app di social media, o se l'app per dispositivi mobili utilizza una libreria HTTP non standard, questi client potrebbero attivare la regola. SignalNonBrowserUserAgent I framework mobili nativi standard sono esclusi da questa regola, a differenza di altri user agent diversi dai browser. Configura un'eccezione user-agent nel gruppo di regole Bot Control per questi client. Per vedere un esempio, consulta Esempio di Bot Control: creazione di un'eccezione per un agente utente bloccato.
Gestione dei bot crawler verificati
Per impostazione predefinita, Bot Control consente l'utilizzo di bot verificati. Se desideri limitare la frequenza anche per i crawler verificati, ad esempio per ridurre il carico derivante da una scansione aggressiva ma legittima dei motori di ricerca, usa le etichette dei bot per scrivere regole personalizzate basate sulla frequenza che limitino la frequenza di richieste per specifiche categorie di bot verificati. Per vedere un esempio, consulta Esempio di controllo dei bot: autorizzazione esplicita dei bot verificati.
Inoltro dei segnali dei bot alla tua origine
Puoi passare le etichette di classificazione Bot Control alla tua applicazione come intestazioni di richiesta personalizzate. Il mittente può quindi utilizzare le etichette per fornire contenuti semplificati a sospetti scraper, registrare l'attività dei bot nelle proprie analisi o includere un identificatore di richiesta nelle pagine di blocco per la segnalazione di falsi positivi. Utilizza la funzione di intestazione della richiesta AWS WAF personalizzata per inserire le intestazioni in base alle corrispondenze delle etichette. Per ulteriori informazioni sui valori dinamici delle etichette nelle intestazioni, consulta. Richieste e risposte web personalizzate in AWS WAF
Attivazione dell'autenticazione step-up
Invece di bloccare definitivamente il traffico sospetto, puoi inoltrare i segnali di Bot Control alla tua applicazione e utilizzarli per attivare ulteriori verifiche. Ad esempio, se Bot Control etichetta una sessione come sospetta, l'applicazione può richiedere l'autenticazione a più fattori o presentare una fase di verifica aggiuntiva prima di completare un'azione sensibile. Step-up l'autenticazione riduce l'impatto dei falsi positivi proteggendo allo stesso tempo dalle minacce automatiche. Utilizza intestazioni di richiesta personalizzate per passare le etichette Bot Control pertinenti alla tua origine.
Test prima dell'applicazione
Implementa sempre prima Bot Control in modalità count. In modalità count, Bot Control etichetta tutte le richieste ma non blocca il traffico. Controlla le etichette nei tuoi AWS WAF registri per capire cosa rileva Bot Control nel tuo traffico, verifica che il traffico legittimo non venga etichettato erroneamente e poi passa alla modalità di blocco una volta che sei sicuro della precisione del rilevamento. Per una guida dettagliata su test e implementazione, consulta. Test e implementazione di AWS WAF Bot Control
