Distribuzioni Release Candidate per AWS Regole gestite - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Distribuzioni Release Candidate per AWS Regole gestite

Questa sezione spiega come funziona una distribuzione temporanea della release candidate.

Quando AWS dispone di una serie di modifiche alle regole candidate per un gruppo di regole gestito, le verifica in una distribuzione temporanea della release candidate. AWS valuta le regole candidate in modalità count rispetto al traffico di produzione ed esegue le attività di ottimizzazione finale, inclusa l'attenuazione dei falsi positivi. AWS verifica le regole candidate al rilascio in questo modo per tutti i clienti che utilizzano la versione predefinita del gruppo di regole. Le distribuzioni Release Candidate non si applicano ai clienti che utilizzano una versione statica del gruppo di regole.

Se utilizzi la versione predefinita, una distribuzione Release Candidate non altererà il modo in cui il traffico web viene gestito dal gruppo di regole. Potresti notare quanto segue durante il test delle regole candidate:

  • Modifica del nome della versione predefinita da Default (using Version_X.Y) aDefault (using Version_X.Y_PLUS_RC_COUNT).

  • Metriche di conteggio aggiuntive in Amazon CloudWatch con RC_COUNT i loro nomi. Questi sono generati dalle regole del Release Candidate.

AWS testa una release candidate per circa una settimana, quindi la rimuove e reimposta la versione predefinita alla versione statica attualmente consigliata.

AWS esegue i seguenti passaggi per una distribuzione della release candidate:

  1. Crea la release candidate: AWS aggiunge una release candidate basata sulla versione statica attualmente consigliata, che è la versione a cui punta l'impostazione predefinita.

    Il nome della release candidate è il nome della versione statica a cui è stato aggiunto. _PLUS_RC_COUNT Ad esempio, se la versione statica attualmente consigliata èVersion_2.1, la release candidate verrà nominataVersion_2.1_PLUS_RC_COUNT.

    La release candidate contiene le seguenti regole:

    • Regole copiate esattamente dalla versione statica attualmente consigliata, senza modifiche alle configurazioni delle regole.

    • Proponi nuove regole con regole di azione impostate su Count e con nomi che terminano con_RC_COUNT.

      La maggior parte delle regole candidate fornisce miglioramenti proposti alle regole già esistenti nel gruppo di regole. Il nome di ciascuna di queste regole è il nome della regola esistente aggiunto con_RC_COUNT.

  2. Imposta la versione predefinita sulla release candidate e prova: AWS imposta la versione predefinita in modo che punti alla nuova release candidate, per eseguire test sul traffico di produzione. I test richiedono in genere circa una settimana.

    Vedrai che il nome della versione predefinita cambierà da quello che indica solo la versione statica, ad esempioDefault (using Version_1.4), a uno che indica la versione statica più le regole della release candidate, ad esempioDefault (using Version_1.4_PLUS_RC_COUNT). Questo schema di denominazione ti consente di identificare la versione statica che stai utilizzando per gestire il traffico web.

    Il diagramma seguente mostra lo stato delle versioni di esempio dei gruppi di regole a questo punto.

    Nella parte superiore della figura ci sono tre versioni statiche impilate, con Version_1.4 nella parte superiore. Separata dallo stack delle versioni statiche c'è la versione Version_1.4_ _RC_. PLUS COUNT Questa versione contiene le regole della Version_1.4 e contiene anche due regole Release Candidate, RuleB_RC_ e RuleZ_RC_, entrambe con count action. COUNT COUNT L'indicatore di versione predefinito COUNT punta a PLUS Version_1.4_ _RC_.

    Le regole della release candidate sono sempre configurate con Count azione, in modo da non alterare il modo in cui il gruppo di regole gestisce il traffico web.

    Le regole Release Candidate generano metriche di CloudWatch conteggio di Amazon che AWS vengono utilizzati per verificare il comportamento e identificare i falsi positivi. AWS apporta le modifiche necessarie, per ottimizzare il comportamento delle regole di conteggio delle release candidate.

    La versione release candidate non è una versione statica e non è possibile sceglierla dall'elenco delle versioni statiche dei gruppi di regole. È possibile visualizzare solo il nome della versione candidata alla release candidate nella specifica della versione predefinita.

  3. Riporta la versione predefinita alla versione statica consigliata: dopo aver testato le regole della release candidate, AWS riporta la versione predefinita alla versione statica attualmente consigliata. L'impostazione predefinita del nome della versione elimina la parte _PLUS_RC_COUNT finale e il gruppo di regole smette di generare metriche di CloudWatch conteggio per le regole della release candidate. Si tratta di una modifica silenziosa e non equivale all'implementazione di un rollback della versione predefinita.

    Il diagramma seguente mostra lo stato delle versioni del gruppo di regole di esempio dopo il completamento del test della release candidate.

    Questa è la versione tipica riportata di nuovo nella figura. Tre versioni statiche Version_1.2, Version_1.3 e Version_1.4 sono impilate con Version_1.4 in alto. La Version_1.4 ha due regole, RuleA e RuleB, entrambe con azione di produzione. Un indicatore di versione predefinito punta a Version_1.4.
Tempistica e notifiche

AWS distribuisce le versioni release candidate in base alle esigenze, per testare i miglioramenti apportati a un gruppo di regole.

  • SNS – AWS invia una SNS notifica all'inizio della distribuzione. La notifica indica il tempo stimato per il quale la release candidate verrà testata. Una volta completato il test, AWS ripristina silenziosamente l'impostazione predefinita della versione statica, senza una seconda notifica.

  • Registro delle modifiche — AWS non aggiorna il registro delle modifiche o altre parti di questa guida per questo tipo di distribuzione.