Monitoraggio e ottimizzazione del AWS WAF protezioni - AWS WAF, AWS Firewall Manager e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio e ottimizzazione del AWS WAF protezioni

Questa sezione descrive come monitorare e ottimizzare AWS WAF protezioni.

Nota

Per seguire le indicazioni riportate in questa sezione, è necessario comprendere in generale come creare e gestire AWS WAF protezioni come webACLs, regole e gruppi di regole. Queste informazioni sono trattate nelle sezioni precedenti di questa guida.

Monitora il traffico web e la corrispondenza delle regole per verificare il comportamento del WebACL. Se riscontri problemi, modifica le regole per correggerle, quindi monitora per verificare le modifiche.

Ripeti la procedura seguente finché ACL il Web non gestirà il traffico Web come necessario.

Per monitorare e ottimizzare
  1. Monitora il traffico e regola le corrispondenze

    Assicurati che il traffico scorra e che le regole del test trovino le richieste corrispondenti.

    Cerca le seguenti informazioni per le protezioni che stai testando:

    • Registri: accedi alle informazioni sulle regole che corrispondono a una richiesta web:

      • Le tue regole: regole del Web ACL che hanno Count le azioni sono elencate sottononTerminatingMatchingRules. Regole con Allow oppure Block sono elencati cometerminatingRule. Regole con CAPTCHA oppure Challenge possono essere terminanti o non terminanti e quindi sono elencate in una delle due categorie, in base al risultato della corrispondenza delle regole.

      • Gruppi di regole: i gruppi di regole sono identificati nel ruleGroupId campo e le rispettive corrispondenze di regole sono classificate nella stessa categoria delle regole autonome.

      • Etichette: le etichette che le regole hanno applicato alla richiesta sono elencate nel Labels campo.

      Per ulteriori informazioni, consulta Campi di registro per il ACL traffico web.

    • CloudWatch Parametri Amazon: puoi accedere ai seguenti parametri per la valutazione delle tue ACL richieste web.

      • Le tue regole: le metriche sono raggruppate in base all'azione della regola. Ad esempio, quando si verifica una regola in Count modalità, le relative corrispondenze sono elencate come Count metriche per il WebACL.

      • I tuoi gruppi di regole: le metriche per i tuoi gruppi di regole sono elencate sotto le metriche dei gruppi di regole.

      • Gruppi di regole di proprietà di un altro account: le metriche dei gruppi di regole sono generalmente visibili solo al proprietario del gruppo di regole. Tuttavia, se sovrascrivi l'azione della regola per una regola, le metriche relative a quella regola verranno elencate nelle tue metriche web. ACL Inoltre, le etichette aggiunte da qualsiasi gruppo di regole sono elencate nelle metriche web ACL

        I gruppi di regole di questa categoria sonoProtezione dalle minacce web più comuni con AWS Regole gestite per AWS WAF, Marketplace AWS gruppi di regole gestitiUtilizzo di gruppi di regole forniti da altri servizi, e i gruppi di regole condivisi con te da un altro account.

      • Etichette: le etichette che sono state aggiunte a una richiesta Web durante la valutazione sono elencate nelle metriche delle ACL etichette Web. Puoi accedere alle metriche per tutte le etichette, indipendentemente dal fatto che siano state aggiunte dalle tue regole e dai tuoi gruppi di regole o dalle regole di un gruppo di regole di proprietà di un altro account.

      Per ulteriori informazioni, consulta Visualizzazione delle metriche per il tuo web ACL.

    • Dashboard di panoramica ACL del traffico Web: accedi ai riepiloghi del traffico Web ACL valutato da un sito Web accedendo alla pagina Web ACL nel AWS WAF console e apertura della scheda Panoramica del traffico.

      Le dashboard di panoramica sul traffico forniscono riepiloghi quasi in tempo reale delle metriche di Amazon CloudWatch che AWS WAF raccoglie quando valuta il traffico web dell'applicazione.

      Per ulteriori informazioni, consulta Dashboard di panoramica sul traffico ACL Web.

    • Richieste Web campionate: accedi alle informazioni per le regole che corrispondono a un campione di richieste Web. Le informazioni di esempio identificano le regole di corrispondenza in base al nome della metrica della regola nel Web. ACL Per i gruppi di regole, la metrica identifica la dichiarazione di riferimento del gruppo di regole. Per le regole all'interno dei gruppi di regole, l'esempio elenca il nome della regola corrispondente in. RuleWithinRuleGroup

      Per ulteriori informazioni, consulta Visualizzazione di un esempio di richieste Web.

  2. Configura le mitigazioni per risolvere i falsi positivi

    Se stabilisci che una regola genera falsi positivi, abbinando le richieste web laddove non dovrebbe, le seguenti opzioni possono aiutarti a ottimizzare le tue ACL protezioni web per mitigarle.

    Correzione dei criteri di ispezione delle regole

    Per quanto riguarda le regole, spesso è sufficiente modificare le impostazioni che si utilizzano per esaminare le richieste Web. Gli esempi includono la modifica delle specifiche in un set di pattern regex, la regolazione delle trasformazioni di testo applicate a un componente della richiesta prima dell'ispezione o il passaggio all'utilizzo di un indirizzo IP inoltrato. Consulta la guida per il tipo di regola che causa problemi, sotto. Utilizzo delle istruzioni delle regole in AWS WAF

    Correzione di problemi più complessi

    Per i criteri di ispezione che non controllate e per alcune regole complesse, potrebbe essere necessario apportare altre modifiche, ad esempio aggiungere regole che consentano o blocchino esplicitamente le richieste o che eliminino le richieste dalla valutazione in base alla regola problematica. I gruppi di regole gestiti richiedono in genere questo tipo di mitigazione, ma lo possono fare anche altre regole. Gli esempi includono l'istruzione rate-based rule e l'istruzione SQL injection attack rule.

    Ciò che fai per mitigare i falsi positivi dipende dal tuo caso d'uso. Gli approcci più comuni sono i seguenti:

    • Aggiungi una regola di attenuazione: aggiungi una regola che viene eseguita prima della nuova regola e che consente esplicitamente le richieste che causano falsi positivi. Per informazioni sull'ordine di valutazione delle regole in un WebACL, consulta. Impostazione della priorità delle regole in un Web ACL

      Con questo approccio, le richieste consentite vengono inviate alla risorsa protetta, in modo che non raggiungano mai la nuova regola di valutazione. Se la nuova regola è un gruppo di regole gestito a pagamento, questo approccio può anche aiutare a contenere i costi legati all'utilizzo del gruppo di regole.

    • Aggiungi una regola logica con una regola attenuante: utilizza le istruzioni delle regole logiche per combinare la nuova regola con una regola che esclude i falsi positivi. Per informazioni, consultare Utilizzo di istruzioni di regole logiche in AWS WAF.

      Ad esempio, supponiamo che tu stia aggiungendo un'istruzione SQL injection attack match che genera falsi positivi per una categoria di richieste. Create una regola che corrisponda a tali richieste, quindi combinate le regole utilizzando le istruzioni delle regole logiche in modo da ottenere la corrispondenza solo per le richieste che non soddisfano i criteri dei falsi positivi e corrispondono ai criteri di attacco di SQL iniezione.

    • Aggiungi un'istruzione scope-down: per le istruzioni basate sulla frequenza e le istruzioni di riferimento per gruppi di regole gestite, escludi dalla valutazione le richieste che generano falsi positivi aggiungendo un'istruzione scope-down all'interno dell'istruzione principale.

      Una richiesta che non corrisponde all'istruzione scope-down non raggiunge mai il gruppo di regole o la valutazione basata sulla frequenza. Per informazioni sulle istruzioni scope-down, consulta. Utilizzo di istruzioni scope-down in AWS WAF Per vedere un esempio, consulta Esclusione dell'intervallo IP dalla gestione dei bot.

    • Aggiungi una regola di corrispondenza delle etichette: per i gruppi di regole che utilizzano l'etichettatura, identifica l'etichetta che la regola problematica sta applicando alle richieste. Potrebbe essere necessario impostare prima le regole del gruppo di regole in modalità conteggio, se non l'hai già fatto. Aggiungi una regola di corrispondenza delle etichette, posizionata in modo da seguire il gruppo di regole, che corrisponda all'etichetta aggiunta dalla regola problematica. Nella regola di corrispondenza delle etichette, puoi filtrare le richieste che desideri consentire da quelle che desideri bloccare.

      Se utilizzi questo approccio, al termine del test, mantieni la regola problematica in modalità di conteggio nel gruppo di regole e mantieni valida la regola di abbinamento delle etichette personalizzata. Per informazioni sulle istruzioni di abbinamento delle etichette, consultaDichiarazione della regola di corrispondenza delle etichette. Per alcuni esempi, consulta Autorizzazione di uno specifico bot bloccato e Esempio ATP: gestione personalizzata delle credenziali mancanti e compromesse.

    • Modifica della versione di un gruppo di regole gestito: per i gruppi di regole gestiti con versioni diverse, modifica la versione che stai utilizzando. Ad esempio, puoi tornare all'ultima versione statica che stavi utilizzando correttamente.

      Di solito si tratta di una soluzione temporanea. È possibile modificare la versione per il traffico di produzione mentre si continua a testare la versione più recente nell'ambiente di test o di staging o mentre si attende una versione più compatibile fornita dal provider. Per informazioni sulle versioni dei gruppi di regole gestiti, consultaUtilizzo di gruppi di regole gestiti in AWS WAF.

Quando ritieni che le nuove regole soddisfino le richieste necessarie, passa alla fase successiva del test e ripeti questa procedura. Eseguite la fase finale di test e ottimizzazione nel vostro ambiente di produzione.