AWS WAF — Regole basate sulla tariffa - AWS Le migliori pratiche per la DDoS resilienza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS WAF — Regole basate sulla tariffa

AWS consiglia vivamente di proteggersi dal HTTP sovraffollamento di richieste utilizzando le regole basate sulla frequenza AWS WAF per bloccare automaticamente gli indirizzi IP dei malintenzionati quando il numero di richieste ricevute in una finestra scorrevole di 5 minuti supera una soglia definita dall'utente. Gli indirizzi IP dei client offensivi riceveranno una risposta proibita 403 (o una risposta di errore di blocco configurata) e rimarranno bloccati fino a quando la frequenza delle richieste non scenderà al di sotto della soglia.

Si consiglia di stratificare le regole basate sulla frequenza per fornire una protezione avanzata in modo da avere:

  • Una regola generale basata sulla tariffa per proteggere l'applicazione da alluvioni di grandi dimensioni. HTTP

  • Una o più regole basate sulle tariffe per proteggere aliquote specifiche e più restrittive rispetto URIs alla regola generale basata sulle tariffe.

Ad esempio, puoi scegliere una regola generica basata sulla tariffa (nessuna dichiarazione riduttiva) con un limite di 500 richieste in un periodo di 5 minuti e quindi creare una o più delle seguenti regole basate sulla tariffa con limiti inferiori a 500 (fino a 100 richieste in un periodo di 5 minuti) utilizzando istruzioni con ambito limitato:

  • Proteggi le tue pagine Web con un'istruzione delimitata come ""if NOT uri_path contains '.', in modo che le richieste di risorse senza estensione di file siano ulteriormente protette. In questo modo si protegge anche la home page (/), che è spesso un percorso mirato. URI

  • Proteggi gli endpoint dinamici con un'istruzione «scope-down» come "» if method exactly matches 'post' (convert lowercase)

  • Proteggi le richieste più complesse che raggiungono il tuo database o richiama una password monouso (OTP) con un ambito decrescente come "» if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'

I sistemi basati sulla tariffa in modalità «Block» sono alla base della defense-in-depth WAF configurazione per la protezione contro il sovraffollamento di richieste e sono un requisito fondamentale per l'approvazione delle richieste di protezione dei costi. AWS Shield Advanced Esamineremo le defense-in-depth WAF configurazioni aggiuntive nelle seguenti sezioni.