ボットコントロール戦略のデプロイと実装 - AWS 規範ガイダンス
実装戦略

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ボットコントロール戦略のデプロイと実装

ボットコントロールのデプロイ戦略を計画するときは、複数の要素を考慮する必要があります。ウェブアプリケーションの固有の特性に加えて、環境サイズ、開発プロセス、組織構造がデプロイ戦略に影響します。環境とアプリケーションの特性に応じて、一元化または分散されたデプロイ戦略を使用できます。

  • 一元化されたデプロイ戦略 – 一元化されたアプローチにより、ボット制御を厳密に実施したい場合に、より高いレベルの制御が可能になります。このアプローチは、アプリケーションチームが管理をオフロードしたい場合に適しています。一元化されたアプローチは、ウェブアプリケーションが同様の特性を共有する場合に最も効果的です。この場合、アプリケーションは一般的なボットコントロールルールとボット緩和アクションのセットから恩恵を受けます。

  • 分散型デプロイ戦略 — 分散型アプローチは、アプリケーションチームにボット制御設定を個別に定義して実装する自律性を提供します。このアプローチは、小規模な環境や、アプリケーションチームがボットコントロールポリシーに対する制御を維持する必要がある場合に一般的です。多くのウェブアプリケーションの性質上、独自のアプリケーション特性に合わせてカスタマイズされた独立したボット制御ポリシーを維持する必要があることがよくあり、分散型アプローチになります。

  • 複合戦略 — これら 2 つのアプローチの組み合わせは、ウェブアプリケーションの混在に適しています。例えば、これには、すべてのウェブ ACLs に適用される一連の基本ルールが含まれる場合がありますが、より具体的なボット制御ポリシーの管理はアプリケーションチームに委任されます。 

を使用してAWS Firewall Manager、ボットコントロールポリシーを定義する AWS WAF ウェブ ACLsを一元化および自動化できます。Firewall Manager を使用する場合は、アプリケーションチームに委任する必要があるかどうかを含め、ボットコントロールポリシーを一元化することが適切かどうかを検討してください。Firewall Manager では、タグ付けを使用して、アプリケーションチームが AWS WAF ポリシーをオプトインできるようにします。これにより AWS WAF 、インテリジェントな脅威の軽減機能が提供されます。アプリケーションおよびセキュリティオペレーションの集中 AWS WAF ログ記録を有効にすることもできます。

使用するデプロイ戦略にかかわらず、 や などのAWS CloudFormation Infrastructure as Code (IaC) ベースのフレームワークを使用してオンボーディングプロセスを定義および管理することをお勧めしますAWS Cloud Development Kit (AWS CDK)。これにより、設定オブジェクトを保存およびバージョン設定するためのソースコントロールを設定できます。詳細については、AWS CDK「 (GitHub) および CloudFormation (AWS ドキュメント) AWS WAF の設定サンプル」を参照してください。

実装戦略

デプロイ戦略を選択すると、実装を開始できます。デプロイ戦略は、異なるアプリケーションにルールをロールアウトする方法を定義します。実装戦略では、コントロールの追加、テスト、継続的なモニタリング、効果の評価という反復的なプロセスに焦点を当てています。

トラフィックパターンを理解する

トラフィックパターンを本当に理解するには、アプリケーションのビジネス機能や、使用パターン、キーリソース、ユーザーペルソナなどの期待される属性について理解することが重要です。アプリケーションに対するテスト中に生成された本番トラフィックとトラフィックを組み込み、評価のベースラインを確立します。複数の使用量のピークを十分に表すトラフィックデータが時間枠に含まれていることを確認してください。

任意のツールを使用して、代表的な使用期間におけるトラフィックログとメトリクスを確認します。headers ( User-Agentや などReferer)、、 などの AWS WAF ログフィールドをフィルタリングして、異常なリクエストのログデータを分析しますcountryclientIp。ユニフォームリソース識別子 (URIsとそのアクセス頻度を書き留めます。適切なボットの特定など、トラフィックを分類します。例えば、検索エンジンクローラーやモニターなどの有益なボットへのアクセスを許可します。

AWS WAF コンソールの Bot Control ダッシュボード で、アクティブなウェブ ACL でボットアクティビティのサンプルを使用できます。これにより、一般的なボットリクエストボリュームの初期的な視点が得られますが、ボットのアクティビティをよりよく理解するために、さらに設定と分析を実行します。

効果的な実装を行うには、ボットトラフィック、その効果、およびどのボットリクエストが有益か悪意のあるものかを十分に理解する必要があります。これは、次のフェーズ、コントロールの選択、ボットトラフィックの並列評価に役立ちます。

コントロールの選択と追加

初期トラフィック分析は、使用するボットコントロールと、それぞれに対して選択するアクションを決定するのに役立ちます。また、今後のアクションに備えて、アクティビティをログに記録してモニタリングすることもできます。初期トラフィック分析は、トラフィックを管理するための最適なコントロールを選択するのに役立ちます。使用可能なコントロールの詳細については、ボット制御のテクニックこのガイドの「」を参照してください。

このステップでは、追加の SDK 実装を含めることを検討してください。これにより、必要なすべてのアプリケーションで SDK の実装をテストして完了できます。 AWS WAF ボット制御および不正制御ルールは、 JavaScript SDK またはモバイル SDK を実装するときに完全なトークン評価の利点を提供します。詳細については、 AWS WAF ドキュメントの「アプリケーション統合 SDKs」を参照してください。

次のように、さまざまなアプリケーションタイプにトークン取得を実装することをお勧めします。

  • 単一ページアプリケーション (SPA) – JavaScript SDK (リダイレクトなし)

  • モバイルブラウザ – JavaScript SDK またはルールアクション (CAPTCHA またはチャレンジ)

  • ウェブビュー – JavaScript SDK またはルールアクション (CAPTCHA またはチャレンジ)

  • ネイティブアプリケーション – Mobile SDK

  • iFrames – JavaScript SDK

SDKsAWS WAF 「クライアントアプリケーション統合」を参照してください。 AWS WAF

テストと本番環境へのデプロイ

コントロールは、最初に非本番環境にデプロイする必要があります。この環境では、テストを実行して、期待されるウェブアプリケーションの機能が保持されていることを確認できます。本番環境にデプロイする前に、テスト環境で常に徹底的な検証を実行してください。

非本番環境でテストと検証を行った後、本番リリースを続行できます。予想されるユーザートラフィックが最も少ない日付と時刻を選択します。デプロイする前に、アプリケーションチームとセキュリティチームは運用準備状況を確認し、変更をロールバックする方法を説明し、ダッシュボードを確認して、必要なすべてのメトリクスとアラームが設定されていることを確認する必要があります。

Amazon CloudFront の継続的デプロイ では、ウェブ AWS WAF ACL がボット制御評価専用に設定されたステージングディストリビューションに少量のトラフィックを送信できます。 は、新規または更新されたマネージドルールのバージョン管理 AWS WAF を提供するため、本番トラフィックの評価を開始する前に変更をテストおよび承認できます。

コントロールの評価と調整

実装されたコントロールにより、トラフィックのアクティビティとパターンに関する詳細なインサイトと可視性を提供できます。セキュリティコントロールを追加または調整するために、アプリケーショントラフィックを頻繁にモニタリングおよび分析します。通常、潜在的な偽陰性と偽陽性を軽減するための調整フェーズがあります。偽陰性は、コントロールによって捕捉されなかった攻撃であり、ルールを強化する必要があります。誤検出は、攻撃として誤って識別され、結果としてブロックされた正当なリクエストを表します。

分析とチューニングは、手動で行うか、ツールを使って行うことができます。Security Information and Event Management (SIEM) システムは、メトリクスとインテリジェントなモニタリングを提供するのに役立つ一般的なツールです。洗練度が異なるものも多数ありますが、すべてトラフィックに関するインサイトを得るための出発点として最適です。

ウェブサイトやアプリケーションの重要な主要業績評価指標 (KPIsを定義すると、モノが期待どおりに動作していないタイミングをより迅速に特定できます。例えば、クレジットカードのチャージバック、アカウントごとの売上、または変換率を、ボットによって生成される可能性のあるビジネス異常の指標として使用できます。モニタリングする価値のあるメトリクスと KPIs を定義して理解することは、モニタリングの行為よりもさらに重要です。

ボットコントロールソリューションから適切なメトリクスとログを取得する方法を理解することは、モニタリングするメトリクスを特定するのと同じくらい重要です。次のセクション「」ではボットコントロール戦略のモニタリングに関するガイドライン、考慮すべきモニタリングと可視性のオプションについて詳しく説明します。