Apresentando uma nova experiência de console para AWS WAF
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Testando e implantando o DDo Anti-S
Você desejará configurar e testar a prevenção de negação de serviço AWS WAF distribuída (DDoS) antes de implantar o recurso. Esta seção fornece orientação geral para configuração e teste, no entanto, as etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e solicitações da web que você receber.
Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em Testando e ajustando suas AWS WAF proteções.
nota
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de Regras AWS Gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o Modelo de Responsabilidade Compartilhada
Risco de tráfego de produção
Teste e ajuste sua implementação DDo anti-S em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las.
Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia.
Para configurar e testar uma implementação de prevenção de negação de serviço AWS WAF distribuída (DDoS)
Execute estas etapas primeiro em um ambiente de teste e depois na produção.
-
Adicione o grupo de regras gerenciadas de prevenção de negação de serviço AWS WAF distribuído (DDoS) no modo de contagem
nota
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte AWS WAF Preço
. Adicione o grupo de regras de regras AWS gerenciadas
AWSManagedRulesAntiDDoSRuleSeta um pacote de proteção novo ou existente (Web ACL) e configure-o para que ele não altere o comportamento atual do pacote de proteção (Web ACL). Para obter detalhes sobre as regras e rótulos desse grupo de regras, consulte AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS).-
Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte:
-
No painel Configuração do grupo de regras, forneça os detalhes necessários para realizar atividades DDo anti-S para seu tráfego na web. Para obter mais informações, consulte Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL).
-
No painel Regras, abra o menu suspenso Substituir todas as ações da regra e escolha Count. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para obter mais informações, consulte Substituir ações de regra para um grupo de regras.
Com essa substituição, você pode monitorar o impacto potencial das regras gerenciadas pelo DDo Anti-S para determinar se deseja fazer modificações, como expandir a expressão regular para aquelas URIs que não conseguem lidar com um desafio de navegador silencioso.
-
-
Posicione o grupo de regras para que ele seja avaliado o mais cedo possível, imediatamente após qualquer regra que permita tráfego. As regras são avaliadas em ordem crescente de prioridade numérica. O console define a ordem para você, começando no topo da sua lista de regras. Para obter mais informações, consulte Definindo a prioridade da regra.
-
-
Ative o registro e as métricas para o pacote de proteção (web ACL)
Conforme necessário, configure o registro, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para o pacote de proteção (web ACL). Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do DDo Anti-S com seu tráfego.
-
Para obter informações sobre como configurar e usar logs, consulte Registrando o tráfego do pacote de AWS WAF proteção (Web ACL).
-
Para obter informações sobre o Amazon Security Lake, consulte O que é o Amazon Security Lake? e Coleta de dados de AWS serviços no guia do usuário do Amazon Security Lake.
-
Para obter informações sobre CloudWatch as métricas da Amazon, consulteMonitoramento com a Amazon CloudWatch.
-
Para obter informações sobre amostragem de solicitações da web, consulte Visualizar um exemplo de solicitações da web.
-
-
Associar o pacote de proteção (web ACL) a um recurso
Se o pacote de proteção (Web ACL) ainda não estiver associado a um recurso de teste, associe-o. Para mais informações, consulte Associar ou desassociar a proteção a um recurso AWS.
-
Monitore o tráfego e as correspondências DDo de regras Anti-S
Verifique se o tráfego normal está fluindo e se as regras do grupo de regras gerenciadas pelo DDo Anti-S estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver as métricas do DDo Anti-S e do rótulo nas CloudWatch métricas da Amazon. Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em
ruleGroupListcomactiondefinido para contar e comoverriddenActionindicando a ação de regra configurada que você substituiu. -
Personalize o tratamento de solicitações web do DDo Anti-S
Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras DDo Anti-S lidariam com elas.
Por exemplo, você pode usar rótulos DDo Anti-S para permitir ou bloquear solicitações ou para personalizar o tratamento de solicitações. Você pode adicionar uma regra de correspondência de rótulos após o grupo de regras gerenciadas do DDo Anti-S para filtrar solicitações rotuladas para o tratamento que você deseja aplicar. Após o teste, mantenha as regras DDo anti-S relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada.
-
Remova as regras de teste e defina as configurações do DDo Anti-S
Analise os resultados do teste para determinar quais regras DDo anti-S você deseja manter no modo de contagem somente para monitoramento. Para todas as regras que você deseja executar com a proteção ativa, desative o modo de contagem na configuração do grupo de regras do pacote de proteção (Web ACL) para permitir que elas executem suas ações configuradas. Depois de finalizar essas configurações, remova todas as regras temporárias de correspondência de rótulos de teste, mantendo as regras personalizadas que você criou para uso em produção. Para considerações adicionais sobre a configuração do DDo Anti-S, consulteMelhores práticas para mitigação inteligente de ameaças em AWS WAF.
-
Monitore e ajuste
Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a funcionalidade DDo Anti-S que você pretende usar. Ajuste o comportamento conforme necessário com a substituição da contagem de regras no grupo de regras e com suas próprias regras.
