Apresentando uma nova experiência de console para AWS WAF
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte Trabalhando com o console.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Escolhendo e configurando o Bot Control para seu caso de uso
O Bot Control protege contra uma variedade de ameaças automatizadas. A configuração correta depende do que você está protegendo e das ameaças que enfrenta. Use este tópico para escolher o nível de proteção correto e configurar o Bot Control para cenários comuns de aplicativos.
Combinando o Bot Control com seu aplicativo
As ameaças de bots geralmente se enquadram em três categorias:
-
Ameaças de fraude — preenchimento de credenciais, contas falsas e compras automatizadas.
-
Ameaças de conteúdo — coleta de dados de preços, catálogos de produtos e conteúdo publicado.
-
Ameaças à disponibilidade — volume de tráfego de bots que degrada o desempenho ou aumenta os custos de infraestrutura.
Para a maioria dessas ameaças, recomendamos o nível de proteção direcionado com os SDKs de integração de aplicativos clientes. Os cenários a seguir descrevem como configurar o Bot Control para cada um.
Protegendo páginas de login e conta
Os ataques de preenchimento de credenciais e invasão de contas usam ferramentas automatizadas para testar credenciais roubadas em seus endpoints de login. A fraude na criação de contas usa bots para criar contas falsas em grande escala. Integre o SDK de integração de aplicativos em seu site e combine o Bot Control com os grupos de regras gerenciados do AWS WAF Fraud Control para proteção de login e criação de contas.
Protegendo catálogos de produtos e dados de preços
Se seu aplicativo exibir informações sobre produtos, preços, níveis de estoque ou outros dados competitivos, os bots podem coletar esse conteúdo para alimentar a inteligência da concorrência, criar sites de comparação ou reduzir seus preços. Esses raspadores geralmente imitam navegadores reais e alternam entre endereços IP residenciais para evitar a detecção. Aplique o Bot Control em suas páginas de produtos e catálogos, não apenas na finalização da compra. Dessa forma, o Bot Control pode detectar os padrões comportamentais da raspagem automatizada, mesmo quando o bot parece ser um navegador normal.
Protegendo o conteúdo publicado
Editores de conteúdo, sites de notícias e plataformas de mídia enfrentam bots que copiam artigos, imagens e outros conteúdos originais. Esse roubo de conteúdo pode diluir suas classificações de pesquisa, reduzir a receita de anúncios e minar sua posição competitiva. Aplique o Bot Control em suas páginas de conteúdo. Use o painel de controle de bots para monitorar quais bots estão acessando seu conteúdo e decidir como lidar com cada categoria. Para obter mais informações, consulte AWS WAF Componentes do Controle de Bots.
Reduzindo os custos de infraestrutura causados por rastreadores indesejados
Raspadores, rastreadores e ferramentas automatizadas podem gerar alto volume de tráfego, aumentando seus custos de computação e transferência de dados sem agregar valor comercial. O Bot Control identifica bots autodeclarados por categoria, como scrapers, bibliotecas HTTP e estruturas de rastreamento. Em seguida, você pode bloquear ou limitar cada categoria de forma independente usando rótulos. Para a captura evasiva, a proteção direcionada detecta bots que disfarçam sua identidade, incluindo aqueles que usam proxies residenciais e navegadores sem cabeça.
Protegendo transações de alto valor
Fluxos de checkout, compras com estoque limitado e venda de ingressos são alvos de bots de compra automatizados que competem com clientes legítimos. O Bot Control detecta navegadores automatizados, como Selenium e Puppeteer, e aplica limitação de taxa em nível de sessão para evitar que um único cliente monopolize o inventário. Integre os SDKs em suas páginas de transação para obter a maior precisão de detecção.
Gerenciando rastreadores de IA e treinando raspadores de dados
Os bots de IA coletam conteúdo do seu aplicativo para treinar modelos ou exibir dados em aplicativos de IA. O Bot Control categoriza bots de IA conhecidos. Crie regras personalizadas para permitir bots de IA específicos que você deseja permitir, como rastreadores de mecanismos de pesquisa verificados, e bloqueie ou limite a taxa de outros. Para agentes de IA que usam estruturas de automação do navegador para interagir com seu aplicativo, o Bot Control detecta e desafia essas sessões automatizadas. Com o Web Bot Authentication (WBA), agentes legítimos de IA podem provar criptograficamente sua identidade. Isso fornece um sinal confiável para distinguir agentes autorizados de agentes não autorizados. Para obter mais informações sobre o WBA, consulteAutenticação de web bot para agentes de IA.
Protegendo aplicativos móveis
Os aplicativos móveis enfrentam ameaças de bots semelhantes aos aplicativos da Web, mas seu tráfego tem características diferentes. Os clientes móveis usam agentes de usuário que não são do navegador. As solicitações HTTP de estruturas nativas de aplicativos móveis são excluídas da SignalNonBrowserUserAgent regra do Bot Control, mas bibliotecas HTTP não padrão e navegadores no aplicativo não são. Integre o SDK AWS WAF móvel ao seu aplicativo iOS ou Android para fornecer os tokens do lado do cliente que a proteção direcionada usa para uma detecção precisa.
Escolher entre proteção comum e direcionada
O Bot Control oferece dois níveis de proteção. A orientação a seguir ajuda você a escolher o nível certo para sua aplicação.
Nível de proteção comum
A proteção comum detecta bots que se identificam por meio de sequências de caracteres de agente de usuário, endereços IP e outras características de solicitação. Ele verifica se os bots que afirmam ser de organizações conhecidas (como mecanismos de pesquisa) realmente se originam dessas organizações. A proteção comum oferece visibilidade de quem está visitando seu aplicativo e permite que você controle cada categoria de bot de forma independente. Ele não exige os SDKs e tem um custo menor por solicitação. A proteção comum é um bom ponto de partida quando você precisa gerenciar principalmente o tráfego conhecido de bots, como bloquear raspadores indesejados e permitir rastreadores de mecanismos de pesquisa.
Nível de proteção direcionado
O nível de proteção direcionado detecta tudo o que o nível de proteção comum detecta e adiciona detecção para bots que não se identificam. Ele usa interrogação de navegador, impressão digital TLS, heurística comportamental e aprendizado de máquina para distinguir clientes automatizados de humanos. O aprendizado de máquina analisa os padrões de tráfego específicos do seu site, incluindo registros de data e hora, características do navegador e comportamento de navegação. Ele atualiza sua detecção à medida que o tráfego muda e as táticas dos bots mudam. A proteção direcionada é recomendada para aplicativos que enfrentam excesso de credenciais, coleta avançada, compra automatizada ou qualquer atividade de bot em que o invasor tente ativamente evitar a detecção.
Para a maioria dos aplicativos web de produção, recomendamos proteção direcionada. Para obter orientação sobre como configurar a proteção direcionada para cenários específicos, consulteCombinando o Bot Control com seu aplicativo. Para obter orientação sobre como gerenciar custos em altos volumes de tráfego, consulteGerenciar custos.
| Comum | Targeted | |
|---|---|---|
| Detecta bots que se identificam automaticamente | Sim | Sim |
| Verifica bots legítimos (mecanismos de pesquisa, serviços de monitoramento) | Sim | Sim |
| Detecta bots que escondem sua identidade | Não | Sim |
| Aprendizado de máquina adaptado ao seu tráfego | Não | Sim |
| Session-level limitação de taxa | Não | Sim |
| Detecta ferramentas de automação do navegador | Sim (autoidentificação) | Sim (incluindo evasivo) |
| SDKs de integração de aplicativos clientes | Não obrigatório | Altamente recomendado |
Verificando a versão do seu grupo de regras
O grupo de regras gerenciadas do Bot Control é atualizado ao longo do tempo com novos recursos de detecção. Verifique qual versão você está usando atualmente e se uma versão estática mais recente está disponível. As versões mais recentes incluem detecções adicionais que podem aumentar sua cobertura contra novas ameaças de bots. Você pode revisar as versões disponíveis e suas alterações noAWS Registro de alterações das regras gerenciadas.
Como funciona a detecção do Bot Control
O Bot Control rotula cada solicitação que avalia com uma classificação granular: nome do bot, categoria, organização e status de verificação. Você escreve regras que correspondem a esses rótulos para decidir qual ação tomar para cada tipo de bot. Isso lhe dá controle total, em vez de uma única decisão de permitir ou bloquear todo o tráfego de bots.
No nível de proteção direcionado, o Bot Control combina várias técnicas de detecção. Isso inclui correspondência de assinaturas, interrogação do navegador, impressão digital TLS, heurística comportamental e aprendizado de máquina ajustado aos padrões de tráfego do seu site. Um bot que foge de uma técnica pode ser capturado por outra. O aprendizado de máquina também detecta atividades coordenadas de bots: padrões em que vários clientes trabalham juntos de maneiras que a análise de solicitações individuais perderia. Para obter uma descrição detalhada de todos os componentes do Bot Control, consulteAWS WAF Componentes do Controle de Bots. Para obter uma explicação de como as CAPTCHA interações Challenge e funcionam entre o cliente e AWS WAF, consulte. CAPTCHAe Challenge em AWS WAF
Gerenciar custos
Seus custos de uso do grupo de regras gerenciadas do Bot Control aumentam com o número de solicitações da web que são AWS WAF avaliadas com ele. Para a maioria dos aplicativos, o custo do Bot Control é justificado pela proteção que ele oferece. O bloqueio do tráfego de bots reduz seus custos de computação, largura de banda e transferência de dados, geralmente em mais do que o custo da inspeção em si. Se você precisar otimizar ainda mais os custos, as estratégias a seguir podem ajudar.
Excluir ativos estáticos
A otimização de custo mais simples é excluir solicitações de tipos de arquivos estáticos.css, como,, e .png.jpg, da inspeção .svg do Bot Control. Os bots que têm como alvo os dados e a funcionalidade do seu aplicativo atingem endpoints dinâmicos, não suas folhas de estilo ou imagens. Isso reduz as solicitações inspecionadas sem reduzir a eficácia da detecção. Para ver um exemplo, consulte Exemplo de Controle de Bots: usar o Controle de Bots somente para conteúdo dinâmico.
Regras de pedidos para eficiência
Coloque regras mais baratas antes do grupo de regras gerenciadas do Bot Control em seu pacote de proteção (web ACL). Regras como listas de reputação de IP, restrições geográficas e regras baseadas em tarifas podem bloquear tráfego claramente indesejado antes que ele chegue à inspeção paga do Bot Control. Solicitações bloqueadas por regras anteriores nunca são avaliadas pelo Bot Control, então você não incorre na taxa adicional por solicitação.
Escopo para endpoints específicos quando apropriado
Para alguns aplicativos, talvez você queira aplicar o Bot Control somente em partes específicas do seu site. Por exemplo, se seu aplicativo tiver uma seção de informações públicas que não contenha dados confidenciais ou conteúdo valioso, você poderá excluí-la da inspeção. Tenha cuidado para não excluir páginas que contenham conteúdo que vale a pena proteger, como catálogos de produtos, dados de preços ou artigos publicados. Para ver um exemplo, consulte Exemplo de Controle de Bots: usar o Controle de Bots somente para a página de login.
Integrando os SDKs de integração de aplicativos clientes
Use os SDKs móveis JavaScript e os SDKs para maximizar a eficácia da proteção direcionada. Os SDKs fornecem impressões digitais do navegador, gerenciamento de tokens de desafios e telemetria comportamental que as regras específicas usam para detecção em nível de sessão. Uma sessão aqui é identificada pelo token do cliente que o SDK adquire, que representa um navegador ou dispositivo específico. Sem os SDKs, a proteção direcionada tem muito menos contexto para trabalhar e não pode distinguir com segurança bots avançados de usuários legítimos.
Integre o SDK desde o início
Ao implantar a proteção direcionada, integre os SDKs ao mesmo tempo. Isso se aplica se você estiver implantando na produção ou avaliando o Bot Control em um ambiente de teste. Avaliar a proteção direcionada sem os SDKs não fornece uma imagem precisa de seus recursos de detecção, porque muitas das regras direcionadas dependem dos sinais do lado do cliente que somente os SDKs fornecem.
Ampla integração recomendada
Para uma detecção mais forte, integre o JavaScript SDK em todas as páginas que veiculam conteúdo dinâmico, não apenas no login ou na finalização da compra. O Bot Control cria perfis comportamentais a partir de como os clientes navegam em seu aplicativo, incluindo tempo de solicitação, sequências de páginas e padrões de interação. Quando o SDK está presente em apenas uma única página, o Bot Control tem um contexto comportamental limitado para distinguir um usuário real de um bot que aprendeu a imitar o carregamento de uma página. Uma integração mais ampla dá ao Bot Control uma imagem mais rica de cada sessão do cliente, o que melhora a detecção de bots avançados, como botnets proxy residenciais. No mínimo, integre o SDK em suas páginas mais importantes, mas trate isso como um ponto de partida e não como um estado final.
Aplicações móveis
Para aplicativos iOS e Android, use o SDK AWS WAF móvel. O SDK móvel lida com a aquisição e renovação de tokens em seu aplicativo. Para saber mais sobre os SDKs, consulte Integrações de aplicativos clientes em AWS WAF.
Ajustes comuns de configuração
A maioria das implantações do Bot Control exige alguns ajustes de configuração para corresponder às características específicas do tráfego do seu aplicativo. A seguir estão os ajustes mais comuns.
Permitindo ferramentas de monitoramento e verificação de integridade
Ferramentas internas de monitoramento, verificadores de tempo de atividade e verificações de integridade do balanceador de carga geram tráfego automatizado que o Bot Control pode identificar como atividade de bot. Exclua essas solicitações da inspeção do Bot Control usando uma declaração de escopo que corresponda ao intervalo de endereços IP de origem ou um cabeçalho personalizado que suas ferramentas de monitoramento incluem.
Excluindo navegadores no aplicativo e bibliotecas HTTP não padrão
Se os usuários acessarem seu site por meio de navegadores no aplicativo, como links abertos em aplicativos de mídia social, ou se seu aplicativo móvel usar uma biblioteca HTTP não padrão, esses clientes poderão acionar a SignalNonBrowserUserAgent regra. Estruturas móveis nativas padrão são excluídas dessa regra, mas outros agentes de usuário que não são do navegador não são. Configure uma exceção de agente de usuário no grupo de regras do Bot Control para esses clientes. Para ver um exemplo, consulte Exemplo de Controle de Bots: criar uma exceção para um agente de usuário bloqueado.
Gerenciando rastreadores de bots verificados
O Bot Control permite bots verificados por padrão. Se você quiser limitar a taxa até mesmo de rastreadores verificados, por exemplo, para reduzir a carga do rastreamento agressivo, mas legítimo, em mecanismos de pesquisa, use os rótulos de bots para criar regras personalizadas baseadas em taxas que limitam a taxa de solicitação para categorias específicas de bots verificados. Para ver um exemplo, consulte Exemplo de Controle de Bots: permitir explicitamente bots verificados.
Encaminhando sinais de bot para sua origem
Você pode passar rótulos de classificação do Bot Control para seu aplicativo como cabeçalhos de solicitação personalizados. Em seguida, sua origem pode usar os rótulos para fornecer conteúdo simplificado a suspeitos de usá-los, registrar a atividade do bot em suas próprias análises ou incluir um identificador de solicitação nas páginas de bloqueio para denúncias de falsos positivos. Use o recurso de cabeçalho de solicitação AWS WAF personalizado para inserir cabeçalhos com base nas correspondências de rótulos. Para obter mais informações sobre valores de rótulos dinâmicos em cabeçalhos, consulteSolicitações e respostas personalizadas da web em AWS WAF.
Acionando a autenticação por etapas
Em vez de bloquear diretamente o tráfego suspeito, você pode encaminhar os sinais do Bot Control para seu aplicativo e usá-los para acionar uma verificação adicional. Por exemplo, se o Bot Control rotular uma sessão como suspeita, seu aplicativo pode exigir autenticação multifatorial ou apresentar uma etapa adicional de verificação antes de concluir uma ação confidencial. Step-up a autenticação reduz o impacto de falsos positivos e, ao mesmo tempo, protege contra ameaças automatizadas. Use cabeçalhos de solicitação personalizados para passar os rótulos relevantes do Bot Control para sua origem.
Testando antes de aplicar
Sempre implante primeiro o Bot Control no modo de contagem. No modo de contagem, o Bot Control rotula todas as solicitações, mas não bloqueia nenhum tráfego. Analise os rótulos em seus AWS WAF registros para entender o que o Bot Control detecta em seu tráfego, verifique se o tráfego legítimo não está sendo rotulado incorretamente e, em seguida, mude para o modo de bloqueio quando tiver certeza da precisão da detecção. Para obter orientações detalhadas sobre testes e implantação, consulteTestando e implantando o AWS WAF Bot Control.
