本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
最佳化機器人控制策略的成本
網絡流量的性質是動態的。這意味著用於緩解威脅的技術和服務可能會隨著時間而變化和調整。考慮機器人控制策略及其中包含的控制項時,這是關鍵。隨著時間的推移優化是要牢記的主要原則,它來自 AWS Well-Architected 的框架的成本優化支柱。
AWS WAF Web ACL 可以是動態的,尤其是當新功能發布或您嘗試緩解新威脅時。關注您的成本涉及了解服務的成本維度
由於專門的機器人控制項需要付費,因此主要成本最佳化目標是減少這些進階控制項檢查的請求數量。適用的技術包括分離高價值內容、先套用低成本措施、縮小評估範圍,以及將機器人保護與其他類型的控制項結合在一起。成本監控技術可為您的組織提供額外的可見性。
分隔動態和靜態內容
一種降低成本的技術是將靜態內容與動態應用程式隔離。對典型 Web 應用程序的請求大多數都是對靜態對象的請求。減少應用程式伺服器負載的常用方法是將靜態內容移至其本身的 URL,例如static.example.com。 這通常是透過針對靜態內容最佳化的快取組態來建立獨特的內容傳遞散佈來達成。 如果靜態內容不常被定位在網站或應用程式中,這項技術也有助於降低機器人控制成本。 將靜態內容與動態應用程式分開,可以更精確地應用進階機器人控制項。
先套用低成本規則
另一種技術是在使用較昂貴的進階控制項之前,先套用成本較低的基準規則來篩選出不需要的流量。 實際上,這通常意味著將機器人控制緩和措施設為最後一層防禦,並使用先前的控制項來過濾掉不需要的流量。 此金字塔方法先前已在本指南機器人控制的技巧中討論過。主要目標是使用這些較低成本的選項來阻止不必要的流量,從而減少高成本的高級緩解技術處理的請求數量。
設定評估區域的範圍
AWS WAF範圍下語句提供了一種功能強大的技術,可減少由高級規則檢查的請求數量。 如果無法實作將靜態內容分隔為其本身的 URL,則 scopedown 陳述式是另一種方法來篩選出不需要進階緩和技術的要求。這可以通過定義特定的應用程序路徑,HTTP 方法(如 POST)或類似的組合來完成。
結合機器人防護與其他控制項
在保護應用程式免受多重威脅時,除了不必要的機器人流量外,還應檢閱其他成本控制考量。 例如,防範分散式拒絕服務 (DDoS) 攻擊和帳戶接管需要額外的設定來影響成本。建議使用 Shield 牌進階來協助保護應用程式免受 DDoS 攻擊。 特別是,其應用程式層緩和措施可以自動解決請求洪水問題,從而減少 AWS WAF Bot Control 規則群組可以處理的要求數量,當規則以評估順序提前。Shield Advanced 還有額外的好處;對於受到 Shield Advanced 保護的資源,無需額外付費標準管理和自訂 AWS WAF 規則。 請注意,即使是受 Shield Advanced 保護的資源,包括機器人控制在內的智慧型威脅緩解規則群組也會產生額外費用。
需要帳戶接管預防的應用程式可以使用 AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組。 可承諾量規則群組的每個請求檢查成本高於「機器人控制」規則群組的成本。 較高的成本使得盡可能精確地套用可承諾量規則群組至關重要。 搭配 ATP 使用「機器人控制」規則群組可協助達成此目標。機器人控制規則群組應放在 Web ACL 中的 ATP 之前,以篩選出機器人請求並減少 ATP 檢查的請求數量。
為了持續最佳化,最重要的活動是監控與機器人控制規則群組相關聯的CloudWatch量度。 隨著時間的推移,目標是將機器人控制規則群組評估的請求數量減少為僅針對您需要保護的資源以防止不必要的機器人活動的請求數目。 建置 CloudWatch 儀表板可讓您掌握應用程式最重要的指標,包括 AWS WAF 成本和使用量。
監控成本
AWS Cost Explorer 是一個可讓您檢視和分析成本與用量的工具。Cost Explorer 有助於分析 AWS 成本,包括產生的 AWS WAF 成本。該工具提供了最近 12 個月的成本信息,並預測 future 12 個月的未來支出。
AWS 成本異常偵測是另一種成本管理控制工具,可用於監控 AWS WAF 成本。它使用先進的 ML 技術來識別異常支出和根本原因。這可協助您在成本意外增加時迅速採取行動或接收警示。若要在達到特定成本閾值時接收警示,AWS Budgets可以提供該追蹤和監控功能。
