測試和部署可承諾量 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

測試和部署可承諾量

本節提供設定和測試網站 AWS WAF 詐騙控制帳戶接管預防 (ATP) 實作的一般指引。您選擇遵循的特定步驟將取決於您收到的需求、資源和 Web 要求。

此資訊是除了有關測試和調整的一般資訊之外,請參閱測試和調整您的 AWS WAF 保護

注意

AWS 受管規則旨在保護您免受常見網頁威脅的侵害。根據文件使用時, AWS Managed Rules 規則群組會為您的應用程式新增另一層安全性。不過, AWS 受管規則群組並不是用來取代您的安全性責任,而這些責任是由您選取的 AWS 資源所決定。請參閱「共同責任模型」,以確保中的資源受到 AWS 適當的保護。

生產流量風險

在針對生產流量部署 ATP 實施之前,請先在測試或測試環境中對其進行測試和調整,直到您熟悉對流量的潛在影響為止。然後在啟用規則之前,使用生產流量在計數模式下測試和調整規則。

AWS WAF 提供測試證明資料,您可以用來驗證可承諾量組態。在下列程序中,您將設定測試 Web ACL 以使用可承諾量管理規則群組、設定規則以擷取規則群組新增的標籤,然後使用這些測試認證執行登入嘗試。您將通過檢查登錄嘗試的 Amazon CloudWatch 指標來驗證您的 Web ACL 已正確管理嘗試。

本指引適用於一般知道如何建立和管理 AWS WAF Web ACL、規則和規則群組的使用者。這些主題涵蓋在本指南之前的章節中。

設定與測試 AWS WAF 詐騙控制帳戶接管預防 (ATP) 實作

請先在測試環境中執行這些步驟,然後在生產環境中執行。

  1. 在計數模式中新增 AWS WAF 詐騙控制帳戶接管預防 (ATP) 管理規則群組
    注意

    使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價

    將受 AWS 管規則規則群組新增AWSManagedRulesATPRuleSet至新的或現有的 Web ACL,並對其進行設定,使其不會改變目前的 Web ACL 行為。如需有關此規則群組之規則和標籤的詳細資訊,請參閱AWS WAF 欺詐控制帳戶接管預防(ATP)規則組

    • 新增受管規則群組時,請加以編輯並執行下列動作:

      • 規則群組設定窗格中,提供應用程式登入頁面的詳細資料。可承諾量規則群組會使用此資訊來監視登入活動。如需詳細資訊,請參閱 將ATP受管規則群組新增至您的網站 ACL

      • 在「規則」窗格中,開啟「覆寫所有規則動作」下拉式清單並選擇Count。使用此設定時, AWS WAF 會根據規則群組中的所有規則評估要求,並僅計算結果的相符項目,同時仍將標籤新增至要求。如需詳細資訊,請參閱 覆寫規則群組中的規則動作

        透過此覆寫,您可以監視可承諾量管理規則的潛在影響,以決定是否要新增例外,例如內部使用案例的例外。

    • 定位規則群組,使其在 Web ACL 中的現有規則之後進行評估,其優先順序設定的數值高於您已經使用的任何規則或規則群組。如需詳細資訊,請參閱 在 Web 中設定規則優先順序 ACL

      如此一來,您目前的流量處理就不會中斷。例如,如果您有偵測惡意流量的規則,例如 SQL 插入或跨網站指令碼,他們將繼續偵測並記錄該流量。或者,如果您有允許已知非惡意流量的規則,它們可以繼續允許該流量,而不會讓 ATP 受管規則群組封鎖該流量。您可能會決定在測試和調整活動期間調整處理順序。

  2. 啟用 Web ACL 的記錄和指標

    視需要設定網路 ACL 的記錄、Amazon 安全湖資料收集、請求取樣和 Amazon CloudWatch 指標。您可以使用這些可見度工具來監視可承諾量管理規則群組與流量的互動。

  3. 將網路 ACL 與資源建立關聯

    如果 Web ACL 尚未與測試資源相關聯,請將其關聯。如需相關資訊,請參閱關聯或取消關聯網與 ACL AWS 資源

  4. 監控流量和 ATP 規則符合

    請確定正常流量正在流動,且可承諾量受管規則群組規則正在新增標籤至相符的 Web 請求。您可以在日誌中看到標籤,並在 Amazon 指標中查看 ATP 和標籤 CloudWatch 指標。在記錄檔中,您覆寫規則群組中要計數的規則會顯示在action設定為 count ruleGroupList 的規則中,並overriddenAction指示您覆寫的已設定規則動作。

  5. 測試規則群組的認證檢查功能

    使用測試遭到入侵的認證執行登入嘗試,並檢查規則群組是否符合預期。

    1. 使用下列 AWS WAF 測試憑證組登入受保護資源的登入頁面:

      • 使用者:WAF_TEST_CREDENTIAL@wafexample.com

      • 密碼:WAF_TEST_CREDENTIAL_PASSWORD

      這些測試認證會歸類為遭到入侵的認證,而且可承諾量管理規則群組會將awswaf:managed:aws:atp:signal:credential_compromised標籤新增至登入要求,您可以在記錄檔中看到這些標籤。

    2. 在您的 Web ACL 日誌中,在測試登錄 Web 請求的日誌條目的labels字段中查找awswaf:managed:aws:atp:signal:credential_compromised標籤。如需日誌記錄的相關資訊,請參閱日誌 AWS WAF 網路ACL流量

    確認規則群組如預期擷取遭到入侵的認證之後,您可以根據受保護的資源所需採取步驟來設定其實作。

  6. 對於 CloudFront 發行版,請測試規則群組的登入失敗管理

    1. 針對您為可承諾量規則群組設定的每個失敗回應條件,執行測試。測試之間至少等待 10 分鐘。

      若要測試單一失敗條件,請在回應中識別將以該條件失敗的登入嘗試。然後,從單一用戶端 IP 位址,在 10 分鐘內執行至少 10 次失敗的登入嘗試。

      在前 6 次失敗之後,容積失敗的登入規則應該會開始對其餘嘗試進行比對,並加上標籤和計數。由於延遲,規則可能會錯過前一個或兩個規則。

    2. 在您的 Web ACL 日誌中,在測試登錄 Web 請求的日誌條目的labels字段中查找awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high標籤。如需日誌記錄的相關資訊,請參閱日誌 AWS WAF 網路ACL流量

    這些測試會檢查失敗的登入計數是否超過規則的閾值,以驗證失敗準則VolumetricIpFailedLoginResponseHigh是否符合您的回應。達到閾值之後,如果您繼續從相同的 IP 位址傳送登入要求,規則將會繼續符合,直到失敗率降至閾值以下為止。當超過臨界值時,規則會同時符合從 IP 位址登入成功或失敗的登入。

  7. 自訂可承諾量 Web 請求處理

    視需要新增明確允許或封鎖請求的自己規則,以變更可承諾量規則處理這些請求的方式。

    例如,您可以使用可承諾量標籤來允許或封鎖請求,或自訂請求處理。您可以在可承諾量管理規則群組之後新增標籤比對規則,以篩選您要套用之處理的標籤請求。測試之後,請將相關的可承諾量規則保持為盤點模式,並在自訂規則中維護請求處理決策。如需範例,請參閱可承諾量範例:遺失與遭到入侵之認證的自訂處

  8. 移除測試規則並啟用可承諾量管理規則群組設定

    視您的情況而定,您可能已決定要將某些可承諾量規則保留為盤點模式。針對您要在規則群組內設定執行的規則,請停用 Web ACL 規則群組組態中的計數模式。完成測試後,您也可以移除測試標籤比對規則。

  9. 監控和調整

    若要確定 Web 請求能夠依照您的需求處理,請在啟用要使用的可承諾量功能之後,密切監視您的流量。使用規則群組上的規則計數覆寫,並使用您自己的規則,視需要調整行為。

在您完成測試 ATP 規則群組實作之後,如果您尚未這麼做,我們強烈建議您將 AWS WAF JavaScript SDK 整合至瀏覽器登入頁面,以增強偵測功能。 AWS WAF 還提供移動軟件開發套件,以集成 iOS 和安卓設備。如需整合 SDK 的詳細資訊,請參閱使用用戶端應用程式整合 AWS WAF。如需有關此建議的資訊,請參閱使用應用程式整SDKs合 ATP