為什麼您應該將應用程式整合 SDK 與 ATP 搭配使用 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為什麼您應該將應用程式整合 SDK 與 ATP 搭配使用

ATP 受管規則群組需要應用程式整合 SDK 所產生的挑戰權杖。權杖會啟用規則群組提供的全套保護。

我們強烈建議您實作應用程式整合 SDK,以便最有效地使用可承諾量規則群組。挑戰命令檔必須在可承諾量規則群組之前執行,規則群組才能從指令集取得的權杖中獲益。這會透過應用程式整合 SDK 自動發生。如果您無法使用 SDK,您可以交替地設定 Web ACL,使其針對可承諾量CAPTCHA規則群組將檢查的所有請求執行Challenge或規則動作。使用Challenge或CAPTCHA規則動作可能會產生額外費用。如需定價詳細資訊,請參閱 AWS WAF 定價

不需要權杖之可承諾量規則群組的功能

當 Web 請求沒有 Token 時,可承諾量管理規則群組能夠封鎖下列類型的流量:

  • 發出大量登錄請求的單個 IP 地址。

  • 單一 IP 位址會在短時間內發出大量失敗的登入要求。

  • 嘗試使用相同的用戶名,但更改密碼的密碼進行密碼遍歷登錄。

需要權杖之可承諾量規則群組的功能

挑戰權杖中提供的資訊可擴充規則群組和整體用戶端應用程式安全性的功能。

Token 會針對每個 Web 要求提供用戶端資訊,這些要求可讓 ATP 規則群組將合法的用戶端工作階段與行為不良的用戶端工作階段分隔開來,即使兩者都來自單一 IP 位址也是如此。規則群組會使用 Token 中的資訊來彙總用戶端工作階段要求行為,以進行微調的偵測和緩和措施。

當 Token 在 Web 請求中可用時,可承諾量規則群組可偵測並封鎖階段作業層級的下列其他用戶端類別:

  • SDK 管理的無訊息挑戰失敗的用戶端工作階段。

  • 遍歷使用者名稱或密碼的用戶端工作階段。這也稱為認證填充。

  • 重複使用失竊認證登入的用戶端工作階段。

  • 花費很長時間嘗試登入的用戶端工作階段。

  • 發出大量登入要求的用戶端工作階段。與AWS WAF速率型規則相比,可承諾量規則群組提供更好的用戶端隔離,該規則會依據 IP 位址封鎖用戶端。可承諾量規則群組也會使用較低的臨界值。

  • 在短時間內發出許多失敗登入要求的用戶端工作階段。此功能適用於受保護的 Amazon CloudFront 發行版。

如需規則群組權能的詳細資訊,請參閱AWS WAF詐騙控制帳戶接管預防 (ATP) 規則群組

如需 SDK 的相關資訊,請參閱AWS WAF用戶端應用整合。如需有關AWS WAF權杖的資訊,請參閱AWS WAF網絡請求令牌。如需有關規則動作的資訊,請參閱CAPTCHA並Challenge在 AWS WAF