針對 AWS 受管規則發行候選部署 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對 AWS 受管規則發行候選部署

當受管規則群組 AWS 有一組候選規則變更時,會在暫時候選發行版本部署中對其進行測試。 AWS 根據生產流量評估計數模式下的候選規則,並執行最終調整活動,包括緩解誤判。 AWS test 會針對使用預設規則群組預設版本的所有客戶,以這種方式發行候選規則。發行候選部署不適用於使用規則群組靜態版本的客戶。

如果您使用預設版本,候選版本部署將不會改變規則群組管理 Web 流量的方式。在測試候選規則時,您可能會注意到以下幾點:

  • 預設版本名稱從變更Default (using Version_X.Y)Default (using Version_X.Y_PLUS_RC_COUNT)

  • 在 Amazon CloudWatch 的其他計數指標與他們RC_COUNT的名字。這些是由發行候選規則產生的。

AWS 測試候選發行版本大約一週,然後將其移除,並將預設版本重設為目前建議的靜態版本。

AWS 針對候選版本部署執行下列步驟:

  1. 建立候選版本 — 根據目前建議的靜態版本 (預設值指向的版本) AWS 新增候選發行版本。

    候選版本的名稱是附加的靜態版本名稱_PLUS_RC_COUNT。例如,如果目前建議的靜態版本為Version_2.1,則會命名候選發行版本Version_2.1_PLUS_RC_COUNT

    候選版本包含以下規則:

    • 規則完全從目前建議的靜態版本複製而來,不會變更規則組態。

    • 將規則動作設為Count且名稱結尾為的候選新規則_RC_COUNT

      大多數候選規則會針對已存在於規則群組中的規則提供提議的改進。每個規則的名稱都是附加的現有規則名稱_RC_COUNT

  2. 預設版本設 AWS 定為候選版本並測試 — 將預設版本設定為指向新候選發行版本,以針對您的生產流量執行測試。測試通常需要大約一周的時間。

    您會看到預設版本的名稱從僅指示靜態版本的名稱變更,例如,變更為Default (using Version_1.4)指示靜態版本加上候選版本規則的版本,例如Default (using Version_1.4_PLUS_RC_COUNT)。此命名方案可讓您識別用來管理網路流量的靜態版本。

    下圖顯示此時範例規則群組版本的狀態。

    圖頂部有三個堆疊靜態版本,頂部有 Version_1.4。與靜態版本堆棧分開的是版本版本 _1.4_plus_RC_COUNT。此版本包含來自版本 _1.4 的規則,並且還包含兩個候選版本規則,規則 B_RC_COUNT 和規則 Z_RC_COUNT,兩者都具有計數動作。預設版本指示器會指向版本 _1.4_PLUS 計數。

    發行候選規則一律會設定Count動作,因此不會改變規則群組管理網路流量的方式。

    發行候選規則會產生 Amazon CloudWatch 計數指標, AWS 用於驗證行為和識別誤判。 AWS 視需要進行調整,以調整發行候選計數規則的行為。

    候選發行版本不是靜態版本,您無法從靜態規則群組版本清單中選擇。您只能在預設版本規格中查看候選版本的名稱。

  3. 預設版本恢復為建議的靜態版本 — 測試候選版本規則之後,將預設版本設 AWS 定回目前建議的靜態版本。預設版本名稱設定會刪除結_PLUS_RC_COUNT尾,而規則群組會停止產生發行候選規則的 CloudWatch 計數測量結果。這是無訊息變更,與預設版本復原的部署不同。

    下圖顯示範例規則群組版本在候選發行版本測試完成之後的狀態。

    這是典型的版本狀態圖。三個靜態版本 _1.2,版本 _1.3 和版本 _1.4 在頂部堆疊。版本 _1.4 有兩個規則,規則 A 和規則 B,兩者都具有生產動作。預設版本指示器指向版本 _1.4。
時間和通知

AWS 視需要部署發行候選版本,以測試對規則群組的改進。

  • SNS — 在部署開始時 AWS 傳送 SNS 通知。該通知指出候選發行版本將接受測試的估計時間。測試完成時,無 AWS 訊息地將預設值返回靜態版本設定,而無需第二次通知。

  • 變更記錄 — AWS 不會針對此類型部署更新變更記錄或本指南的其他部分。