具有受管規則群組的版本管理 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced
版本生命週期受管規則群組版本的最佳作法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

具有受管規則群組的版本管理

許多受管規則群組提供者會在新版規則群組中更新規則群組的選項和功能。通常,特定版本的受管規則群組是靜態的。有時候,提供者可能需要更新受管規則群組的部分或全部現有版本,例如,為了回應新興的安全威脅。

當您將受管規則群組新增至 Web ACL 時,如果規則群組支援版本控制,您可以選擇讓提供者管理您使用的版本,或者您可以自行管理版本設定。

找不到您想要的版本?

如果您在規則群組的版本清單中沒有看到某個版本,表示該版本可能已排定到期或已過期。排定版本到期後,您就 AWS WAF 不再允許為規則群組選擇該版本。

AWS 受管規則規則群組的版本控制和 SNS 通知

受 AWS 管規則群組都會提供版本控制和 SNS 更新通知,但 IP 信譽、Bot Control 和帳戶接管防護的規則群組除外。

提供通知的 AWS 受管規則規則群組都使用相同的 SNS 主題 Amazon 資源名稱 (ARN)。

受管規則群組的版本生命週期

提供者會處理受管規則群組靜態版本的下列生命週期階段:

  • 發佈和更新 — 受管規則群組供應商透過 Amazon Simple Notification Service (Amazon SNS) 主題的通知,宣布其受管規則群組的即將推出和新的靜態版本。提供者也可能會使用此主題來傳達有關其規則群組的其他重要資訊,例如緊急必要的更新。

    您可以訂閱規則群組的主題,並設定接收通知的方式。如需更多資訊,請參閱取得有關新版本和更新的通知

  • 到期排程 — 受管規則群組提供者會將舊版規則群組排程到期。排程到期的版本無法新增至您的 Web ACL 規則。排定版本到期後,使用 Amazon 中的倒數指標 AWS WAF 追蹤到期時間 CloudWatch。

    您可以在中設定量度的警示, CloudWatch 以追蹤您正在使用的版本到期時間。這使您有時間測試新版本,並在倒計時完成之前離開即將到期的版本。如需詳細資訊,請參閱 追蹤版本到期日

  • 版本到期 — 如果您將 Web ACL 設定為使用受管理規則群組的過期版本,則在 Web ACL 評估期間, AWS WAF 會使用規則群組的預設版本。此外,會 AWS WAF 封鎖 Web ACL 的任何更新,這些更新不會移除規則群組或將其版本變更為未過期的規則群組。

如果您使用 AWS Marketplace 受管規則群組,請向提供者詢問有關版本生命週期的任何其他資訊。

處理受管規則群組版本的最佳作法

當您使用版本化的受管理規則群組時,請遵循此最佳作法指引來處理版本控制。

當您在 Web ACL 中使用受管規則群組時,您可以選擇使用規則群組的特定靜態版本,或選擇使用預設版本:

  • 預設版本 — AWS WAF 一律將預設版本設定為提供者目前建議的靜態版本。當提供者更新其建議的靜態版本時, AWS WAF 會自動更新 Web ACL 中規則群組的預設版本設定。

    當您使用受管規則群組的預設版本時,請執行下列最佳作法:

    • 訂閱通知 — 訂閱規則群組變更的通知,並留意這些變更。大多數提供商都會發送新靜態版本和默認版本更改的高級通知。這些使您可以在將默認版本 AWS 切換到該版本之前檢查新靜態版本的效果。如需更多資訊,請參閱取得有關新版本和更新的通知

    • 檢閱靜態版本設定的效果,並視需要進行調整,然後再將預設值設為新的靜態版本。在預設值設定為新的靜態版本之前,請先檢閱靜態版本對監視和管理 Web 要求的影響。新的靜態版本可能有新規則需要檢閱。尋找誤報或其他未預期的行為,以防您需要修改規則群組的使用方式。您可以設定要計數的規則,例如,在您弄清楚要如何處理新行為時,阻止它們封鎖流量。如需詳細資訊,請參閱 測試和調整您的 AWS WAF 保護

  • 靜態版本 — 如果您選擇使用靜態版本,則必須在準備採用新版本的規則群組時手動更新版本設定。

    當您使用受管規則群組的靜態版本時,請執行下列最佳作法:

    • 保持版本為最新狀態 — 讓您的受管規則群組盡可能接近最新版本。發布新版本時,請對其進行測試,根據需要調整設置並及時實施。如需有關測試的資訊,請參閱測試和調整您的 AWS WAF 保護

    • 訂閱通知 — 訂閱規則群組變更的通知,以便您知道提供者何時發佈新的靜態版本。大多數提供商會提供版本更改的高級通知。此外,您的提供商可能需要更新您正在使用的靜態版本,以關閉安全漏洞或其他緊急原因。如果您訂閱了提供商的通知,您將知道發生了什麼。如需詳細資訊,請參閱 取得有關新版本和更新的通知

    • 避免版本過期-不要讓靜態版本在您使用時過期。過期版本的提供者處理可能會有所不同,可能包括強制升級到可用版本或其他可能導致意外後果的變更。追蹤到 AWS WAF 期指標並設定警示,讓您有足夠的天數成功升級至支援的版本。如需更多詳細資訊,請參閱 追蹤版本到期日