测试和部署 ATP
本节提供有关为您的网站配置和测试 Amazon WAF 欺诈控制账户盗用防护(ATP)实施的一般指导。您选择遵循的具体步骤将取决于您的需求、资源和收到的 Web 请求。
此信息是对 测试和调整您的 Amazon WAF 保护 中提供的有关测试和调整的一般信息的补充。
注意
Amazon 托管规则旨在保护您免受常见的 Web 威胁的攻击。应根据文档使用 Amazon 托管规则的规则组,它为您的应用程序添加另一层安全性。但是,Amazon 托管规则的规则组并非用于取代您的安全责任,安全责任由所选 Amazon 资源决定。请参阅责任共担模式
生产流量风险
在为生产流量部署 ATP 实施之前,请在暂存或测试环境中对其进行测试和调整,直到您能够适应对流量的潜在影响。然后,在启用之前,在计数模式下使用生产流量对规则进行测试和调整。
Amazon WAF 提供了可用于验证 ATP 配置的测试凭证。在以下步骤中,您将配置测试 Web ACL 以使用 ATP 托管规则组,配置规则以捕获规则组添加的标签,然后使用这些测试凭证尝试登录。您可以通过查看登录尝试的 Amazon CloudWatch 指标来验证您的 Web ACL 是否对该尝试进行了正确管理。
本指导适用于大致了解如何创建和管理 Amazon WAF Web ACL、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。
配置和测试 Amazon WAF 欺诈控制账户盗用防护(ATP)实施方案
首先在测试环境中执行这些步骤,然后在生产环境中执行这些步骤。
-
在计数模式下添加 Amazon WAF 欺诈控制账户盗用防护(ATP)托管规则组
注意
使用此托管规则组时,您需要额外付费。有关更多信息,请参阅Amazon WAF 定价
。 将 Amazon 托管规则组
AWSManagedRulesATPRuleSet
添加到新的或现有的 Web ACL 中,并对其进行配置,使其不会改变当前 Web ACL 的行为。有关此规则组的规则和标签的详细信息,请参阅 Amazon WAF 欺诈控制账户盗用防护(ATP)规则组。-
添加托管规则组时,对其进行编辑并执行以下操作:
-
在规则组配置窗格中,提供您的应用程序的登录页面的详细信息。ATP 规则组使用此信息来监控登录活动。有关更多信息,请参阅 将 ATP 托管规则组添加到您的 Web ACL。
-
在规则窗格中,打开覆盖所有规则操作下拉列表并选择 Count。使用此配置,Amazon WAF 可以根据规则组中的所有规则评估请求,并仅计算结果的匹配项,同时仍将标签添加到请求中。有关更多信息,请参阅 覆盖规则组的规则操作。
通过此覆盖,您可以监控 ATP 托管规则的潜在影响,以确定是否要添加例外,例如内部用例的例外。
-
-
定位规则组,使其按照您在 Web ACL 中的现有规则进行评估,优先级设置在数值上要高于您已在使用的任何规则或规则组。有关更多信息,请参阅 在 Web ACL 中设置规则优先级。
这样,您当前的流量处理就不会中断。例如,如果您有检测恶意流量的规则,例如 SQL 注入或跨站脚本,它们将继续检测并记录这些流量。或者,如果您的规则允许已知的非恶意流量,则它们可以继续允许该流量,而不必被 ATP 托管规则组阻止。在测试和调整活动期间,您可能会决定调整处理顺序。
-
-
为 Web ACL 启用日志记录和指标
根据需要为 Web ACL 配置日志记录、Amazon Security Lake 数据收集、请求采样和 Amazon CloudWatch 指标。您可以使用这些可见性工具来监控 ATP 托管规则组与您的流量的交互情况。
-
有关配置和使用日志记录的信息,请参阅 记录 Amazon WAF Web ACL 流量。
-
有关 Amazon Security Lake 的信息,请参阅《Amazon Security Lake 用户指南》中的什么是 Amazon Security Lake 以及从 Amazon 服务中收集数据。
-
有关 Amazon CloudWatch 指标的更多信息,请参阅 使用 Amazon CloudWatch 监控。
-
有关 Web 请求采样的信息,请参阅 查看 Web 请求示例。
-
-
将 Web ACL 与资源关联
如果 Web ACL 尚未与测试资源关联,请将其关联。有关信息,请参阅将 Web ACL 与 Amazon 资源关联或取消关联。
-
监控流量和 ATP 规则匹配情况
确保您的正常流量畅通,并且 ATP 托管规则组规则正在为匹配的 Web 请求添加标签。您可以在日志中看到标签,也可以在 Amazon CloudWatch 指标中查看 ATP 和标签指标。在日志中,您在规则组中覆盖计数的规则会显示在
ruleGroupList
中,action
设置为计数,overriddenAction
表示您覆盖的已配置规则操作。 -
测试规则组的凭证检查功能
尝试使用已泄露的凭证进行登录,并检查规则组是否按预期与这些凭证匹配。
-
使用以下 Amazon WAF 测试凭证对登录到受保护资源的登录页面:
-
用户:
WAF_TEST_CREDENTIAL@wafexample.com
-
密码:
WAF_TEST_CREDENTIAL_PASSWORD
这些测试凭证被归类为已泄露的凭证,ATP 托管规则组会将
awswaf:managed:aws:atp:signal:credential_compromised
标签添加到登录请求中,您可以在日志中看到该标签。 -
-
在 Web ACL 日志中,在测试登录 Web 请求的日志条目
labels
字段中查找awswaf:managed:aws:atp:signal:credential_compromised
标签。有关日志记录的信息,请参阅记录 Amazon WAF Web ACL 流量。
确认规则组按预期捕获被泄露的凭证后,您可以采取措施根据受保护资源的需要配置其实施。
-
-
对于 CloudFront 分配,请测试规则组的登录失败管理
-
针对您为 ATP 规则组配置的每个失败响应条件运行测试。两次测试之间应至少等待 10 分钟。
要测试单个失败条件,请在响应中根据该条件确定将失败的登录尝试。然后,在不到 10 分钟的时间内,从单个客户端 IP 地址执行至少 10 次失败的登录尝试。
在前 6 次失败之后,容量失败登录规则应开始与您的其余尝试进行匹配,对其进行标记和计数。由于延迟,该规则可能会错过前一两个。
-
在 Web ACL 日志中,在测试登录 Web 请求的日志条目
labels
字段中查找awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high
标签。有关日志记录的信息,请参阅记录 Amazon WAF Web ACL 流量。
这些测试通过检查失败的登录计数是否超过规则
VolumetricIpFailedLoginResponseHigh
的阈值来验证您的失败条件是否与您的响应相符。达到阈值后,如果您继续从同一 IP 地址发送登录请求,则该规则将继续匹配,直到失败率降至阈值以下。当超过阈值时,该规则会匹配从 IP 地址成功或失败的登录。 -
-
自定义 ATP Web 请求处理
根据需要,添加您自己的明确允许或阻止请求的规则,以更改 ATP 规则处理请求的方式。
例如,您可以使用 ATP 标签来允许或阻止请求或自定义请求处理。您可以在 ATP 托管规则组之后添加标签匹配规则,以筛选要应用的处理的带标签的请求。测试后,将相关的 ATP 规则保持在计数模式,并在自定义规则中维护请求处理决策。有关示例,请参阅ATP 示例:针对缺失和被盗凭证的自定义处理。
-
移除您的测试规则并启用 ATP 托管规则组设置
根据您的情况,您可能已经决定将某些 ATP 规则保留为计数模式。对于要按照规则组内的配置运行的规则,请在 Web ACL 规则组配置中禁用计数模式。完成测试后,您还可以移除测试标签匹配规则。
-
监控和调整
为确保 Web 请求按您的意愿处理,请在启用要使用的 ATP 功能后密切监控您的流量。根据需要调整行为,使用规则组上的规则计数覆盖和您自己的规则。
在您完成 ATP 规则组实施的测试后,如果您还没有这样做,我们强烈建议您将 Amazon WAF JavaScript 软件开发工具包集成到浏览器登录页面中,以增强检测功能。Amazon WAF 还提供用于集成 iOS 和 Android 设备的移动软件开发工具包。有关集成软件开发工具包的更多信息,请参阅 将客户端应用程序集成与 Amazon WAF 配合使用。有关此建议的信息,请参阅 将应用程序集成软件开发工具包与 ATP 配合使用。