Come posso utilizzare AWS WAF per mitigare gli attacchi DDoS?

Breve descrizione

Per utilizzare AWS WAF come principale strumento di mitigazione degli attacchi DDoS a livello di applicazione, intraprendi le seguenti azioni:

• Utilizza regole basate sulla frequenza.
• Esegui query sui log di AWS WAF per raccogliere informazioni specifiche sulle attività non autorizzate.
• Crea una regola di corrispondenza geografica per bloccare le richieste malevole provenienti da un paese inatteso considerata l'attività svolta.
• Crea una regola di corrispondenza set IP per bloccare le richieste malevole.
• Crea una regola di corrispondenza stringa per bloccare le richieste malevole.
• Crea una regola di corrispondenza regex per bloccare le richieste malevole.
• Attiva il Rilevamento dei bot e utilizza il livello di protezione mirato.
• Utilizza il gruppo di regole gestito dell'elenco di reputazione IP di Amazon.

Per gli attacchi a livello di infrastruttura, utilizza servizi AWS come Amazon CloudFront ed Elastic Load Balancing (ELB) per fornire una protezione DDoS automatica. Per ulteriori informazioni, consulta Best practice AWS per la resilienza DDoS. Puoi anche utilizzare l'Automatic Application Layer di AWS Shield Avanzato per mitigare gli attacchi sofisticati (ad esempio, livello 3-7). Per ulteriori informazioni, consulta Automatizzazione della mitigazione del livello DDoS delle applicazioni con Shield Avanzato.

Risoluzione

Utilizza regole basate sulla frequenza

Crea una regola generale basata sulla frequenza

Utilizza una regola generale basata sulla frequenza per impostare una soglia per il numero di richieste che gli indirizzi IP possono effettuare all'applicazione web.

Completa i seguenti passaggi:

1. Apri la console AWS WAF.
2. Per Region (Regione), scegli la Regione AWS in cui hai creato il pacchetto di protezione.
3. Nel pannello di navigazione, scegli Resources & protection packs (Risorse e pacchetti di protezione).
4. Sul lato destro del pacchetto di protezione, seleziona l'icona accanto al nome della Regione per scegliere il pacchetto di protezione.
5. Nel pacchetto di protezione scelto, seleziona Rules (Regole).
6. Seleziona View and edit (Visualizza e modifica) accanto a Rules (Regole) per visualizzare o modificare le regole associate al pacchetto di protezione.
7. Nel pannello destro, per Manage rules (Gestisci regole), scegli Add rules (Aggiungi regole).
8. Scegli Custom rule (Regola personalizzata), quindi seleziona Next (Avanti).
9. Scegli Rate based rule (Regola basata sulla frequenza), quindi seleziona Next (Avanti).
10. Per impostare la regola, configura i seguenti valori:
    Per Action (Azione), seleziona Block (Blocca).
    In Name (Nome), inserisci un nome per la regola.
    In Rate limit (Limite di frequenza), inserisci un numero compreso tra 10 e 2.000.000.000.
    Nota: se non sei sicuro del limite di frequenza da impostare, utilizza l'azione della regola per identificare e monitorare i modelli di richiesta. Quindi imposta un limite di frequenza riferito alla baseline.
    In Evaluation window (Finestra di valutazione), inserisci 1, 2, 5 o 10 minuti.
    Nel menu a discesa Rule configuration block (Blocco di configurazione regola):
    Per IP address to use for rate limiting (Indirizzo IP da utilizzare per limitare la frequenza), seleziona Source IP address (Indirizzo IP di origine) o IP address in header (Indirizzo IP nell'intestazione).
    Nota: dopo aver apportato una modifica della frequenza delle richieste, potresti riscontrare un ritardo nell'applicazione o nella rimozione dell'azione della regola da parte di AWS WAF.
    Per Scope of inspection (Ambito di ispezione), seleziona Consider all requests (Considera tutte le richieste).
11. Seleziona Create Rule (Crea regola).

Crea una regola basata sulla frequenza della chiave personalizzata (percorso URI)

Completa i seguenti passaggi:

1. Apri la console AWS WAF.
2. Per Region (Regione), scegli la Regione AWS in cui hai creato il pacchetto di protezione.
3. Nel pannello di navigazione, scegli Resources & protection packs (Risorse e pacchetti di protezione).
4. Sul lato destro del pacchetto di protezione, seleziona l'icona accanto al nome della Regione per scegliere il pacchetto di protezione.
5. Nel pacchetto di protezione scelto, seleziona Rules (Regole).
6. Seleziona View and edit (Visualizza e modifica) accanto a Rules (Regole) per visualizzare o modificare le regole associate al pacchetto di protezione.
7. Nel pannello destro, per Manage rules (Gestisci regole), scegli Add rules (Aggiungi regole).
8. Scegli Custom rule (Regola personalizzata), quindi seleziona Next (Avanti).
9. Scegli Rate based rule (Regola basata sulla frequenza), quindi seleziona Next (Avanti).
10. Per impostare la regola, configura i seguenti valori:
    Per Action (Azione), seleziona Block (Blocca).
    In Name (Nome), inserisci un nome per la regola.
    In Rate limit (Limite di frequenza), inserisci un numero compreso tra 10 e 2.000.000.000.
    Nota: se non sei sicuro del limite di frequenza da impostare, utilizza l'azione della regola per identificare e monitorare i modelli di richiesta. Quindi imposta un limite di frequenza riferito alla baseline.
    In Evaluation window (Finestra di valutazione), inserisci 1, 2, 5 o 10 minuti.
    Nel menu a discesa Rule configuration block (Blocco di configurazione regola):
    Per Rule configuration (Configurazione regola), seleziona Custom Keys (Chiavi personalizzate).
11. Per Request aggregation keys (Chiavi di aggregazione richieste), seleziona URI path (Percorso URI).
12. Per Text transformations (Trasformazioni testo), scegli None (Nessuna).
    Nota: dopo aver apportato una modifica della frequenza delle richieste, potresti riscontrare un ritardo nell'applicazione o nella rimozione dell'azione della regola da parte di AWS WAF.
    Per Scope of inspection (Ambito di ispezione), seleziona Consider all requests (Considera tutte le richieste).
13. Seleziona Create Rule (Crea regola).

Per ulteriori informazioni, consulta The three most important AWS WAF rate-based rules (Le tre regole basate sulla frequenza più importanti di AWS WAF).

Esegui query sui log di AWS WAF per raccogliere informazioni specifiche sull'attività non autorizzata

Attiva la registrazione di AWS WAF. Quindi esegui query sui log di AWS WAF per esaminare gli scenari DDoS.

Puoi utilizzare i seguenti servizi AWS per eseguire query sui log di AWS WAF:

• Amazon CloudWatch Logs
• Amazon Athena
• Servizio OpenSearch di Amazon e Amazon Quick Sight

Utilizza il parser di log di Amazon Athena o AWS Lambda

AWS WAF ha un limite di frequenza minimo accettabile per le regole basate sulla frequenza. Se non puoi utilizzare regole basate sulla frequenza a causa del volume ridotto o se hai bisogno di un periodo di blocco personalizzabile, utilizza un parser di log in Athena o Lambda. Entrambi i servizi sono disponibili in Security Automations per AWS WAF.

Crea un'istruzione regola di corrispondenza geografica per bloccare le richieste malevole provenienti da un paese inatteso considerata per l'attività svolta

Completa i seguenti passaggi:

1. Apri la console AWS WAF.
2. Per Region (Regione), scegli la Regione AWS in cui hai creato il pacchetto di protezione.
3. Nel pannello di navigazione, scegli Resources & protection packs (Risorse e pacchetti di protezione).
4. Sul lato destro del pacchetto di protezione, seleziona l'icona accanto al nome della Regione per scegliere il pacchetto di protezione.
5. Nel pacchetto di protezione scelto, seleziona Rules (Regole).
6. Seleziona View and edit (Visualizza e modifica) accanto a Rules (Regole) per visualizzare o modificare le regole associate al pacchetto di protezione.
7. Nel pannello destro, per Manage rules (Gestisci regole), scegli Add rules (Aggiungi regole).
8. Seleziona Geo-based rule (Regola basata sulla geografia).
9. Per impostare la regola, configura i seguenti valori:
   Per Rule action (Azione regola), scegli Block (Blocca).
   In Name (Nome), inserisci un nome per la regola.
   Per Statement (Istruzione), scegli i codici paese che desideri bloccare.
10. Seleziona Create Rule (Crea regola).

Per ulteriori informazioni, consulta Istruzione regola di corrispondenza geografica.

Crea una regola di corrispondenza set IP per bloccare le richieste malevoli provenienti da indirizzi IP specifici

Completa i seguenti passaggi:

1. Apri la console AWS WAF.
2. Per Region (Regione), scegli la Regione AWS in cui hai creato il pacchetto di protezione.
3. Nel pannello di navigazione, scegli Resources & protection packs (Risorse e pacchetti di protezione).
4. Sul lato destro del pacchetto di protezione, seleziona l'icona accanto al nome della Regione per scegliere il pacchetto di protezione.
5. Nel pacchetto di protezione scelto, seleziona Rules (Regole).
6. Seleziona View and edit (Visualizza e modifica) accanto a Rules (Regole) per visualizzare o modificare le regole associate al pacchetto di protezione.
7. Nel pannello destro, per Manage rules (Gestisci regole), scegli Add rules (Aggiungi regole).
8. Scegli IP based rule (Regola basata su IP), quindi seleziona Next (Avanti).
9. Per impostare la regola, configura i seguenti valori:
   Per Rule action (Azione regola), scegli Block (Blocca).
   In Name (Nome), inserisci un nome per la regola.
   In Statement (Istruzione), attiva Use existing IP set (Usa set di IP esistente) e scegli il set di IP.
10. Seleziona Create Rule (Crea regola).

Per ulteriori informazioni, consulta Istruzione regola di corrispondenza set di IP.

Crea un'istruzione regola di corrispondenza stringa per bloccare le richieste malevole

Completa i seguenti passaggi:

1. Apri la console AWS WAF.
2. Per Region (Regione), scegli la Regione AWS in cui hai creato il pacchetto di protezione.
3. Nel pannello di navigazione, scegli Resources & protection packs (Risorse e pacchetti di protezione).
4. Sul lato destro del pacchetto di protezione, seleziona l'icona accanto al nome della Regione per scegliere il pacchetto di protezione.
5. Nel pacchetto di protezione scelto, seleziona Rules (Regole).
6. Seleziona View and edit (Visualizza e modifica) accanto a Rules (Regole) per visualizzare o modificare le regole associate al pacchetto di protezione.
7. Nel pannello destro, per Manage rules (Gestisci regole), scegli Add rules (Aggiungi regole).
8. Scegli Custom rule (Regola personalizzata), quindi seleziona Next (Avanti).
9. Scegli nuovamente Custom rule (Regola personalizzata), quindi seleziona Next (Avanti).
10. Per Rule action (Azione regola), scegli Block (Blocca).
11. Per impostare la regola, configura i seguenti valori:
    In Name (Nome), inserisci un nome per la regola.
    Per If the request (Se la richiesta), seleziona match the statement (corrisponde all'istruzione).
    Per Inspect (Ispeziona), scegli Header (Intestazione).
    In Header field name (Nome campo di intestazione), inserisci il nome del bot che desideri bloccare così come appare nei log di AWS WAF.
    Per Match Type (Tipo di corrispondenza), seleziona Exactly matches string (Corrisponde esattamente alla stringa).
    Per String to Match (Stringa di corrispondenza), inserisci il valore del bot che desideri bloccare così come appare nei log di AWS WAF.
12. Seleziona Create Rule (Crea regola).

Per ulteriori informazioni, consulta Istruzione regola di corrispondenza stringa.

Crea un'istruzione regola di corrispondenza regex per bloccare le richieste malevole

Completa i seguenti passaggi:

1. Apri la console AWS WAF.
2. Per Region (Regione), scegli la Regione AWS in cui hai creato il pacchetto di protezione.
3. Nel pannello di navigazione, scegli Resources & protection packs (Risorse e pacchetti di protezione).
4. Sul lato destro del pacchetto di protezione, seleziona l'icona accanto al nome della Regione per scegliere il pacchetto di protezione.
5. Nel pacchetto di protezione scelto, seleziona Rules (Regole).
6. Seleziona View and edit (Visualizza e modifica) accanto a Rules (Regole) per visualizzare o modificare le regole associate al pacchetto di protezione.
7. Nel pannello destro, per Manage rules (Gestisci regole), scegli Add rules (Aggiungi regole).
8. Scegli Custom rule (Regola personalizzata), quindi seleziona Next (Avanti).
9. Scegli nuovamente Custom rule (Regola personalizzata), quindi seleziona Next (Avanti).
10. Per impostare la regola, configura i seguenti valori:
    Per Rule action (Azione regola), scegli Block (Blocca).
    In Name (Nome), inserisci un nome per la regola.
    Per If the request (Se la richiesta), scegli match the statement (corrisponde all'istruzione) . Per Inspect (Esamina), scegli URI Path (Percorso URI).
    Per Match type (Tipo di corrispondenza), seleziona Matches regular expression (Corrisponde all'espressione regolare).
    In String to match (Stringa di corrispondenza), inserisci l'espressione regolare che desideri bloccare.
    Per Rule Action (Azione regola), scegli Block (Blocca).
11. Seleziona Create Rule (Crea regola).

Per ulteriori informazioni, consulta Istruzione regola di corrispondenza regex.

Attiva il Rilevamento dei bot e utilizza il livello di protezione mirato

Il livello di protezione mirato per il Rilevamento dei bot di AWS WAF utilizza una combinazione di limitazione della frequenza e azioni CAPTCHA e Challenge per ridurre l'attività dei bot. Per informazioni sui prezzi del Rilevamento dei bot mirato, consulta il Caso F nella pagina Prezzi di AWS WAF.

Per attivare il Rilevamento dei bot e il livello di protezione mirato, completa i seguenti passaggi:

1. Apri la console AWS WAF.
2. Per Region (Regione), scegli la Regione AWS in cui hai creato il pacchetto di protezione.
3. Nel pannello di navigazione, scegli Resources & protection packs (Risorse e pacchetti di protezione).
4. Sul lato destro del pacchetto di protezione, seleziona l'icona accanto al nome della Regione per scegliere il pacchetto di protezione.
5. Nel pacchetto di protezione scelto, seleziona Rules (Regole).
6. Seleziona View and edit (Visualizza e modifica) accanto a Rules (Regole) per visualizzare o modificare le regole associate al pacchetto di protezione.
7. Nel pannello destro, per Manage rules (Gestisci regole), scegli Add rules (Aggiungi regole).
8. Scegli AWS-managed rule group (Gruppo di regole gestito da AWS), quindi seleziona Next (Avanti).
9. Per Paid (A pagamento), seleziona Bot Control rule group (Gruppo di regole Bot Control).
10. Per Inspection level (Livello di ispezione), seleziona Targeted (Mirato).
11. Seleziona Create rule (Crea regola).

Utilizza il gruppo di regole gestito dall'elenco di reputazione IP di Amazon

Il gruppo di regole gestito AWSManagedIPReputationList utilizza la threat intelligence interna di Amazon per identificare gli indirizzi IP coinvolti attivamente in attività DDoS.

Per attivare il gruppo di regole gestito dall'elenco di reputazione IP di Amazon, completa i seguenti passaggi:

1. Apri la console AWS WAF.
2. Per Region (Regione), scegli la Regione AWS in cui hai creato il pacchetto di protezione.
3. Nel pannello di navigazione, scegli Resources & protection packs (Risorse e pacchetti di protezione).
4. Sul lato destro del pacchetto di protezione, seleziona l'icona accanto al nome della Regione per scegliere il pacchetto di protezione.
5. Nel pacchetto di protezione scelto, seleziona Rules (Regole).
6. Seleziona View and edit (Visualizza e modifica) accanto a Rules (Regole) per visualizzare o modificare le regole associate al pacchetto di protezione.
7. Nel pannello destro, per Manage rules (Gestisci regole), scegli Add rules (Aggiungi regole).
8. Scegli AWS-managed rule group (Gruppo di regole gestito da AWS), quindi seleziona Next (Avanti).
9. Per Free rules (Regole gratuite), seleziona AmazonIpReputationList.
10. Seleziona Create rule (Crea regola).