Verwalten mit Fehlalarmen in AWS WAF
Übersicht
Durch das Hinzufügen von Sicherheitskontrollen wie WAF in Webanwendungen wird das Risiko von Fehlalarmen erhöht. Fehlalarme treten auf, wenn legitime Benutzeranfragen blockiert werden, was kein wünschenswerter Nebeneffekt einer WAF ist. Die Verwaltung mit Fehlalarmen beinhaltet das Entwerfen von Regeln, um sie zu minimieren, ihre Erkennung und ihre Behebung auf Anwendungsseite oder in der WAF. AWS WAF vereinfacht die Verwaltung von Fehlalarmen dank einer flexiblen Regelsprache und der in den generierten Protokollen verfügbaren Details.
Entwerfen von WAF-Regeln, um Fehlalarme zu reduzieren
Um die Anzahl von Fehlalarmen mit AWS WAF zu reduzieren, müssen Sie die Regeln in Ihrer WebACL sorgfältig konfigurieren. Erstens passen Sie dafür den Erkennungsschwellenwert der Regeln an. In diesem Blog finden Sie beispielsweise Informationen zur Konfiguration von Erkennungsschwellenwerten zur Ratenbegrenzung. Ein weiteres Beispiel ist die Konfiguration der Erkennungsempfindlichkeit von SQLi-Regeln (SQL-Injection). Zweitens aktivieren Sie die relevantesten Regeln für den relevantesten Teil Ihrer Anwendungen. Gehen Sie dabei möglichst spezifisch vor. Sie sollten SQLi-Regeln zum Beispiel nur aktivieren, wenn Ihre Anwendung eine SQL-Datenbank verwendet, und den Umfang der URLs beschränken, die mit dieser Datenbank interagieren. Drittens sollten Sie mit differenzierten Aktionen auf übereinstimmende Anfragen reagieren. Bei diesem Ansatz konfigurieren Sie eine Blockierungsaktion für Anfragen nur dann, wenn Sie sehr sicher sein können, dass es sich um eine bösartige Anfrage handelt. Wenn Sie nicht sicher sind, ob eine Anfrage blockiert werden sollte, können Sie eine der folgenden differenzierten Reaktionsstrategien in Betracht ziehen:
- Zählen Sie die Anfrage und lassen Sie die Weiterleitung an Ihre Anwendung zu, aber fügen Sie einen WAF-generierten Header ein. Ihre Anwendung kann dann je nach Header-Wert unterschiedlich reagieren und z. B. bei verdächtigen Anmeldeversuchen die Multi-Faktor-Authentifizierung auslösen. Sie können den Schweregrad der WAF-Reaktion auch dynamisch anhand der aktuellen Bedrohungsstufe erhöhen. Das Unternehmen OLX ändert die Reaktion auf verdächtige IPs beispielsweise dynamisch basierend auf der Risikostufe seiner Anwendung. Im Modus mit geringem Risiko wird mehr Datenverkehr an die Anwendung durchgelassen, wodurch Fehlalarme minimiert werden. Im Modus mit hohem Risiko setzt das Unternehmen lieber darauf, statt der Anzahl von Fehlalarmen die Fehlerkennungsrate zu reduzieren, indem es alle verdächtigen IPs blockiert.
- Reagieren Sie mit einem CAPTCHA oder einer stillen Authentifizierung. Dadurch wird die Anfrage nur blockiert, wenn der Browser der Abfrage nicht nachkommt.
Amazon Managed Rules
AWS WAF bietet eine Liste von Amazon Managed Rules (AMR)-Gruppen, die Ihrer WAF-WebACL hinzugefügt werden können. AMRs sind dafür ausgelegt, die kritischsten und folgenreichsten Bedrohungen zu blockieren und gleichzeitig Fehlalarme zu minimieren.
Damit Sie den Umgang mit Fehlalarmen verbessern können, bieten Ihnen AMRS die folgenden Konfigurationsmöglichkeiten:
- Sie können automatische Updates durch AMR deaktivieren und stattdessen eine bestimmte Version verwenden und manuell auf diese Version aktualisieren. Das gibt Ihnen die Möglichkeit, Updates auf Fehlalarme zu testen, bevor Sie die neueste Version aktivieren.
- AMRs geben Labels aus, wenn sie ausgewertet werden. Statt die standardmäßigen Blockierungsregeln von AMRs zu verwenden, legen Sie sie zum Zählen fest und verwenden die ausgegebenen Labels zusammen mit anderen WAF-Regeln, um Anfragen mit einer höheren Konfidenzebene zu blockieren. Sie können beispielsweise die Amazon IP Reputation List AMR im Zählmodus verwenden und dann eine nachfolgende Regel erstellen, die auf den Labels basiert, die von dieser AMR ausgegeben werden, um ein Ratenlimit mit einem sehr niedrigen Schwellenwert festzulegen. AMR-generierte Labels werden in der WAF-Dokumentation beschrieben.
Das Gleiche gilt für die verwaltete Regelgruppe, die von Shield Advanced erstellt wird, wenn Sie diesen Dienst abonnieren und die automatische DDoS-Abwehr auf Anwendungsebene aktivieren. Wie in der Dokumentation beschrieben, platziert Shield Advanced WAF-Blockierungsregeln nur dann, wenn es auf der Grundlage historischer Datenverkehrsmuster sehr sicher ist, dass die Regel nur der Angriffssignatur entspricht.
Identifizieren von Fehlalarmen
Die folgenden Tipps helfen Ihnen, Fehlalarme zu identifizieren, wenn sie auftreten:
- Integrieren Sie die Erkennung von Fehlalarmen in Ihre Softwareveröffentlichungs- oder Infrastrukturänderungsprozesse, z. B. indem Sie Ihre WAF-Regeln in Entwicklungs- und Testumgebungen testen und sie dann vor der endgültigen Bereitstellung im Count-Modus in der Produktion validieren. Die AWS-WAF-Dokumentation enthält Richtlinien für die sichere Bereitstellung von Bot-Control-Regeln und Regeln zur Verhinderung von Kontoübernahmen in der Produktion.
- Richten Sie Alarme für CloudWatch-Metriken ein, die von WAF-Regeln ausgegeben werden. Sie werden dann benachrichtigt, wenn eine Regel in ungewöhnlichem Ausmaß mit Datenverkehr übereinstimmt. Das kann beispielsweise passieren, wenn Sie den Anwendungscode geändert haben und dies fälschlicherweise als Angriff erkannt wird, der sich auf die Produktion ausgebreitet hat.
- Aktivieren Sie die WAF-Protokollierung und prüfen Sie regelmäßig den blockierten Datenverkehr, um legitime Einträge zu identifizieren, die blockiert wurden. Für einfache Anwendungsfälle können Sie das Dashboard für Stichproben von Anfragen in der AWS-WAF-Konsole verwenden.
- Aktualisieren Sie Ihre Anwendung, um Benutzern zu ermöglichen, unerwartete 403-Antworten zu melden. Wenn WAF etwa mit CloudFront bereitgestellt wird, können Sie die benutzerdefinierte Fehlerseite von CloudFront verwenden, um anstelle der 403-Fehlerseite eine Seite zurückzugeben, auf der sie Ihnen das Problem melden können.
Ausschließen von Fehlalarmen aus dem Regelumfang
Wenn ein Fehlalarm identifiziert wird, können Sie Ihre WAF-Regeln um Ausnahmen ergänzen, um den Fehlalarm zu beseitigen. Mit benutzerdefinierten Regeln können Ausnahmen einfach mithilfe der AND/OR-Logik ausgedrückt werden. Sie können beispielsweise SQLi-Regeln anwenden, wenn die IP der Anfrage nicht Teil einer Liste zulässiger IP-Adressen ist und die Anfrage-URL keiner der ausgeschlossenen URLs entspricht. Mit AMRs können Sie mithilfe von Scope-down-Anweisungen Ausnahmen erstellen. Informationen zum Umgang mit Fehlalarmen, die speziell für WS WAF Bot Control AMRs gelten, finden Sie in dieser Dokumentation.
Ressourcen
- Whitepaper: WAF-Regeln im Whitepaper Richtlinien für die Implementierung von AWS WAF testen und anpassen
- Wie schließe ich bestimmte URIs von der XSS- oder SQLi-Prüfung für HTTP-Anforderungen aus, wenn ich AWS WAF verwende?
- AWS-WAF-Bereitstellungspartner finden
- Die AWS-WAF-Kennzeichnung verwenden, um Fehlalarme mit AMR zu beseitigen