AWS WAF流量概览仪表板介绍
关键要点
AWS WAF推出流量概览仪表板,帮助用户实时监控和分析应用程序的安全状态。仪表板可显示多个安全相关的指标,便于识别安全风险并采取行动。提供与CloudWatch的原生集成,允许用户获得更详细的流量数据。实现对恶意流量的识别与管理,优化安全策略。在网络安全运营商中,保护应用程序的正常运行是一项耗时的挑战,涉及基线网络流量、调查可疑发送者以及决定如何最有效地减轻风险。简化这一过程,并始终了解网络安全状态是大多数IT组织的目标,这些组织希望在扩大应用程序的同时,不需增加安全运维中心的人力资源。为了帮助您应对这一挑战,AWS WAF推出了流量概览仪表板,以便在应用程序受AWS WAF保护时,做出明智的安全决策。
云梯app官方下载入口本文将介绍新的仪表板,并探讨一些用例,帮助您更好地了解使用AWS WAF时应用程序的整体安全性,并根据仪表板提供的洞察做出明智的决策。
流量概览仪表板介绍
AWS WAF中的流量概览仪表板显示专注于安全的指标概览,使您能够通过几次点击即可识别安全风险并采取行动,比如在分布式拒绝服务DDoS事件期间添加基于速率的规则。这些仪表板包含AWS WAF在评估您的应用程序Web流量时收集的Amazon CloudWatch指标的近实时摘要。
这些仪表板默认可用,无需额外设置。它们展示了每个您使用AWS WAF监控的Web访问控制列表Web ACL的指标包括总请求数、被阻止的请求、允许的请求、与非机器人请求的比较、机器人类别、CAPTCHA解决率、前十大匹配规则等。
您可以访问默认指标,如所有请求的总数量、被阻止请求的数量和常见攻击类型的阻止情况,或者根据对您而言最重要的指标和可视化来自定义仪表板。
这些仪表板提供了增强的可视性,帮助您回答如下问题:
AWS WAF检查的流量中有百分之几被阻止?被阻止请求的来源国有哪些?常见的攻击类型是什么,AWS WAF又如何提供保护?本周的流量模式与上周相比如何?该仪表板与CloudWatch具有原生和开箱即用的集成。利用该集成,您可以在仪表板与CloudWatch之间相互导航;例如,您可以通过在CloudWatch中查看仪表板来获取更细化的指标概览。您还可以将现有的CloudWatch小部件和指标添加到流量概览仪表板,将您经过验证的可视化结构引入仪表板中。
随着流量概览仪表板的推出,AWS WAF工具中的一个采样请求,现在作为Web ACL中的独立选项卡。您可以在这个选项卡中查看AWS WAF检查的Web请求的规则匹配图表。此外,如果您启用了请求采样,您可以看到AWS WAF所检查的Web请求的样本表格。
请求样本包含最多100个符合Web ACL中某个规则标准的请求,和另外100个不符合规则,因此应用了Web ACL的默认操作的请求。样本中的请求来自在过去三小时内收到内容请求的受保护资源。
以下图展示了流量概览仪表板的典型布局。它对检查的请求进行了分类,并按类别显示可操作的洞察,如攻击类型、客户端设备类型及国家。利用这些信息并与您预期的流量特征进行比较,您可以决定是进一步调查还是立即阻止流量。例如,在图1的例子中,如果您的Web应用程序不应接收来自法国的流量,并且仅适用于桌面,则您可能要阻止来自移动设备的法国请求。
用例1:使用仪表板分析流量模式
除了对您的Web流量进行可视化,您还可以利用新仪表板分析可能指示潜在威胁或问题的模式。通过查看仪表板的图表和指标,您可以发现值得进一步调查的流量异常激增或下降。
仪表板的顶层概述显示了总体流量和模式。从那里,您可以深入到Web ACL指标,查看特定规则和规则组的流量趋势和指标。仪表板显示了如允许的请求、被阻止的请求等指标。
关于偏离预期流量模式的通知或警报,会为您提供探索事件的信号。在您的探索过程中,您可以使用仪表板了解更广泛的上下文,而不仅仅是孤立事件。这使得检测可能表明安全事件或错误配置规则的异常趋势变得更加简单。例如,如果您通常每分钟来自某个国家收到2000个请求,但突然看到了每分钟10000个请求,则应进行调查。利用仪表板,您可以在多个维度上查看流量。仅仅请求的激增可能并不清楚地表明威胁,但如果您看到其他指示,例如意外的设备类型,这可能是您采取后续行动的强烈理由。
以下图显示了Web ACL中规则的行动及最匹配的规则。
仪表板还显示了被阻止和允许请求的数量随时间变化的情况。检查是否被阻止请求的异常激增是否与来自特定IP地址、国家或用户代理的流量激增相对应。这可能表明恶意活动或机器人流量的企图。
以下图展示了规则的匹配数量异常增多,表明某种特定方式对受保护的Web应用程序进行了攻击。
同样,检查被允许请求的顶部项目。如果您看到针对特定URL的流量激增,请调查您的应用程序是否正常运作,以排除导致异常模式的应用问题。
分析流量后的下一步
在分析流量模式后,请考虑以下下一步的动作:
根据您的发现,调整AWS WAF规则,以更好地匹配合法或恶意流量。您可能能够微调规则,以减少误报或漏报。通过调整正则表达式或条件来微调阻止合法流量的规则。配置AWS WAF日志记录,如果您有专门的安全信息和事件管理SIEM解决方案,请集成日志记录以启用对异常的自动警报。设置AWS WAF自动阻止已知的恶意IP地址。您可以根据识别的威胁行动者维护IP阻止列表。此外,您还可以使用AWS管理的Amazon IP声誉规则组,该组由Amazon威胁研究团队定期更新。如果您看到针对特定页面的流量激增,请检查您的Web应用程序是否正常运作,以排除导致异常流量模式的应用问题。添加新的规则以阻止您在流量流中发现的新攻击模式。然后检查指标,以帮助确认这些新规则的影响。监控源IP,以应对DDoS事件及其它恶意流量激增。使用AWS WAF基于速率的规则来帮助缓解这些激增。如果遇到流量洪水,请通过使用带DDoS保护的CloudFront实施额外的保护层。新的仪表板为您提供了有关流量的重要洞察,帮助您消除流量分析中的不确定性。利用其提供的洞察,您可以优化AWS WAF的保护,阻止威胁,防止它们影响可用性或数据。定期分析数据,帮助检测潜在威胁,并做出有见地的优化决策。
例如,如果您注意到流量意外激增,且在仪表板中与历史流量模式相比明显不同,且来自您不预计流量来源的国家,您可以在Web ACL中创建地域匹配规则声明来阻止这些流量,防止其到达您的Web应用程序。
这个仪表板是获取洞察和理解AWS WAF如何管理规则来保护您流量的一个极好工具。
用例2:在上线期间理解机器人流量并微调您的机器人控制规则组
通过AWS WAF机器人控制,您可以监控、阻止或对爬虫、扫描器、爬虫、状态监控工具和搜索引擎等机器人进行速率限制。如果您使用规则组的针对性检查级别,您还可以挑战那些没有自我识别的机器人,使恶意机器人在您的网站上操作变得更加困难和成本更高。
在流量概览仪表板的机器人控制概览选项卡下,您可以查看当前流量中的机器人来源比例,这基于请求采样如果未启用机器人控制以及实时CloudWatch指标如果启用了机器人控制。
在上线阶段,利用此仪表板监控您的流量,了解来自各类机器人的流量比例。这可作为您定制机器人管理的起点。例如,您可以以计数模式启用常见机器人控制规则组,查看是否有期望的流量被错误标记。然后,您可以添加规则例外,如在AWS WAF机器人控制示例:允许特定被阻止的机器人中所述。
以下图显示一组小部件,直观呈现检测到的机器人生成请求的各种维度。通过了解类别和请求数量,您可以做出明智的决定,选择进一步调查日志,或阻止明显不必要的特定类别流量。
您可以使用相同的仪表板监控机器人流量,并评估是否增加针对未自我识别的复杂机器人的检测。目标保护会使用检测技术,如浏览器调查、指纹识别和行为启发式来识别恶意机器人流量。AWS WAF令牌是这些增强保护的重要组成部分。
AWS WAF为能够成功响应静默挑战和CAPTCHA谜题的客户端创建、更新和加密令牌。当具有令牌的客户端发送Web请求时,该请求将包含加密令牌,AWS WAF解密该令牌并验证其内容。
在机器人控制仪表板中,令牌状态面板显示了不同令牌状态标签的计数,与相应的应用于请求的规则动作配对。缺少IP令牌阈值面板显示了来自IP的请求数据,这些请求发送的次数超过了缺少令牌的阈值。您可以利用此信息微调AWS WAF配置。
例如,在机器控制规则组内,未带有效令牌的请求可以退出规则组评估,并继续由Web ACL进行评估。要阻止缺少令牌或令牌被拒绝的请求,您可以添加规则,在管理规则组之后立即执行,以捕捉阻止规则组未处理的请求。通过令牌状态面板,如图5所示,您也可以监控获得令牌的请求数量,决定是否希望对这类请求进行速率限制或阻止。
与CloudFront安全仪表板的比较
AWS WAF流量概览仪表板提供了对通过AWS WAF保护的资源的Web流量的增强整体可视性。相比之下,CloudFront安全仪表板将AWS WAF的可视性和控制直接带到您的CloudFront分配中。如果您想拥有详细的可视性和分析,寻找可能表明潜在威胁或问题的模式,则AWS WAF流量概览仪表板是最合适的选择。然而,如果您的目标是在一个地方管理应用程序的交付和安全而不必在不同服务控制台之间切换,并获得应用程序的顶级安全趋势、允许和阻止流量及机器人活动的可视性,那么CloudFront安全仪表板可能是更好的选择。
可用性和定价
新的仪表板可在AWS WAF控制台中使用,您可以利用它们更好地监控您的流量。这些仪表板默认可用,无需额外设置,且不收取费用。如果您启用了完整日志记录,CloudWatch的日志记录将产生单独的费用。有关CloudWatch费用的详细信息,请查看此处。如果您希望根据环境的需求量身定制显示的数据,您可以对仪表板进行自定义。
结论
通过AWS WAF流量概览仪表板,您可以获得有关Web安全状态和流量模式的可操作见解,从而提高您的周边保护。
在本文中,您学习了如何使用仪表板来帮助保护您的Web应用程序。您了解了流量模式分析和可能的下一步措施。此外,您还学习了如何观察机器人流量并根据应用需求采取相应的后续措施。
AWS WAF流量概览仪表板旨在满足大多数用例,并成为Web流量安全可见性的首选解决方案。如果您希望创建自定义解决方案,请参见博客文章以最少努力部署AWS WAF仪表板中的指导。
如果您对这篇文章有反馈,请在评论部分留言。如果您对这篇文章有疑问,欢迎联系AWS支持。
