Comment utiliser AWS WAF pour atténuer les attaques DDoS ?

Brève description

Pour utiliser AWS WAF comme principale solution d'atténuation contre les attaques DDoS de la couche applicative, procédez comme suit :

• Utilisez des règles fréquentielles.
• Interrogez les journaux AWS WAF pour recueillir des informations spécifiques sur les activités non autorisées.
• Créez une règle de correspondance géographique pour bloquer les requêtes erronées provenant d'un pays non prévu pour votre entreprise.
• Créez une règle de correspondance d’ensembles d'adresses IP pour bloquer les requêtes erronées.
• Créez une règle de correspondance de chaînes pour bloquer les requêtes erronées.
• Créez une règle de correspondance regex pour bloquer les requêtes erronées.
• Activez le contrôle des bots et utilisez le niveau de protection ciblé.
• Utilisez le groupe de règles gérées par la liste de réputation d'adresses IP Amazon.

Pour les attaques visant la couche d’infrastructure, utilisez des services AWS tels qu'Amazon CloudFront et Elastic Load Balancing (ELB) pour assurer une protection automatique contre les attaques DDoS. Pour plus d'informations, consultez la section Bonnes pratiques d’AWS en matière de résilience face aux attaques DDoS. Vous pouvez également utiliser la couche applicative automatique d'AWS Shield Advanced pour atténuer les attaques sophistiquées (couches 3 à 7). Pour en savoir plus, consultez la section Automatisation de l'atténuation des attaques DDoS au niveau de la couche applicative avec Shield Advanced.

Résolution

Utiliser des règles fréquentielles

Créer une règle fréquentielle générale

Utilisez une règle fréquentielle générale pour définir un seuil pour le nombre de requêtes que les adresses IP peuvent envoyer à votre application Web.

Procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, sélectionnez AWS WAF, puis Listes ACL Web.
3. Dans Région, choisissez la région AWS dans laquelle vous avez créé votre liste ACL Web.
   Remarque : S votre liste ACL Web est configurée pour Amazon CloudFront, sélectionnez Global.
4. Sélectionnez votre liste ACL Web.
5. Sous Règles, sélectionnez Ajouter des règles, puis Ajouter mes propres règles et groupes de règles.
6. Pour configurer votre règle, configurez les valeurs suivantes :
   Dans Type de règle, sélectionnez Générateur de règles.
   Dans Nom, saisissez un nom de règle.
   Dans Type, sélectionnez Règle fréquentielle.
   Dans Limite de débit, saisissez un nombre compris entre 100 et 20 000 000.
   Remarque : Si vous n'êtes pas sûr de la limite de débit à définir, utilisez l'action de règle pour comptabiliser et surveiller vos modèles de requête. Définissez ensuite une limite de débit en fonction de votre niveau de référence.
   Dans Fenêtre d'évaluation, saisissez 1, 2, 5 ou 10 minutes.
   Dans Adresse IP à utiliser pour limiter le débit, sélectionnez Adresse IP source ou Adresse IP dans l'en-tête.
   Dans Action de règle, choisissez Bloquer.
   Remarque : Une fois que vous avez soumis une modification du taux de requête, AWS WAF peut mettre un certain temps à appliquer ou à supprimer l'action relative à la règle.
   Dans Portée de l'inspection, sélectionnez Prendre en compte toutes les requêtes.
7. Sélectionnez Ajouter une règle.
8. Sélectionnez Enregistrer.

Créer une règle fréquentielle (chemin d'URI) de règle personnalisée

Procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, sélectionnez AWS WAF, puis Listes ACL Web.
3. Dans Région, choisissez la région dans laquelle vous avez créé votre liste ACL Web.
   Remarque : Si votre liste ACL Web est configurée pour CloudFront, sélectionnez Global.
4. Sélectionnez votre liste ACL Web.
5. Sous Règles, sélectionnez Ajouter des règles, puis Ajouter mes propres règles et groupes de règles.
6. Pour configurer votre règle, configurez les valeurs suivantes :
   Dans Type de règle, sélectionnez Générateur de règles.
   Dans Nom, saisissez un nom de règle.
   Dans Type, sélectionnez Règle fréquentielle.
   Dans Limite de débit, saisissez un nombre compris entre 100 et 20 000 000.
   Remarque : Si vous n'êtes pas sûr de la limite de débit à définir, utilisez l'action de règle pour comptabiliser et surveiller vos modèles de requête. Définissez ensuite une limite de débit en fonction de votre niveau de référence.
   Dans Agrégation de requêtes, sélectionnez Clés personnalisées.
   Dans Clés d'agrégation des requêtes, sélectionnez Chemin URI.
   Dans Transformation de texte, choisissez Aucune.
   Dans Critères de comptabilisation des requêtes dans la limite de débit, sélectionnez Prendre en compte toutes les requêtes.
   Dans Action de règle, choisissez Bloquer.
7. Sélectionnez Ajouter une règle.
8. (Facultatif) Dans Définir la priorité de la règle, sélectionnez votre règle et mettez à jour sa priorité. Pour plus d'informations, consultez la section Définition de la priorité d’une règle dans une liste ACL Web.
9. Sélectionnez Enregistrer.

Pour plus d'informations, consultez la section Les trois principales règles fréquentielles AWS WAF.

Interroger les journaux AWS WAF pour recueillir des informations spécifiques sur les activités non autorisées

Activer la journalisation AWS WAF Puis, interrogez les journaux AWS WAF pour étudier les scénarios DDoS.

Vous pouvez utiliser les services AWS suivants pour interroger les journaux AWS WAF :

• Amazon CloudWatch Logs
• Amazon Athena
• Amazon OpenSearch Service et Amazon QuickSight.

Utiliser l'analyseur de journaux Amazon Athena ou l'analyseur de journaux AWS Lambda

AWS WAF dispose d'une limite de débit minimale acceptable pour les règles fréquentielles. Si vous ne pouvez pas utiliser de règles fréquentielles en raison d'un faible volume ou si vous avez nécessitez une période de blocage personnalisable, utilisez un analyseur de journaux dans Athena ou Lambda. Les deux services sont disponibles dans Automatisations de sécurité pour AWS WAF.

Créez une instruction de règle de correspondance géographique pour bloquer les requêtes erronées provenant d'un pays non prévu pour votre entreprise

Procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, sélectionnez AWS WAF, puis Listes ACL Web.
3. Dans Région, choisissez la région dans laquelle vous avez créé votre liste ACL Web.
   Remarque : Si votre liste ACL Web est configurée pour CloudFront, sélectionnez Global.
4. Sélectionnez votre liste ACL Web.
5. Sous Règles, sélectionnez Ajouter des règles, puis Ajouter mes propres règles et groupes de règles.
6. Dans Nom, entrez un nom de règle, puis choisissez Règle régulière.
7. Dans Options de demande, choisissez provient d’un pays dans, puis choisissez les codes de pays que vous souhaitez bloquer.
8. Dans Action de règle, sélectionnez Bloquer.
9. Sélectionnez Ajouter une règle.

Pour plus d'informations, consultez la section Instruction de règle de correspondance géographique.

Créer une règle de correspondance d’ensembles d'adresses IP pour bloquer les requêtes erronées provenant d'adresses IP spécifiques

Procédez comme suit :

1. Créez un ensemble d'adresses IP, puis ajoutez les adresses IP que vous souhaitez bloquer.
2. Ouvrez la console AWS WAF.
3. Dans le volet de navigation, sélectionnez AWS WAF, puis Listes ACL Web.
4. Dans Région, choisissez la région dans laquelle vous avez créé votre liste ACL Web.
   Remarque : Si votre liste ACL Web est configurée pour CloudFront, sélectionnez Global.
5. Sélectionnez votre liste ACL Web.
6. Sous Règles, sélectionnez Ajouter des règles, puis Ajouter mes propres règles et groupes de règles.
7. Dans Nom, entrez un nom de règle, puis choisissez Règle régulière.
8. Sélectionnez Créer une règle de correspondance d’adresses IP.
9. Dans Options de demande, choisissez provient d'une adresse IP dans, puis choisissez votre ensemble d'adresses IP.
10. Dans Action de règle, choisissez Bloquer.
11. Sélectionnez Ajouter une règle.

Pour plus d'informations, consultez la section Instruction de règle de correspondance d’adresses IP.

Créer une instruction de règle de correspondance de chaînes pour bloquer les requêtes erronées

Procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, sélectionnez AWS WAF, puis Listes ACL Web.
3. Dans Région, choisissez la région dans laquelle vous avez créé votre liste ACL Web.
   Remarque : Si votre liste ACL Web est configurée pour CloudFront, sélectionnez Global.
4. Sélectionnez votre liste ACL Web.
5. Sélectionnez Créer une règle de correspondance de chaînes.
6. Pour configurer votre règle, configurez les valeurs suivantes :
   Dans Inspecter, sélectionnez En-tête.
   Dans Nom du champ En-tête, entrez le nom du bot que vous souhaitez bloquer tel qu'il apparaît dans vos journaux AWS WAF.
   Dans Type de correspondance, sélectionnez Correspond exactement à la chaîne.
   Dans Chaîne à faire correspondre, entrez la valeur du bot que vous souhaitez bloquer telle qu'elle apparaît dans vos journaux AWS WAF.
   Dans Action de règle, choisissez Bloquer.
7. Sélectionnez Ajouter une règle.

Pour plus d'informations, consultez la section Instruction de règle de correspondance de chaînes.

Créer une instruction de règle de correspondance regex pour bloquer les requêtes erronées

Procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, sélectionnez AWS WAF, puis Listes ACL Web.
3. Dans Région, choisissez la région dans laquelle vous avez créé votre liste ACL Web.
   Remarque : Si votre liste ACL Web est configurée pour CloudFront, sélectionnez Global.
4. Sélectionnez votre liste ACL Web.
5. Sélectionnez Créer une règle de correspondance de chaînes.
6. Pour configurer votre règle, configurez les valeurs suivantes :
   Dans Inspecter, sélectionnez Chemin URI.
   Dans Type de correspondance, sélectionnez Correspond à l'expression régulière.
   Dans Chaîne à faire correspondre, entrez l'expression régulière que vous souhaitez bloquer.
   Dans Action de règle, choisissez Bloquer.
7. Sélectionnez Ajouter une règle.

Pour plus d'informations, consultez la section Instruction de règle de correspondance Regex.

Activer le contrôle des bots et utiliser le niveau de protection ciblé

Le niveau de protection ciblé pour Contrôle des bots AWS WAF utilise une combinaison de limitation de débit et d’actions CAPTCHA et Challenge pour réduire l'activité des bots. Pour plus d'informations sur la tarification ciblée de contrôle des bots, consultez Cas F sur la page Tarification d’AWS WAF.

Pour activer le contrôle des bots et le niveau de protection ciblé, procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, sélectionnez AWS WAF, puis Listes Web ACL.
3. Pour Région, sélectionnez la région AWS dans laquelle vous avez créé votre liste de contrôle d’accès Web (ACL).
   Remarque : Si votre liste ACL Web est configurée pour CloudFront, sélectionnez Global.
4. Sélectionnez votre liste ACL Web, puis choisissez Ajouter des groupes de règles gérées.
5. Dans Groupes de règles gérées par AWS, pour Groupes de règles payantes, activez Contrôle des bots.
6. Choisissez Modifier, puis dans Niveau d'inspection, sélectionnez ** Ciblé**.
7. Choisissez Enregistrer la règle.

Utiliser le groupe de règles gérées par la liste de réputation d'adresses IP Amazon

Le groupe de règles gérées AmazonIPReputationList utilise les renseignements internes d'Amazon sur les menaces pour identifier les adresses IP qui ont participé activement à des activités DDoS.

Pour activer le groupe de règles gérées par la liste de réputation d'adresses IP Amazon, procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, sélectionnez AWS WAF, puis Listes Web ACL.
3. Pour Région, sélectionnez la région AWS dans laquelle vous avez créé votre liste de contrôle d’accès Web (ACL).
   Remarque : Si votre liste ACL Web est configurée pour CloudFront, sélectionnez Global.
4. Sélectionnez votre liste ACL Web, puis choisissez Ajouter des groupes de règles gérées.
5. Dans Groupes de règle gérées par AWS, sélectionnez AmazonIpReputationList.
6. Choisissez Enregistrer la règle.