Seguridad

Bot Control y prevención de fraude en AWS WAF - Implementación de protección contra bots y prevención de apropiación de cuentas

Detecta scrapers y herramientas de automatización con Bot Control, y previene credential stuffing con ATP. También presentamos el diseño de experiencia de usuario con challenges y CAPTCHA.

約 4 分で読めます

Descripción general de Bot Control

Bot Control de AWS WAF es un grupo de reglas gestionadas que detecta y gestiona el tráfico de bots hacia aplicaciones web. El nivel Common detecta bots comunes (bibliotecas HTTP, scrapers, escáneres de seguridad), y el nivel Targeted detecta bots avanzados (bots que imitan navegadores, bots distribuidos). A las solicitudes detectadas se les asignan etiquetas (como awswaf:managed:aws:bot-control:bot:category:scraping_framework), y se pueden configurar acciones personalizadas basadas en las etiquetas. Los crawlers de motores de búsqueda (como Googlebot) se incluyen automáticamente en la lista de permitidos, sin impacto en el SEO.

Account Takeover Prevention y Fraud Control

Account Takeover Prevention (ATP) monitorea la página de inicio de sesión y detecta credential stuffing (ataques de fuerza bruta usando listas de credenciales filtradas). ATP compara las solicitudes con una base de datos de credenciales robadas y bloquea o muestra CAPTCHA cuando hay coincidencia. También analiza los patrones de éxito/fallo de inicio de sesión y aplica automáticamente limitación de tasa a direcciones IP con tasas de fallo anormales. Account Creation Fraud Prevention (ACFP) monitorea la página de creación de cuentas y detecta la creación masiva de cuentas falsas. Combina la detección de direcciones de correo desechables, la detección de anomalías en patrones de creación y la verificación de navegador mediante JavaScript challenge para prevenir la creación fraudulenta de cuentas.

Diseño de challenges y CAPTCHA

El JavaScript challenge hace que el navegador del cliente ejecute JavaScript para verificar la legitimidad del navegador. Las herramientas de automatización (algunas versiones de Selenium, Puppeteer) fallan en el challenge y sus solicitudes son bloqueadas. CAPTCHA presenta un puzzle visual al usuario para confirmar que es humano. Dado que los challenges y CAPTCHA afectan la experiencia del usuario, se deben seleccionar cuidadosamente las páginas donde se aplican. Se recomienda un diseño que los limite a páginas con alto riesgo de fraude como páginas de inicio de sesión, creación de cuentas y pagos, sin aplicarlos a páginas de contenido general. Se configura el tiempo de inmunidad del challenge (período de exención después de pasar la verificación una vez) para reducir la carga sobre usuarios legítimos. Para explicaciones más detalladas sobre protección contra bots, también puede consultar libros relacionados en Amazon.

Precios de WAF Bot Control

El precio base de WAF es aproximadamente 5,00 USD mensuales por Web ACL, aproximadamente 1,00 USD mensual por regla, y aproximadamente 0,60 USD por millón de solicitudes. El nivel Common de Bot Control agrega aproximadamente 1,00 USD por millón de solicitudes, y el nivel Targeted agrega aproximadamente 10,00 USD. ATP (Account Takeover Prevention) cuesta aproximadamente 1,00 USD por cada 1.000 intentos de inicio de sesión, y ACFP cuesta aproximadamente 2,00 USD por cada 1.000 intentos de creación de cuentas. Dado que el nivel Targeted de Bot Control es costoso, se recomienda un diseño que lo limite a páginas con alto riesgo de fraude como inicio de sesión y pagos, aplicando el nivel Common a páginas de contenido general para gestionar los costos.

Resumen

Bot Control, ATP y ACFP de AWS WAF son reglas gestionadas que protegen las aplicaciones web contra bots y fraude. La evaluación flexible de reglas basada en etiquetas permite ajustar la precisión de detección, y los challenges y CAPTCHA equilibran la experiencia del usuario con la seguridad. Se integran con CloudFront y API Gateway para interceptar amenazas en la capa frontal de la aplicación.

Servicios relacionados

AWS WAFFirewall de aplicaciones web que protege aplicaciones contra exploits web comunesAmazon CloudFrontUn servicio CDN que distribuye contenido a alta velocidad desde ubicaciones de borde en todo el mundoAmazon API GatewayUn servicio completamente administrado para crear, publicar, gestionar y monitorear APIs

Artículos relacionados

Control de tráfico VPC con AWS Network Firewall - Reglas stateful y filtrado de dominiosExplicación del control de tráfico VPC con AWS Network Firewall. Se presenta la diferenciación con Security Groups, el diseño de reglas, el filtrado de dominios y las reglas gestionadas.Gestión centralizada de reglas de seguridad con AWS Firewall Manager - Despliegue organizacional de WAF y Security GroupsGestionamos centralizadamente las reglas WAF, Security Groups y políticas de Network Firewall en toda la organización, manteniendo la línea base de seguridad con aplicación automática a nuevas cuentas.Protección DDoS con AWS Shield - Elección entre Standard y AdvancedExplicamos las diferencias entre la protección gratuita L3/L4 de Standard y la protección avanzada L7 de Advanced con asistencia del SRT, la protección de costos y la integración con WAF.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS WAFFirewall de aplicaciones web que protege aplicaciones contra exploits web comunes mediante reglas personalizables que filtran tráfico HTTP/HTTPS maliciosoConstrucción de bots conversacionales - Interfaces de conversación natural con Amazon Lex y PollyAprenda a construir bots conversacionales utilizando Amazon Lex y Amazon Polly.Amazon LexServicio para construir interfaces conversacionales por voz y texto, basado en el mismo motor de comprensión del lenguaje natural de Amazon Alexa, diseñando flujos de diálogo mediante intents y slotsAmazon CognitoServicio completamente administrado que añade funcionalidad de autenticación y autorización a aplicaciones web y móviles, compatible con login social y federación SAML