Opciones para los desafíos y la adquisición de tókenes - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Opciones para los desafíos y la adquisición de tókenes

En esta sección se comparan las opciones de administración de desafíos y tókenes.

Puede plantear desafíos y adquirir tokens mediante los SDK de integración de aplicaciones de AWS WAF o las acciones de regla Challenge y CAPTCHA. En términos generales, las acciones de reglas son más fáciles de implementar, pero incurren en costos adicionales, interfieren más en la experiencia del cliente y requieren JavaScript. Los SDK requieren programación en las aplicaciones cliente, pero pueden proporcionar una mejor experiencia al cliente, son de uso gratuito y se pueden usar con JavaScript o en aplicaciones de Android o iOS. Los SDK de integración de aplicaciones solo se pueden usar con los paquetes de protección (ACL web) que usen uno de los grupos de reglas administradas de pago de mitigación de amenazas inteligentes, que se describen en la siguiente sección.

Comparación de opciones para los desafíos y la adquisición de tokens
ChallengeAcción de la regla de CAPTCHAAcción de la regla de Desafío del SDK de JavaScript Desafío del SDK para móviles
Definición Acción de regla que aplica la adquisición del token de AWS WAF al presentar al cliente del navegador un intersticial de desafío silencioso Acción de regla que aplica la adquisición del token de AWS WAF al presentar al cliente del navegador un desafío intersticial silencioso visual o auditivo

Capa de integración de aplicaciones, para navegadores de clientes y otros dispositivos que ejecutan JavaScript. Renderiza el desafío silencioso y adquiere un token

Capa de integración de aplicaciones, para aplicaciones de Android e iOS. Renderiza el desafío silencioso de forma nativa y adquiere un token
Buena elección para... Validación silenciosa contra las sesiones de bots y aplicación de la adquisición de tokens para los clientes que admiten JavaScript Validación silenciosa del usuario final y contra las sesiones de bots y aplicación de la adquisición de tokens para los clientes que admiten JavaScript Validación silenciosa contra las sesiones de bots y aplicación de la adquisición de tokens para los clientes que admiten JavaScript.

Los SDK proporcionan la latencia más baja y el mejor control sobre dónde se ejecuta el script de desafío en la aplicación.

 Validación silenciosa contra las sesiones de bots y aplicación de la adquisición de tokens para aplicaciones móviles nativas en Android e iOS.

Los SDK proporcionan la latencia más baja y el mejor control sobre dónde se ejecuta el script de desafío en la aplicación.
Consideraciones de implementación Implementado como configuración de una acción de regla Implementado como configuración de una acción de regla Requiere uno de los grupos de reglas de pago de ACFP, ATP o control de bots del paquete de protección (ACL web).

Requiere codificación en la aplicación cliente.

 Requiere uno de los grupos de reglas de pago de ACFP, ATP o control de bots del paquete de protección (ACL web).

Requiere codificación en la aplicación cliente.
Consideraciones sobre el tiempo de ejecución Flujo intrusivo de solicitudes sin tokens válidos. El cliente es redirigido a un desafío intersticial de AWS WAF. Añade viajes de ida y vuelta a la red, y requiere una segunda evaluación de la solicitud web. Flujo intrusivo de solicitudes sin tokens válidos. El cliente es redirigido a un desafío intersticial de CAPTCHA AWS WAF. Añade viajes de ida y vuelta a la red, y requiere una segunda evaluación de la solicitud web. Se puede ejecutar entre bastidores. Le da más control sobre la experiencia del desafío. Se puede ejecutar entre bastidores. Le da más control sobre la experiencia del desafío.
Requiere JavaScript No
Clientes compatibles Navegador y dispositivos que ejecutan Javascript Navegador y dispositivos que ejecutan Javascript Navegador y dispositivos que ejecutan Javascript Dispositivos Android e iOS
Admite aplicaciones de una sola página (SPA) Solo aplicación.

Puede usar la acción Challenge junto con los SDK para asegurarse de que las solicitudes tengan un token de desafío válido. No puede usar la acción de regla para enviar el script del desafío a la página.

Solo aplicación.

Puede usar la acción CAPTCHA junto con los SDK para asegurarse de que las solicitudes tengan un token de CAPTCHA válido. No puede usar la acción de regla para enviar el script de CAPTCHA a la página.

N/A
costos adicionales Sí, para las configuraciones de acción que especifique explícitamente, ya sea en las reglas que defina o como anulaciones de acciones de regla en los grupos de reglas que utilice. No en todos los demás casos. Sí, para las configuraciones de acción que especifique explícitamente, ya sea en las reglas que defina o como anulaciones de acciones de regla en los grupos de reglas que utilice. No en todos los demás casos. No, pero requiere uno de los grupos de reglas de pago de ACFP, ATP o control de bots. No, pero requiere uno de los grupos de reglas de pago de ACFP, ATP o control de bots.

Para obtener más información sobre los costos asociados a estas opciones, consulte la información sobre la mitigación de amenazas inteligentes en Precios de AWS WAF.

Puede resultar más sencillo plantear desafíos y garantizar una aplicación básica de los símbolos con tan solo agregar una regla con una Challenge o una CAPTCHA acción. Es posible que tenga que usar las acciones de regla, por ejemplo, si no tiene acceso al código de la aplicación.

Sin embargo, si puede implementar los SDK, podrá ahorrar costos y reducir la latencia en la evaluación de las solicitudes web de los clientes por parte del paquete de protección (ACL web), en comparación con el uso de la acción Challenge:

  • Puede escribir la implementación del SDK para ejecutar el desafío en cualquier punto de la aplicación. Puede adquirir el token en segundo plano, antes de cualquier acción del cliente que pueda enviar una solicitud web a su recurso protegido. De esta forma, el token estará disponible para enviarlo con la primera solicitud de su cliente.

  • Si, por el contrario, adquiere los tokens implementando una regla con la acción Challenge, la regla y la acción requieren una evaluación y un procesamiento adicionales de las solicitudes web cuando el cliente envía una solicitud por primera vez y cada vez que el token caduque. La acción Challenge bloquea la solicitud que no tiene un token válido y vigente, y devuelve el desafío intersticial al cliente. Una vez que el cliente responde correctamente al desafío, el intersticial vuelve a enviar la solicitud web original con el token válido, que el paquete de protección (ACL web) evalúa luego por segunda vez.