Implementaciones de candidatas a ser lanzadas para las reglas administradas de AWS - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Implementaciones de candidatas a ser lanzadas para las reglas administradas de AWS

En esta sección se explica cómo funciona la implementación temporal de una versión candidata a ser lanzada.

Cuando AWS tiene un conjunto de cambios de reglas candidatas para un grupo de reglas administradas, los pone a prueba en una implementación de versión candidata a ser lanzada temporal. AWS evalúa las reglas candidatas en el modo de recuento comparándolas con el tráfico de producción y realiza las últimas actividades de ajuste, incluida la mitigación de los falsos positivos. AWS prueba las reglas de la versión candidata a ser lanzada de esta manera para todos los clientes que utilizan la versión predeterminada del grupo de reglas. Las implementaciones de la versión candidata a ser lanzada no se aplican a los clientes que usan una versión estática del grupo de reglas.

Si utiliza la versión predeterminada, una implementación de la versión candidata a ser lanzada no alterará la forma en que el grupo de reglas administra su tráfico web. Es posible que observe lo siguiente mientras se prueban las reglas candidatas:

  • El nombre de la versión predeterminada cambia de Default (using Version_X.Y) a Default (using Version_X.Y_PLUS_RC_COUNT).

  • Métricas de recuento adicionales en Amazon CloudWatch con RC_COUNT en sus nombres. Estas se generan mediante las reglas candidatas a ser lanzadas.

AWS prueba una versión candidata a ser lanzada durante aproximadamente una semana, luego, la elimina y restablece la versión predeterminada a la versión estática recomendada actualmente.

AWS ejecuta los siguientes pasos para una implementación de versión candidata a ser lanzada:

  1. Crear la versión candidata: AWS añade una versión candidata a ser lanzada en función de la versión estática recomendada actualmente, que es la versión a la que señala la versión predeterminada.

    El nombre de la versión candidata a ser lanzada es el nombre de la versión estática al que se añade _PLUS_RC_COUNT. Por ejemplo, si la versión estática actualmente recomendada es Version_2.1, la versión candidata a ser lanzada recibirá el nombre Version_2.1_PLUS_RC_COUNT.

    La versión candidata a ser lanzada contiene las siguientes reglas:

    • Las reglas se copiaron exactamente de la versión estática recomendada actualmente, sin cambios en la configuración de las reglas.

    • Reglas candidatas nuevas con la acción de regla configurada en Count y cuyos nombres terminen en _RC_COUNT.

      La mayoría de las reglas de las versiones candidatas incluyen propuestas de mejora para las reglas que ya existen en el grupo de reglas. El nombre de cada una de estas reglas es el nombre de la regla existente al que se añade _RC_COUNT.

  2. Definir la versión predeterminada como la versión candidata a ser lanzada y probar: AWS configura la versión predeterminada para que señale a la nueva versión candidata a ser lanzada, con el fin de realizar pruebas con el tráfico de producción. Las pruebas suelen tardar alrededor de una semana.

    Verá que el nombre de la versión predeterminada cambia de una versión que solo indica la versión estática, por ejemplo Default (using Version_1.4), a una que indica la versión estática más las reglas de la versión candidata a ser lanzada, por ejemplo Default (using Version_1.4_PLUS_RC_COUNT). Este esquema de nomenclatura le permite identificar qué versión estática utiliza para gestionar el tráfico web.

    El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo en este momento.

    En la parte superior de la imagen, hay tres versiones estáticas apiladas, con Version_1.4 en la parte superior. La versión Version_1.4_PLUS_RC_COUNT es independiente de la pila de versiones estáticas. Esta versión contiene las reglas de la Version_1.4 y también contiene dos reglas candidatas a ser lanzadas, Ruleb_RC_Count y Rulez_RC_Count, ambas con acción de recuento. El indicador de versión predeterminado señala la Version_1.4_PLUS_RC_COUNT.

    Las reglas candidatas a ser lanzadas siempre se configuran con una acción Count, por lo que no alteran la forma en que el grupo de reglas administra el tráfico web.

    Las reglas de versiones candidatas a ser lanzadas generan métricas de recuento de Amazon CloudWatch que AWS utiliza para verificar el comportamiento e identificar los falsos positivos. AWS realiza los ajustes necesarios para afinar el comportamiento de las reglas de recuento de versiones candidatas a ser lanzadas.

    La versión candidata a ser lanzada no es estática y no puede seleccionarla de la lista de versiones de grupos de reglas estáticas. Solamente puede ver el nombre de la versión candidata a ser lanzada en la especificación de la versión predeterminada.

  3. Devolver la versión predeterminada a la versión estática recomendada: tras probar las reglas candidatas a ser lanzadas, AWS restablece la versión predeterminada a la versión estática recomendada actualmente. La configuración predeterminada del nombre de la versión elimina el _PLUS_RC_COUNT final y el grupo de reglas deja de generar métricas de recuento de CloudWatch para las reglas de candidatas a ser lanzadas. Se trata de un cambio silencioso y no es lo mismo que implementar una reversión de una versión predeterminada.

    El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo una vez finalizadas las pruebas de la candidata a ser lanzada.

    De nuevo, esta es la imagen de los estados de versión típicos. Tres versiones estáticas, las Version_1.2, Version_1.3 y Version_1.4, están apiladas, con la Versión_1.4 en la parte superior. La Version_1.4 tiene dos reglas, la RuleA y la RuleB, ambas con acción de producción. Un indicador de versión predeterminado señala la Version_1.4.
Calendario y notificaciones

AWS despliega versiones candidatas a ser lanzadas según sea necesario para probar las mejoras en un grupo de reglas.

  • SNS: AWS envía una notificación de SNS al inicio de la implementación. La notificación indica el tiempo estimado durante el que se probará la versión candidata. Una vez finalizadas las pruebas, AWS devuelve silenciosamente la configuración predeterminada de la versión estática, sin necesidad de una segunda notificación.

  • Registro de cambios: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.