Shield: capa de aplicación avanzada, AWS WAF reglas web ACLs y basadas en tarifas

Para proteger un recurso de la capa de aplicación con Shield Advanced, comience por asociar una AWS WAF web ACL al recurso. AWS WAF es un firewall de aplicaciones web que permite supervisar las HTTP HTTPS solicitudes que se reenvían a los recursos de la capa de aplicaciones y controlar el acceso al contenido en función de las características de las solicitudes. Puede configurar una web ACL para supervisar y gestionar las solicitudes en función de factores como el origen de la solicitud, el contenido de las cadenas de consulta y las cookies y la tasa de solicitudes procedentes de una sola dirección IP. Como mínimo, su protección Shield Advanced requiere que asocie una web ACL a una regla basada en la tarifa, que limita la tasa de solicitudes para cada dirección IP.

Si la web asociada ACL no tiene definida una regla basada en tarifas, Shield Advanced le pide que defina al menos una. Las reglas basadas en tarifas bloquean automáticamente el tráfico de origen IPs cuando superan los umbrales que usted defina. Ayudan a proteger tu aplicación contra la avalancha de solicitudes web y pueden proporcionar alertas sobre picos repentinos de tráfico que podrían indicar un posible ataque. DDoS

Una vez instalada ACL la web, si se produce un DDoS ataque, se aplican medidas de mitigación añadiendo y gestionando reglas en la web. ACL Puede hacerlo directamente, con la ayuda del Shield Response Team (SRT), o automáticamente mediante la DDoS mitigación automática de la capa de aplicación.

Comportamiento predeterminado de las reglas basado en la velocidad

Cuando utiliza una regla basada en tasas con su configuración predeterminada, evalúa AWS WAF periódicamente el tráfico durante el intervalo de tiempo anterior de 5 minutos. AWS WAF bloquea las solicitudes de cualquier dirección IP que supere el umbral de la regla hasta que la tasa de solicitudes baje a un nivel aceptable. Al configurar una regla basada en la velocidad a través de Shield Advanced, configure su umbral de velocidad en un valor superior a la velocidad de tráfico normal que espera de cualquier IP de origen en cualquier intervalo de tiempo de cinco minutos.

Es posible que desee utilizar más de una regla basada en la velocidad en una web. ACL Por ejemplo, podría tener una regla basada en tasas con un umbral alto para todo el tráfico, además de una o más reglas adicionales configuradas para que coincidan con determinadas partes de la aplicación web y que tengan umbrales más bajos. Por ejemplo, puedes hacer coincidir el umbral URI /login.html con un umbral inferior para reducir el uso indebido de una página de inicio de sesión.

Puedes configurar una regla basada en tasas para usar un período de evaluación diferente y agregar las solicitudes en función de varios componentes de la solicitud, como los valores de los encabezados, las etiquetas y los argumentos de consulta. Para obtener más información, consulte Instrucción de regla basada en frecuencia.

Para obtener información y orientación adicionales, consulte la entrada del blog sobre seguridad Las tres reglas AWS WAF basadas en tarifas más importantes.

Se ampliaron las opciones de configuración mediante AWS WAF

La consola Shield Advanced le permite añadir una regla basada en tasas y configurarla con los ajustes básicos predeterminados. Puede definir opciones de configuración adicionales gestionando sus reglas basadas en tarifas mediante. AWS WAF Por ejemplo, puede configurar la regla para agregar las solicitudes en función de claves como una dirección IP reenviada, una cadena de consulta y una etiqueta. También puede añadir una declaración de restricción a la regla para filtrar algunas solicitudes de evaluación y limitación de tasas. Para obtener más información, consulte Instrucción de regla basada en frecuencia. Para obtener información sobre cómo AWS WAF administrar las reglas de supervisión y administración de las solicitudes web, consulteCrear una ACL web.