Mejores prácticas para utilizar la mitigación automática de la capa DDo S de aplicación - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas para utilizar la mitigación automática de la capa DDo S de aplicación

Siga las instrucciones que se proporcionan en esta sección cuando utilice la mitigación automática.

Administración de protecciones generales

Siga estas pautas para planificar e implementar sus protecciones de mitigación automática.

  • Administre todas sus protecciones de mitigación automática a través de Shield Advanced o, si las utiliza AWS Firewall Manager para administrar la configuración de mitigación automática de Shield Advanced, a través de Firewall Manager. No mezcle el uso de Shield Advanced y Firewall Manager para administrar estas protecciones.

  • Administre recursos similares utilizando la misma configuración web ACLs y de protección, y administre recursos diferentes utilizando una web ACLs diferente. Cuando Shield Advanced mitiga un ataque DDo S a un recurso protegido, define las reglas para la ACL web asociada al recurso y, a continuación, las compara con el tráfico de todos los recursos asociados a la ACL web. Shield Advanced solo aplicará las reglas si no afectan negativamente a ninguno de los recursos asociados. Para obtener más información, consulte Cómo administra Shield Advanced la mitigación automática.

  • En el caso de los balanceadores de carga de aplicaciones que tienen todo su tráfico de Internet redirigido por proxy a través de una CloudFront distribución de Amazon, solo habilita la mitigación automática en la CloudFront distribución. La CloudFront distribución siempre tendrá la mayor cantidad de atributos de tráfico originales, que Shield Advanced aprovecha para mitigar los ataques.

Optimización de la detección y mitigación

Siga estas pautas para optimizar las protecciones que la mitigación automática proporciona a los recursos protegidos. Para obtener una descripción general de la detección y mitigación de la capa de aplicación, consulte Lista de factores que afectan a la detección y mitigación de eventos de la capa de aplicación con Shield Avanzado.

  • Configure la comprobación de estado de sus recursos protegidos y utilícelos para habilitar la detección basada en el estado en sus protecciones de Shield Avanzado. Para obtener instrucciones, consulte Detección basada en el estado mediante comprobaciones de estado con Shield Avanzado y Route 53.

  • Habilite la mitigación automática en Count modo hasta que Shield Advanced haya establecido una línea base para el tráfico normal e histórico. Shield Avanzado requiere de 24 horas a 30 días para establecer una referencia.

    Para establecer una base de patrones de tráfico normales se requiere lo siguiente:

    • La asociación de una ACL web con el recurso protegido. Puede utilizarla AWS WAF directamente para asociar su ACL web o puede hacer que Shield Advanced la asocie cuando active la protección de la capa de aplicaciones de Shield Advanced y especifique la ACL web que desee utilizar.

    • Flujo de tráfico normal hacia su aplicación protegida. Si su aplicación no experimenta un tráfico normal, por ejemplo, antes de que se inicie, o si no cuenta con tráfico de producción durante períodos prolongados, no se podrán recopilar los datos históricos.

Administración de ACL web

Siga estas pautas para administrar la web ACLs que utiliza con la mitigación automática.

  • Si necesita reemplazar la ACL web asociada al recurso protegido, realice los siguientes cambios en este orden:

    1. En Shield Avanzado, active la mitigación automática.

    2. En AWS WAF, desasocie la antigua ACL web y asocie la nueva ACL web.

    3. En Shield Avanzado, active la mitigación automática.

    Shield Avanzado no transfiere automáticamente la mitigación automática de la antigua ACL web a la nueva.

  • No elimine ninguna regla de grupo de reglas de la web ACLs cuyo nombre comience por. ShieldMitigationRuleGroup Si elimina este grupo de reglas, deshabilite las protecciones que proporciona la mitigación automática de Shield Avanzado para cada recurso asociado a la ACL web. Además, Shield Advanced puede tardar algún tiempo en recibir la notificación del cambio y actualizar su configuración. Durante este tiempo, las páginas de la consola de Shield Advanced proporcionarán información incorrecta.

    Para obtener más información acerca de este grupo de reglas, consulte Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado.

  • No modifique el nombre de una regla del grupo de reglas que comience por ShieldMitigationRuleGroup. Si lo hace, puede interferir en las protecciones que proporciona la mitigación automática de Shield Advanced a través de la ACL web.

  • Al crear reglas y grupos de reglas, no utilice nombres que comiencen por ShieldMitigationRuleGroup. Shield Advanced utiliza esta cadena para gestionar las mitigaciones automáticas.

  • Al administrar sus reglas de ACL web, no asigne una configuración de prioridad de 10.000.000. Shield Advanced asigna esta configuración de prioridad a su regla del grupo de reglas de mitigación automática cuando la agrega.

  • Mantenga la prioridad de la regla ShieldMitigationRuleGroup en relación con las demás reglas de su ACL web para que se ejecute cuando desee. Shield Advanced añade la regla del grupo de reglas a la ACL web con una prioridad de 10.000.000 para que se ejecute después de las demás reglas. Si usa el asistente de AWS WAF consola para administrar su ACL web, ajuste la configuración de prioridad según sea necesario después de agregar reglas a la ACL web.

  • Si lo utiliza AWS CloudFormation para administrar su web ACLs, no necesita administrar la ShieldMitigationRuleGroup regla del grupo de reglas. Siga las instrucciones de Uso AWS CloudFormation con mitigación automática de la capa DDo S de aplicación.