Activación de la mitigación automática de DDoS en la capa de aplicación
Esta página explica cómo configurar Shield Advanced para que responda automáticamente a ataques en la capa de aplicación.
La mitigación automática de Shield Advanced se habilita como parte de las protecciones DDoS de la capa de aplicación para su recurso. Para obtener información sobre cómo hacer esto con la consola, consulte Configure las protecciones DDoS en la capa de aplicación.
La función de mitigación automática requiere que haga lo siguiente:
-
Asociar una ACL web al recurso: esto se requiere para cualquier protección de la capa de aplicación de Shield Advanced. Puede utilizar la misma ACL web para varios recursos. Recomendamos hacer esto solo para los recursos que tienen un tráfico similar. Para obtener información sobre las ACL web, incluidos los requisitos para utilizarlas con varios recursos, consulte Cómo funciona AWS WAF.
-
Habilitación y configuración de la mitigación automática de DDoS en la capa de aplicación de Shield Advanced: al habilitarla, especifique si desea que Shield Advanced bloquee o cuente automáticamente las solicitudes web que determine que forman parte de un ataque DDoS. Shield Advanced agrega un grupo de reglas a la ACL web asociada y lo usa para administrar su respuesta a los ataques DDoS al recurso de forma dinámica. Para obtener información sobre las opciones de acción de las reglas, consulte Utilización de acciones de reglas en AWS WAF.
-
(Opcional, pero recomendable) Añadir una regla basada en la tasas a la ACL web: de forma predeterminada, la regla basada en tasas proporciona a su recurso una protección básica contra los ataques DDoS al evitar que una dirección IP individual envíe demasiadas solicitudes en poco tiempo. Para obtener información sobre las reglas basadas en tasas, incluidas las opciones de agregación de solicitudes personalizadas y algunos ejemplos, consulte Uso de instrucciones de regla basada en tasas en AWS WAF.
Qué ocurre cuando se habilita la mitigación automática
Al habilitar la mitigación automática, Shield Advanced hace lo siguiente:
-
Según sea necesario, agrega un grupo de reglas para el uso de Shield Advanced: si la ACL web de AWS WAF que ha asociado al recurso aún no tiene una regla del grupo de reglas de AWS WAF dedicada a la mitigación automática de DDoS en la capa de aplicación, Shield Advanced agrega una.
El nombre del grupo de reglas comienza con
ShieldMitigationRuleGroup. El grupo de reglas siempre contiene una regla basada en tasas denominadaShieldKnownOffenderIPRateBasedRule, que limita el volumen de solicitudes de direcciones IP que se sabe que son fuentes de ataques DDoS. Para obtener información adicional sobre el grupo de reglas de Shield Advanced y la regla ACL web en la que se referencia, consulte Protección de la capa de aplicaciones con el grupo de reglas de Shield Advanced. -
Comienza a responder a los ataques DDoS frente al recurso: Shield Advanced responde automáticamente a los ataques DDoS contra el recurso protegido. Además de la regla basada en tasas, que siempre está presente, Shield Advanced usa su grupo de reglas para implementar reglas de AWS WAF personalizadas para la mitigación de los ataques DDoS. Shield Advanced adapta estas reglas a su aplicación y a los ataques que sufre, y las comprueba con el tráfico histórico del recurso antes de implementarlas.
Shield Advanced utiliza una única regla del grupo de reglas en cualquier ACL web que utilice para la mitigación automática. Si Shield Advanced ya ha agregado el grupo de reglas para otro recurso protegido, no agrega un grupo de reglas adicional a la ACL web.
La mitigación automática de DDoS en la capa de aplicación depende de la presencia del grupo de reglas para mitigar los ataques. Si el grupo de reglas se elimina de la ACL web de AWS WAF por algún motivo, la eliminación desactiva la mitigación automática de todos los recursos asociados a la ACL web.
