Protección de la capa de aplicaciones con el grupo de reglas de Shield Advanced
En esta página, se explica cómo funciona el grupo de reglas de Shield Advanced en su ACL web.
Shield Advanced administra las actividades de mitigación automáticas mediante reglas de un grupo de reglas del que es propietario y que administra por usted. Shield Advanced hace referencia al grupo de reglas con una regla de la ACL web que ha asociado a su recurso protegido.
La regla del grupo de reglas de su ACL web
La regla de grupo de reglas de Shield Advanced de su ACL web presenta las siguientes propiedades:
-
Nombre:
ShieldMitigationRuleGroup
_
account-id
_web-acl-id
_unique-identifier
-
Unidades de capacidad de ACL web (WCU): 150. Estas WCU se tienen en cuenta para el uso de la WCU en su ACL web.
Shield Advanced crea esta regla en la ACL web con una configuración de prioridad de 10 000.000, de modo que se ejecute después de las demás reglas y grupos de reglas de la ACL web. AWS WAF ejecuta las reglas en una ACL web a partir de la configuración de prioridad numérica más baja activada. Durante la administración de la ACL web, esta configuración de prioridad puede cambiar.
La función de mitigación automática no consume recursos de AWS WAF adicionales de su cuenta, además de las WCU que utiliza el grupo de reglas de su ACL web. Por ejemplo, el grupo de reglas de Shield Advanced no se cuenta como uno de los grupos de reglas de su cuenta. Para obtener información acerca de los límites de cuenta de AWS WAF, consulte Cuotas de AWS WAF.
Reglas en el grupo de reglas
Dentro del grupo de reglas Shield Advanced al que se hace referencia, Shield Advanced mantiene una regla basada en tasas ShieldKnownOffenderIPRateBasedRule
, que limita el volumen de solicitudes de direcciones IP que se sabe que son fuentes de ataques DDoS. Esta regla sirve como primera línea de defensa contra cualquier ataque, ya que siempre está presente en el grupo de reglas y no se basa en el análisis de los patrones de tráfico para contener los ataques. La acción de esta regla se establece en la acción que elija para las mitigaciones automáticas, al igual que las demás reglas del grupo de reglas. Para obtener información acerca de las reglas basadas en tasas, consulte Uso de instrucciones de regla basada en tasas en AWS WAF.
nota
La regla basada en tasas ShieldKnownOffenderIPRateBasedRule
funciona independientemente de la detección de eventos de Shield Advanced. Si bien la mitigación automática está habilitada, esta regla basada en tasas limita las direcciones IP que se sabe que son fuentes de ataques DDoS. Para estas direcciones IP, la limitación de velocidad de la regla puede evitar los ataques y también evitar que los ataques aparezcan en la información de detección de Shield Advanced. Esta compensación favorece la prevención por encima de la visibilidad total de los patrones de ataque.
Además de la regla basada en tasas permanente que se describe anteriormente, el grupo de reglas contiene todas las reglas que Shield Advanced utiliza actualmente para mitigar los ataques DDoS. Shield Advanced agrega, modifica y elimina estas reglas según sea necesario. Para obtener más información, consulte Cómo administra Shield Advanced la mitigación automática.
Métricas
El grupo de reglas genera métricas de AWS WAF, pero, dado que este grupo de reglas es propiedad de Shield Advanced, estas métricas no están disponibles para su visualización. Para obtener más información, consulte Métricas y dimensiones de AWS WAF.