Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Automatización de la mitigación de DDoS en la capa de aplicación con Shield Advanced
En esta página se presenta el tema de la mitigación automática de DDoS en la capa de aplicación y se enumeran las advertencias relacionadas.
Puede configurar Shield Advanced para que responda automáticamente y mitigue los ataques de capa de aplicación (capa 7) contra recursos protegidos de la capa de aplicaciones mediante el conteo o el bloqueo de las solicitudes web que formen parte del ataque. Esta opción es una adición a la protección de la capa de aplicación que se agrega a través de Shield Advanced con una ACL web de AWS WAF y su propia regla basada en tasas.
Cuando la mitigación automática está habilitada para un recurso, Shield Advanced mantiene un grupo de reglas en la ACL web asociada al recurso, donde administra las reglas de mitigación en su nombre. El grupo de reglas contiene una regla basada en tasas que rastrea el volumen de solicitudes de direcciones IP que se sabe que son fuentes de ataques DDoS.
Además, Shield Advanced compara los patrones de tráfico actuales con las bases de referencia de tráfico históricas para detectar desviaciones que puedan indicar un ataque DDoS. Shield Advanced responde a los ataques DDoS detectados mediante la creación, evaluación e implementación de reglas de AWS WAF personalizadas adicionales en el grupo de reglas.
Advertencias sobre el uso de la mitigación automática de DDoS en la capa de aplicación
La siguiente lista describe las advertencias de la mitigación automática de DDoS en la capa de aplicación de Shield Advanced y describe los pasos que puede realizar en respuesta.
La mitigación automática de DDoS en la capa de aplicación solo funciona con las ACL web que se crearon con la última versión de AWS WAF (v2).
-
Shield Advanced necesita tiempo para establecer una línea de referencia del tráfico normal e histórico de la aplicación, que aprovecha para detectar y aislar el tráfico de ataque del tráfico normal, a fin de mitigar el tráfico de ataques. El tiempo necesario para establecer una línea de referencia es de 24 horas a 30 días a partir del momento en que se asocia una ACL web al recurso de aplicación protegido. Para obtener más información acerca de las líneas de referencia de tráfico, consulte Lista de factores que afectan a la detección y mitigación de eventos de la capa de aplicación con Shield Advanced.
Al habilitar la mitigación automática de DDoS en la capa de aplicación, se agrega un grupo de reglas a la ACL web que utiliza 150 unidades de capacidad de la ACL web (WCU). Estas WCU se tienen en cuenta para el uso de la WCU en su ACL web. Para obtener más información, consulte Protección de la capa de aplicaciones con el grupo de reglas de Shield Advanced y Unidades ACL de capacidad web (WCUs) en AWS WAF.
El grupo de reglas Shield Advanced genera métricas AWS WAF, pero no se pueden ver. Esto es igual que para cualquier otro grupo de reglas que utilice en su ACL web, pero que no sea de su propiedad, como los grupos de administración de reglas AWS. Para obtener más información acerca de las métricas de AWS WAF, consulte Métricas y dimensiones de AWS WAF. Para obtener información acerca de esta opción de protección de Shield Advanced, consulte Automatización de la mitigación de DDoS en la capa de aplicación con Shield Advanced .
-
En el caso de las ACL web que protegen varios recursos, la mitigación automática solo implementa mitigaciones personalizadas que no afectan negativamente a ninguno de los recursos protegidos.
-
El tiempo que transcurre entre el inicio de un ataque DDoS y el momento en que Shield Advanced aplica las reglas de mitigación automática personalizadas varía según el evento. Algunos ataques DDoS pueden terminar antes de que se implementen las reglas personalizadas. Otros ataques pueden producirse cuando ya existe una mitigación y, por lo tanto, podrían mitigarse con esas reglas desde el inicio del evento. Además, las reglas basadas en tasas del grupo de reglas ACL web y Shield Advanced pueden mitigar el tráfico de ataques antes de que se detecte como un posible evento.
-
En el caso de los equilibradores de carga de aplicaciones que reciben tráfico a través de una red de entrega de contenido (CDN), como Amazon CloudFront, las funciones de mitigación automática de la capa de aplicación de Shield Advanced para esos recursos del equilibrador de carga de aplicación se reducirán. Shield Advanced utiliza atributos de tráfico del cliente para identificar y aislar el tráfico de ataque del tráfico normal hacia su aplicación y es posible que las CDN no conserven ni reenvíen los atributos de tráfico del cliente originales. Si usa CloudFront, le recomendamos habilitar la mitigación automática en la distribución de CloudFront.
La mitigación automática de DDoS en la capa de aplicación no interactúa con los grupos de protección. Puede habilitar la mitigación automática para los recursos que se encuentran en grupos de protección, pero Shield Advanced no aplica automáticamente mitigaciones de ataques en función de los hallazgos de los grupos de protección. Shield Advanced aplica mitigaciones de ataque automáticas a recursos individuales.
Contenido
- Prácticas recomendadas para utilizar la mitigación automática de DDoS en la capa de aplicación
- Activación de la mitigación automática de DDoS en la capa de aplicación
- Cómo administra Shield Advanced la mitigación automática
- Protección de la capa de aplicaciones con el grupo de reglas de Shield Advanced
- Visualización de la configuración de mitigación automática de DDoS en la capa de aplicación de un recurso
- Cómo habilitar y deshabilitar la mitigación automática de DDoS en la capa de aplicación
- Cambio de la acción utilizada para la mitigación automática de DDoS en la capa de aplicación
- Uso de AWS CloudFormation con la mitigación automática de DDoS en la capa de aplicación
