Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Automatizar la DDoS mitigación de la capa de aplicaciones con Shield Advanced
En esta página se presenta el tema de la DDoS mitigación automática de la capa de aplicación y se enumeran las advertencias asociadas.
Puede configurar Shield Advanced para que responda automáticamente y mitigue los ataques de capa de aplicación (capa 7) contra recursos protegidos de la capa de aplicaciones mediante el conteo o el bloqueo de las solicitudes web que formen parte del ataque. Esta opción es una adición a la protección de la capa de aplicación que se agrega a través de Shield Advanced con una AWS WAF web ACL y su propia regla basada en tarifas.
Cuando la mitigación automática está habilitada para un recurso, Shield Advanced mantiene un grupo de reglas en la web asociada al recurso ACL donde administra las reglas de mitigación en nombre del recurso. El grupo de reglas contiene una regla basada en la tasa que rastrea el volumen de solicitudes de direcciones IP que se sabe que son fuentes de DDoS ataques.
Además, Shield Advanced compara los patrones de tráfico actuales con las líneas base de tráfico históricas para detectar desviaciones que puedan indicar un DDoS ataque. Shield Advanced responde a DDoS los ataques detectados mediante la creación, evaluación e implementación de AWS WAF reglas personalizadas adicionales en el grupo de reglas.
Advertencias sobre el uso de la mitigación automática de la capa de DDoS aplicación
En la siguiente lista se describen las advertencias de la DDoS mitigación automática de la capa de aplicación Shield Advanced y se describen los pasos que puede tomar en respuesta.
La DDoS mitigación automática de la capa de aplicaciones solo funciona con sitios web ACLs que se hayan creado con la última versión de AWS WAF (v2).
-
Shield Advanced necesita tiempo para establecer una línea base del tráfico normal e histórico de la aplicación, que aprovecha para detectar y aislar el tráfico de ataque del tráfico normal, a fin de mitigar el tráfico de ataques. El tiempo necesario para establecer una línea base oscila entre 24 horas y 30 días a partir del momento en que asocie una web ACL con el recurso de aplicación protegido. Para obtener información adicional sobre las líneas base de tráfico, consulte. Lista de factores que afectan a la detección y mitigación de eventos de la capa de aplicación con Shield Advanced
Al habilitar la DDoS mitigación automática de la capa de aplicación, se añade un grupo de reglas a la web ACL que utiliza 150 unidades de ACL capacidad web ()WCUs. Estos factores se WCUs descontarán del WCU uso en la webACL. Para obtener más información, consulte Protección de la capa de aplicación con el grupo de reglas Shield Advanced y Descripción de las unidades ACL de capacidad web (WCUs) en AWS WAF.
El grupo de reglas Shield Advanced genera AWS WAF métricas, pero no se pueden ver. Esto es igual que para cualquier otro grupo de reglas que utilice en su web ACL pero que no sea de su propiedad, como los grupos de reglas de AWS Managed Rules. Para obtener más información sobre AWS WAF las métricas, consulteAWS WAF métricas y dimensiones. Para obtener información sobre esta opción de protección Shield Advanced, consulteAutomatizar la DDoS mitigación de la capa de aplicaciones con Shield Advanced .
-
En el caso de sitios web ACLs que protegen varios recursos, la mitigación automática solo implementa mitigaciones personalizadas que no afectan negativamente a ninguno de los recursos protegidos.
-
El tiempo que transcurre entre el inicio de un DDoS ataque y el momento en que Shield Advanced aplica reglas de mitigación automática personalizadas varía en función de cada evento. Es posible que algunos DDoS ataques finalicen antes de que se implementen las reglas personalizadas. Otros ataques pueden producirse cuando ya existe una mitigación y, por lo tanto, podrían mitigarse con esas reglas desde el inicio del evento. Además, las reglas basadas en la velocidad de la web ACL y el grupo de reglas Shield Advanced pueden mitigar el tráfico de ataques antes de que se detecte como un posible evento.
-
En el caso de los balanceadores de carga de aplicaciones que reciben tráfico a través de una red de entrega de contenido (CDN), como Amazon CloudFront, se reducirán las capacidades de mitigación automática de la capa de aplicaciones de Shield Advanced para esos recursos del Application Load Balancer. Shield Advanced utiliza los atributos de tráfico del cliente para identificar y aislar el tráfico de ataque del tráfico normal hacia su aplicación, y no CDNs puede conservar ni reenviar los atributos de tráfico del cliente originales. Si lo usa CloudFront, le recomendamos que habilite la mitigación automática en la CloudFront distribución.
La DDoS mitigación automática de la capa de aplicación no interactúa con los grupos de protección. Puede habilitar la mitigación automática para los recursos que se encuentran en grupos de protección, pero Shield Advanced no aplica automáticamente mitigaciones de ataques en función de los hallazgos de los grupos de protección. Shield Advanced aplica mitigaciones de ataque automáticas a recursos individuales.
Contenido
- Mejores prácticas para utilizar la DDoS mitigación automática de la capa de aplicación
- Habilitar la DDoS mitigación automática de la capa de aplicación
- Cómo administra Shield Advanced la mitigación automática
- Protección de la capa de aplicación con el grupo de reglas Shield Advanced
- Visualización de la configuración de DDoS mitigación automática de la capa de aplicación de un recurso
- Activación y desactivación de la mitigación automática de la capa de DDoS aplicación
- Cambiar la acción utilizada para la DDoS mitigación automática de la capa de aplicación
- Uso AWS CloudFormation con DDoS mitigación automática de la capa de aplicación
