Uso de la mitigación automática de la capa DDo S de aplicaciones con políticas avanzadas de Firewall Manager Shield - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de la mitigación automática de la capa DDo S de aplicaciones con políticas avanzadas de Firewall Manager Shield

En esta página, se explica cómo funciona la mitigación automática de la capa de aplicación DDo S con Firewall Manager.

Cuando aplicas una política de Shield Advanced a CloudFront las distribuciones de Amazon o a los balanceadores de carga de aplicaciones, tienes la opción de configurar la mitigación automática de la capa DDo S de aplicaciones de Shield Advanced en la política.

Para obtener información sobre la mitigación automática de Shield Advanced, consulte Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced .

La mitigación automática de la capa DDo S de aplicación Shield Advanced tiene los siguientes requisitos:

  • La mitigación automática de la capa de aplicación DDo S solo funciona con CloudFront las distribuciones de Amazon y los balanceadores de carga de aplicaciones.

    Si aplicas tu política Shield Advanced a CloudFront las distribuciones de Amazon, puedes elegir esta opción para las políticas Shield Advanced que crees para la región global. Si aplica protecciones a los equilibradores de carga de aplicación, puede aplicar la política a cualquier región que admita Firewall Manager.

  • La mitigación automática de la capa DDo S de aplicaciones solo funciona con sitios web ACLs que se hayan creado con la última versión de AWS WAF (v2).

    Por este motivo, si tiene una política que usa la web AWS WAF clásica ACLs, debe reemplazar la política por una nueva, que utilizará automáticamente la última versión de AWS WAF, o bien hacer que Firewall Manager cree una nueva versión web ACLs para su política actual y pase a utilizarla. Para obtener más información sobre las opciones, consulte Sustituya la AWS WAF versión web ACLs clásica por la última versión web ACLs.

Configuración de mitigación automática

La opción de mitigación automática de la capa DDo S de aplicación para las políticas de Firewall Manager Shield Advanced aplica la funcionalidad de mitigación automática de Shield Advanced a las cuentas y los recursos incluidos en el ámbito de aplicación de su política. Para obtener información detallada sobre esta característica de Shield Advanced, consulte Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced .

Puede elegir que Firewall Manager habilite o deshabilite la mitigación automática para CloudFront las distribuciones o los balanceadores de carga de aplicaciones que estén dentro del ámbito de aplicación de la política, o puede elegir que la política ignore la configuración de mitigación automática de Shield Advanced:

  • Activar: si decide activar la mitigación automática, también debe especificar si las reglas de mitigación de Shield Advanced deben contar o bloquear las solicitudes web coincidentes. Firewall Manager marcará los recursos dentro del alcance como no compatibles si no tienen activada la mitigación automática o si utilizan una acción de regla que no coincide con la que especificó para la política. Si configura la política para la corrección automática, Firewall Manager actualiza los recursos no compatibles según sea necesario.

  • Desactivar: si decide desactivar la mitigación automática, Firewall Manager marcará los recursos dentro del alcance como no compatibles si tienen la mitigación automática activada. Si configura la política para la corrección automática, Firewall Manager actualiza los recursos no compatibles según sea necesario.

  • Ignorar: si decide ignorar la mitigación automática, Firewall Manager no tendrá en cuenta ninguna de las configuraciones de mitigación automática de su política Shield cuando lleve a cabo actividades de corrección para la política. Esta configuración le permite controlar la mitigación automática a través de Shield Advanced, sin que Firewall Manager sobrescriba esa configuración. Esta configuración no se aplica a ningún recurso de Classic Load Balancer o Elastic gestionado a través de Shield Advanced, ya que Shield Advanced actualmente no admite la mitigación automática de nivel 7 para esos IPs recursos.

Sustituya la AWS WAF versión web ACLs clásica por la última versión web ACLs

La mitigación automática de la capa DDo S de aplicaciones solo funciona con sitios web ACLs que se hayan creado con la última versión de AWS WAF (v2).

Para determinar la versión de ACL web de su política Shield Advanced, consulte Determinar la versión AWS WAF que utiliza una política de Shield Advanced.

Si desea utilizar la mitigación automática en su política de Shield Advanced y su política utiliza actualmente la web AWS WAF clásica ACLs, puede crear una nueva política de Shield Advanced para reemplazar la actual o puede utilizar las opciones que se describen en esta sección para reemplazar la versión anterior de la web ACLs por una nueva (v2) web ACLs dentro de su política de Shield Advanced actual. Las políticas nuevas siempre se crean en la web ACLs con la versión más reciente de AWS WAF. Si reemplaza la política completa, al eliminarla, puede hacer que Firewall Manager elimine también todas las versiones anteriores de ACLs la web. En el resto de esta sección, se describen las opciones que tiene para sustituir la web ACLs dentro de su política actual.

Al modificar una política Shield Advanced existente para CloudFront los recursos de Amazon, Firewall Manager puede crear automáticamente una nueva ACL web vacía AWS WAF (v2) para la política, en cualquier cuenta incluida en el ámbito que aún no tenga una ACL web v2. Cuando Firewall Manager crea una nueva ACL web, si la política ya tiene una ACL web AWS WAF clásica en la misma cuenta, Firewall Manager configura la nueva versión de la ACL web con la misma configuración de acción predeterminada que la ACL web existente. Si no hay ninguna ACL web AWS WAF clásica existente, Firewall Manager establece la acción predeterminada en Allow en la nueva ACL web. Después de que Firewall Manager cree una nueva ACL web, puede personalizarla según sea necesario a través de la consola AWS WAF .

Al elegir cualquiera de las siguientes opciones de configuración de políticas, Firewall Manager crea una nueva web (v2) ACLs para las cuentas incluidas en el ámbito que aún no la tienen:

  • Al activar o desactivar la mitigación automática de la capa DDo S de aplicación. Esta elección por sí sola solo hace que Firewall Manager cree la nueva web ACLs y no sustituya ninguna asociación de ACL web AWS WAF clásica existente en los recursos incluidos en el ámbito de aplicación de la política.

  • Cuando eliges la acción política de corrección automática y eliges la opción de reemplazar la web AWS WAF clásica por la web ACLs AWS WAF (v2). ACLs Puede optar por sustituir la versión web anterior, ACLs independientemente de sus opciones de configuración, para la mitigación automática de la capa DDo S.

    Al elegir la opción de reemplazo, Firewall Manager crea la nueva versión web ACLs según sea necesario y, a continuación, hace lo siguiente con los recursos incluidos en el ámbito de aplicación de la política:

    • Si un recurso está asociado a una ACL web desde cualquier otra política activa del Firewall Manager, el Firewall Manager deja la asociación intacta.

    • En cualquier otro caso, Firewall Manager elimina cualquier asociación con una ACL web AWS WAF clásica y asocia el recurso con la ACL web AWS WAF (v2) de la política.

Puede elegir que Firewall Manager sustituya la versión web ACLs anterior por la nueva versión web ACLs cuando lo desee. Si ya ha personalizado la versión web AWS WAF clásica de la política ACLs, puede actualizar la nueva versión web ACLs a una configuración similar antes de elegir que Firewall Manager realice el paso de sustitución.

Puede acceder a cualquier versión de la ACL web de una política a través de la consola de la misma versión AWS WAF o AWS WAF de la versión clásica.

Firewall Manager no elimina ninguna AWS WAF versión web clásica sustituida ACLs hasta que elimines la propia política. Cuando la política deje de utilizar la web AWS WAF ACLs clásica, podrá eliminarla si así lo desea.