Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protection de la couche applicative avec AWS WAF Web ACLs et Shield Advanced
Cette page explique comment AWS WAF Web ACLs et Shield Advanced fonctionnent ensemble pour créer des protections de base au niveau de la couche applicative.
Pour protéger une ressource de la couche application avec Shield Advanced, vous devez d'abord associer un AWS WAF site Web ACL à cette ressource. AWS WAF est un pare-feu d'applications Web qui vous permet de surveiller HTTP les HTTPS demandes transmises aux ressources de votre couche d'application et de contrôler l'accès à votre contenu en fonction des caractéristiques des demandes. Vous pouvez configurer un site Web ACL pour surveiller et gérer les demandes en fonction de facteurs tels que l'origine de la demande, le contenu des chaînes de requête et des cookies, et le taux de demandes provenant d'une seule adresse IP. Au minimum, votre protection Shield Advanced vous oblige à associer un site Web ACL à une règle basée sur le débit, qui limite le taux de demandes pour chaque adresse IP.
Si aucune règle basée sur le taux ACL n'est définie sur le site Web associé, Shield Advanced vous invite à en définir au moins une. Les règles basées sur le débit bloquent automatiquement le trafic provenant de la source IPs lorsqu'il dépasse les seuils que vous définissez. Ils aident à protéger votre application contre les inondations de requêtes Web et peuvent fournir des alertes en cas de pics de trafic soudains susceptibles d'indiquer une DDoS attaque potentielle.
Note
Une règle basée sur le taux répond très rapidement aux pics de trafic surveillés par la règle. De ce fait, une règle basée sur le taux peut empêcher non seulement une attaque, mais également la détection d'une attaque potentielle par le biais de la fonction de détection Shield Advanced. Ce compromis privilégie la prévention plutôt que la visibilité complète des modèles d'attaque. Nous vous recommandons d'utiliser une règle basée sur le taux comme première ligne de défense contre les attaques.
Une fois votre site Web ACL en place, en cas d'DDoSattaque, vous appliquez des mesures d'atténuation en ajoutant et en gérant des règles sur le WebACL. Vous pouvez le faire directement, avec l'aide de l'équipe Shield Response (SRT), ou automatiquement grâce à l'DDoSatténuation automatique de la couche d'application.
Important
Si vous utilisez également l'DDoSatténuation automatique de la couche d'application, consultez les meilleures pratiques pour gérer votre site Web ACL à l'adresseBonnes pratiques pour l'utilisation de l'DDoSatténuation automatique de la couche d'application.
Pour plus d'informations sur l'utilisation AWS WAF des règles de surveillance et de gestion de vos requêtes Web pour gérer, consultezCréation d'un site Web ACL dans AWS WAF.
