Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Shield Advanced, couche applicative, règles basées AWS WAF sur ACLs le Web et les taux
Pour protéger une ressource de la couche application avec Shield Advanced, vous devez d'abord associer un AWS WAF site Web ACL à cette ressource. AWS WAF est un pare-feu d'applications Web qui vous permet de surveiller HTTP les HTTPS demandes transmises aux ressources de votre couche d'application et de contrôler l'accès à votre contenu en fonction des caractéristiques des demandes. Vous pouvez configurer un site Web ACL pour surveiller et gérer les demandes en fonction de facteurs tels que l'origine de la demande, le contenu des chaînes de requête et des cookies, et le taux de demandes provenant d'une seule adresse IP. Au minimum, votre protection Shield Advanced vous oblige à associer un site Web ACL à une règle basée sur le débit, qui limite le taux de demandes pour chaque adresse IP.
Si aucune règle basée sur le taux ACL n'est définie sur le site Web associé, Shield Advanced vous invite à en définir au moins une. Les règles basées sur le débit bloquent automatiquement le trafic provenant de la source IPs lorsqu'il dépasse les seuils que vous définissez. Ils aident à protéger votre application contre les inondations de requêtes Web et peuvent fournir des alertes en cas de pics de trafic soudains susceptibles d'indiquer une DDoS attaque potentielle.
Note
Une règle basée sur le taux répond très rapidement aux pics de trafic surveillés par la règle. De ce fait, une règle basée sur le taux peut empêcher non seulement une attaque, mais également la détection d'une attaque potentielle par le biais de la fonction de détection Shield Advanced. Ce compromis privilégie la prévention plutôt que la visibilité complète des modèles d'attaque. Nous vous recommandons d'utiliser une règle basée sur le taux comme première ligne de défense contre les attaques.
Une fois votre site Web ACL en place, en cas d'DDoSattaque, vous appliquez des mesures d'atténuation en ajoutant et en gérant des règles sur le WebACL. Vous pouvez le faire directement, avec l'aide de l'équipe Shield Response (SRT), ou automatiquement grâce à l'DDoSatténuation automatique de la couche d'application.
Important
Si vous utilisez également l'DDoSatténuation automatique de la couche d'application, consultez les meilleures pratiques pour gérer votre site Web ACL à l'adresseBonnes pratiques pour l'utilisation de l'atténuation automatique.
Comportement des règles basé sur le taux par défaut
Lorsque vous utilisez une règle basée sur le taux avec sa configuration par défaut, elle évalue AWS WAF régulièrement le trafic pour la période de 5 minutes précédente. AWS WAF bloque les demandes provenant de toute adresse IP qui dépasse le seuil de la règle jusqu'à ce que le taux de demandes descende à un niveau acceptable. Lorsque vous configurez une règle basée sur le débit via Shield Advanced, configurez son seuil de débit à une valeur supérieure au débit de trafic normal que vous attendez d'une adresse IP source sur une fenêtre de cinq minutes.
Vous souhaiterez peut-être utiliser plusieurs règles basées sur les taux sur un site WebACL. Par exemple, vous pouvez avoir une règle basée sur le taux pour tout le trafic dont le seuil est élevé, plus une ou plusieurs règles supplémentaires configurées pour correspondre à certaines parties de votre application Web et dont les seuils sont inférieurs. Par exemple, vous pouvez correspondre à un seuil inférieur, afin de limiter les abus commis contre une page de connexion. URI /login.html
Vous pouvez configurer une règle basée sur le taux pour utiliser une fenêtre temporelle d'évaluation différente et pour agréger les demandes en fonction d'un certain nombre de composants de demande, tels que les valeurs d'en-tête, les étiquettes et les arguments de requête. Pour de plus amples informations, veuillez consulter Instruction de règle basée sur un taux.
Pour plus d'informations et de conseils, consultez le billet de blog sur la sécurité Les trois règles AWS WAF basées sur les taux les plus importantes
Options de configuration étendues grâce à AWS WAF
La console Shield Advanced vous permet d'ajouter une règle basée sur le taux et de la configurer avec les paramètres de base par défaut. Vous pouvez définir des options de configuration supplémentaires en gérant vos règles basées sur les taux via AWS WAF. Par exemple, vous pouvez configurer la règle pour agréger les demandes en fonction de clés telles qu'une adresse IP transférée, une chaîne de requête et une étiquette. Vous pouvez également ajouter une instruction scope-down à la règle afin de soustraire certaines demandes à l'évaluation et à la limitation du débit. Pour de plus amples informations, veuillez consulter Instruction de règle basée sur un taux. Pour plus d'informations sur l'utilisation AWS WAF des règles de surveillance et de gestion de vos requêtes Web pour gérer, consultezCréation d'une liste ACL web.
