Comment Shield Advanced gère l'atténuation automatique - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Shield Advanced gère l'atténuation automatique

Les rubriques de cette section décrivent comment Shield Advanced gère vos modifications de configuration pour l'DDoSatténuation automatique de la couche d'application et comment il gère DDoS les attaques lorsque l'atténuation automatique est activée.

Comment Shield Advanced répond aux DDoS attaques grâce à une atténuation automatique

Lorsque l'atténuation automatique est activée sur une ressource protégée, la règle ShieldKnownOffenderIPRateBasedRule basée sur le taux du groupe de règles Shield Advanced répond automatiquement aux volumes de trafic élevés provenant de DDoS sources connues. Cette limitation de débit est appliquée rapidement et constitue une défense de première ligne contre les attaques.

Lorsque Shield Advanced détecte une attaque, il effectue les opérations suivantes :

  1. Tente d'identifier une signature d'attaque qui isole le trafic d'attaque du trafic normal vers votre application. L'objectif est de produire des règles DDoS d'atténuation de haute qualité qui, une fois mises en place, n'affectent que le trafic d'attaque et n'ont aucun impact sur le trafic normal de votre application.

  2. Évalue la signature d'attaque identifiée par rapport aux modèles de trafic historiques pour la ressource attaquée ainsi que pour toute autre ressource associée au même site WebACL. Shield Advanced le fait avant de déployer des règles en réponse à l'événement.

    En fonction des résultats de l'évaluation, Shield Advanced effectue l'une des opérations suivantes :

    • Si Shield Advanced détermine que la signature d'attaque isole uniquement le trafic impliqué dans l'DDoSattaque, il implémente la signature dans les AWS WAF règles du groupe de règles d'atténuation Shield Advanced sur le WebACL. Shield Advanced donne à ces règles le paramètre d'action que vous avez configuré pour l'atténuation automatique de la ressource, soit Count or Block.

    • Dans le cas contraire, Shield Advanced ne place aucune mesure d'atténuation.

Tout au long d'une attaque, Shield Advanced envoie les mêmes notifications et fournit les mêmes informations sur les événements que pour les protections de base de la couche d'application Shield Advanced. Vous pouvez consulter les informations sur les événements et les DDoS attaques, ainsi que sur les mesures d'atténuation mises en place par Shield Advanced en cas d'attaques, dans la console d'événements Shield Advanced. Pour plus d’informations, veuillez consulter Visibilité des DDoS événements avec Shield Advanced.

Si vous avez configuré l'atténuation automatique pour utiliser Block si vous recevez des faux positifs en raison des règles d'atténuation déployées par Shield Advanced, vous pouvez modifier l'action de la règle en Count. Pour plus d'informations sur la procédure à suivre, consultezModification de l'action utilisée pour l'DDoSatténuation automatique de la couche d'application.

Comment Shield Advanced gère le paramètre d'action des règles

Vous pouvez définir l'action de la règle pour vos mesures d'atténuation automatiques de la manière suivante : Block or Count.

Lorsque vous modifiez le paramètre d'action de la règle d'atténuation automatique pour une ressource protégée, Shield Advanced met à jour tous les paramètres des règles pour la ressource. Il met à jour toutes les règles actuellement en place pour la ressource du groupe de règles Shield Advanced et utilise le nouveau paramètre d'action lorsqu'il crée de nouvelles règles.

Pour les ressources qui utilisent le même site WebACL, si vous spécifiez des actions différentes, Shield Advanced utilise Block paramètre d'action pour la règle basée sur le taux du groupe de règlesShieldKnownOffenderIPRateBasedRule. Shield Advanced crée et gère les autres règles du groupe de règles pour le compte d'une ressource protégée spécifique, et utilise le paramètre d'action que vous avez spécifié pour la ressource. Toutes les règles du groupe de règles Shield Advanced sur un site Web ACL sont appliquées au trafic Web de toutes les ressources associées.

La modification du paramètre d'action peut prendre quelques secondes pour se propager. Pendant ce temps, il est possible que vous voyiez l'ancien paramètre à certains endroits où le groupe de règles est utilisé, et le nouveau paramètre à d'autres endroits.

Vous pouvez modifier le paramètre d'action des règles pour votre configuration d'atténuation automatique sur la page des événements de la console et via la page de configuration de la couche application. Pour plus d'informations sur la page des événements, consultezRéagir aux DDoS événements survenus dans AWS. Pour plus d'informations sur la page de configuration, consultezConfiguration des DDoS protections de la couche d'application.

Comment Shield Advanced gère les mesures d'atténuation lorsqu'une attaque s'atténue

Lorsque Shield Advanced détermine que les règles d'atténuation déployées pour une attaque particulière ne sont plus nécessaires, il les supprime du groupe de règles d'atténuation Shield Advanced.

La suppression des règles atténuantes ne coïncidera pas nécessairement avec la fin d'une attaque. Shield Advanced surveille les types d'attaques qu'il détecte sur vos ressources protégées. Il peut se défendre de manière proactive contre la récurrence d'une attaque portant une signature spécifique en maintenant en place les règles qu'il a déployées contre la survenue initiale de cette attaque. Au besoin, Shield Advanced augmente la période pendant laquelle il maintient les règles en place. Shield Advanced peut ainsi atténuer les attaques répétées avec une signature spécifique avant qu'elles n'aient un impact sur vos ressources protégées.

Shield Advanced ne supprime jamais la règle basée sur le débitShieldKnownOffenderIPRateBasedRule, qui limite le volume de demandes provenant d'adresses IP connues pour être à l'origine d'DDoSattaques.

Que se passe-t-il lorsque vous désactivez l'atténuation automatique

Shield Advanced effectue les opérations suivantes lorsque vous désactivez l'atténuation automatique pour une ressource :

  • Arrête de répondre automatiquement aux DDoS attaques : Shield Advanced arrête ses activités de réponse automatique pour la ressource.

  • Supprime les règles inutiles du groupe de règles Shield Advanced : si Shield Advanced gère des règles dans son groupe de règles géré pour le compte de la ressource protégée, il les supprime.

  • Supprime le groupe de règles Shield Advanced s'il n'est plus utilisé : si le site Web ACL que vous avez associé à la ressource n'est associé à aucune autre ressource pour laquelle l'atténuation automatique est activée, Shield Advanced supprime sa règle de groupe de règles du WebACL.