Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques pour l'utilisation de l'DDoSatténuation automatique de la couche d'application
Respectez les instructions fournies dans cette section lorsque vous utilisez l'atténuation automatique.
Gestion générale des protections
Suivez ces directives pour planifier et mettre en œuvre vos protections d'atténuation automatiques.
-
Gérez toutes vos protections d'atténuation automatique via Shield Advanced ou, si vous utilisez AWS Firewall Manager pour gérer vos paramètres d'atténuation automatique de Shield Advanced, via Firewall Manager. Ne mélangez pas l'utilisation de Shield Advanced et de Firewall Manager pour gérer ces protections.
-
Gérez des ressources similaires en utilisant le même Web ACLs et les mêmes paramètres de protection, et gérez des ressources différentes en utilisant un Web ACLs différent. Lorsque Shield Advanced atténue une DDoS attaque contre une ressource protégée, il définit des règles pour le Web ACL associé à la ressource, puis teste les règles par rapport au trafic de toutes les ressources associées au WebACL. Shield Advanced n'appliquera les règles que si elles n'ont aucun impact négatif sur les ressources associées. Pour de plus amples informations, veuillez consulter Comment Shield Advanced gère l'atténuation automatique.
-
Pour les équilibreurs de charge d'application dont tout le trafic Internet est transmis par proxy via une CloudFront distribution Amazon, activez uniquement l'atténuation automatique sur la distribution. CloudFront La CloudFront distribution comportera toujours le plus grand nombre d'attributs de trafic d'origine, que Shield Advanced exploite pour atténuer les attaques.
Optimisation de la détection et de l'atténuation
Suivez ces directives pour optimiser les protections que l'atténuation automatique fournit aux ressources protégées. Pour une vue d'ensemble de la détection et de l'atténuation de la couche d'application, voirListe des facteurs qui affectent la détection et l'atténuation des événements au niveau de la couche application avec Shield Advanced.
-
Configurez les contrôles de santé de vos ressources protégées et utilisez-les pour activer la détection basée sur l'état dans vos protections Shield Advanced. Pour de plus amples informations, consultez Détection basée sur l'état à l'aide de contrôles de santé avec Shield Advanced et Route 53.
-
Activez l'atténuation automatique dans Count mode jusqu'à ce que Shield Advanced ait établi une base de référence pour le trafic historique normal. Shield Advanced a besoin de 24 heures à 30 jours pour établir une base de référence.
L'établissement d'une base de référence des modèles de trafic normaux nécessite les éléments suivants :
L'association d'un site Web ACL à la ressource protégée. Vous pouvez l'utiliser AWS WAF directement pour associer votre site Web ACL ou demander à Shield Advanced de l'associer lorsque vous activez la protection de la couche d'application Shield Advanced et que vous spécifiez un site Web ACL à utiliser.
Flux de trafic normal vers votre application protégée. Si le trafic de votre application n'est pas normal, par exemple avant son lancement ou si le trafic de production est insuffisant pendant de longues périodes, les données historiques ne peuvent pas être collectées.
ACLGestion du Web
Suivez ces directives pour gérer le Web ACLs que vous utilisez avec une atténuation automatique.
-
Si vous devez remplacer le site Web ACL associé à la ressource protégée, apportez les modifications suivantes dans l'ordre :
Dans Shield Advanced, désactivez l'atténuation automatique.
Dans AWS WAF, dissociez l'ancien site Web ACL et associez le nouveau WebACL.
Dans Shield Advanced, activez l'atténuation automatique.
Shield Advanced ne transfère pas automatiquement l'atténuation automatique de l'ancien site Web ACL vers le nouveau.
-
Ne supprimez aucune règle de groupe de règles de votre site Web ACLs dont le nom commence par
ShieldMitigationRuleGroup. Si vous supprimez ce groupe de règles, vous désactivez les protections fournies par l'atténuation automatique de Shield Advanced pour chaque ressource associée au WebACL. En outre, Shield Advanced peut mettre un certain temps à recevoir la notification du changement et à mettre à jour ses paramètres. Pendant ce temps, les pages de la console Shield Advanced fourniront des informations incorrectes.Pour plus d'informations sur le groupe de règles, consultezProtection de la couche applicative avec le groupe de règles Shield Advanced.
-
Ne modifiez pas le nom d'une règle de groupe de règles dont le nom commence par
ShieldMitigationRuleGroup. Cela peut interférer avec les protections fournies par l'atténuation automatique de Shield Advanced via le WebACL. -
Lorsque vous créez des règles et des groupes de règles, n'utilisez pas de noms commençant par
ShieldMitigationRuleGroup. Cette chaîne est utilisée par Shield Advanced pour gérer vos mesures d'atténuation automatiques. -
Dans le cadre de la gestion de vos ACL règles Web, n'attribuez pas un paramètre de priorité de 10 000 000. Shield Advanced attribue ce paramètre de priorité à sa règle de groupe de règles d'atténuation automatique lorsqu'il l'ajoute.
-
Priorisez la
ShieldMitigationRuleGrouprègle afin qu'elle s'exécute quand vous le souhaitez par rapport aux autres règles de votre site WebACL. Shield Advanced ajoute la règle du groupe de règles au Web ACL avec une priorité de 10 000 000, pour qu'elle s'exécute après vos autres règles. Si vous utilisez l'assistant de AWS WAF console pour gérer votre site WebACL, ajustez les paramètres de priorité selon vos besoins après avoir ajouté des règles au WebACL. Si vous avez l' AWS CloudFormation habitude de gérer votre site WebACLs, vous n'avez pas besoin de gérer la
ShieldMitigationRuleGrouprègle du groupe de règles. Suivez les instructions surUtilisation AWS CloudFormation avec DDoS atténuation automatique de la couche d'application.
