Protection de la couche applicative avec le groupe de règles Shield Advanced - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection de la couche applicative avec le groupe de règles Shield Advanced

Cette page explique le fonctionnement du groupe de règles Shield Advanced sur votre site WebACL.

Shield Advanced gère les activités d'atténuation automatique à l'aide des règles d'un groupe de règles qu'il possède et gère pour vous. Shield Advanced fait référence au groupe de règles avec une règle sur le Web ACL que vous avez associée à votre ressource protégée.

La règle du groupe de règles sur votre site Web ACL

La règle de groupe de règles Shield Advanced de votre site Web ACL possède les propriétés suivantes :

  • NomShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifier

  • Unités ACL de capacité Web (WCU) — 150. Ils sont WCUs pris en compte dans l'WCUutilisation de votre site WebACL.

Shield Advanced crée cette règle sur votre site Web ACL avec un paramètre de priorité de 10 000 000, afin qu'elle s'exécute après vos autres règles et groupes de règles sur le WebACL. AWS WAF exécute les règles sur un site Web ACL à partir du paramètre de priorité numérique le plus bas. Au cours de votre gestion du WebACL, ce paramètre de priorité peut changer.

La fonctionnalité d'atténuation automatique ne consomme aucune AWS WAF ressource supplémentaire dans votre compte, à l'exception de celles WCUs utilisées par le groupe de règles sur votre site WebACL. Par exemple, le groupe de règles Shield Advanced n'est pas considéré comme l'un des groupes de règles de votre compte. Pour plus d'informations sur les limites de compte dans AWS WAF, voirAWS WAF quotas.

Règles du groupe de règles

Au sein du groupe de règles Shield Advanced référencé, Shield Advanced applique une règle basée sur le débitShieldKnownOffenderIPRateBasedRule, qui limite le volume de demandes provenant d'adresses IP connues pour être des sources d'DDoSattaques. Cette règle constitue la première ligne de défense contre toute attaque, car elle est toujours présente dans le groupe de règles et ne repose pas sur l'analyse des modèles de trafic pour contenir les attaques. L'action de cette règle est définie en fonction de l'action que vous avez choisie pour vos atténuations automatiques, tout comme les autres règles du groupe de règles. Pour plus d'informations sur les règles basées sur les taux, consultezUtilisation d'instructions de règles basées sur le taux dans AWS WAF.

Note

La règle basée sur le taux ShieldKnownOffenderIPRateBasedRule fonctionne indépendamment de la détection d'événements Shield Advanced. Lorsque l'atténuation automatique est activée, cette règle limite le débit des adresses IP connues pour être des sources d'DDoSattaques. Pour ces adresses IP, la limitation du débit prévue par la règle permet de prévenir les attaques et d'empêcher les attaques d'apparaître dans les informations de détection du Shield Advanced. Ce compromis privilégie la prévention plutôt que la visibilité complète des modèles d'attaque.

Outre la règle permanente basée sur le taux décrite ci-dessus, le groupe de règles contient toutes les règles que Shield Advanced utilise actuellement pour atténuer les DDoS attaques. Shield Advanced ajoute, modifie et supprime ces règles selon les besoins. Pour plus d’informations, veuillez consulter Comment Shield Advanced gère l'atténuation automatique.

Métriques

Le groupe de règles génère AWS WAF des métriques, mais comme ce groupe de règles appartient à Shield Advanced, ces métriques ne peuvent pas être consultées. Pour de plus amples informations, veuillez consulter AWS WAF métriques et dimensions.