Automatiser l'DDoSatténuation de la couche applicative avec Shield Advanced - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Mises en garde

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Automatiser l'DDoSatténuation de la couche applicative avec Shield Advanced

Cette page présente le sujet de l'DDoSatténuation automatique de la couche d'application et répertorie les mises en garde associées.

Vous pouvez configurer Shield Advanced pour qu'il réponde automatiquement afin d'atténuer les attaques de la couche application (couche 7) contre les ressources de la couche application protégée, en comptant ou en bloquant les requêtes Web faisant partie de l'attaque. Cette option vient s'ajouter à la protection de la couche d'application que vous ajoutez via Shield Advanced à l'aide d'un AWS WAF site Web ACL et de votre propre règle basée sur le taux.

Lorsque l'atténuation automatique est activée pour une ressource, Shield Advanced gère un groupe de règles dans le site Web associé à la ressource, dans ACL lequel il gère les règles d'atténuation au nom de la ressource. Le groupe de règles contient une règle basée sur le débit qui suit le volume de demandes provenant d'adresses IP connues pour être des sources d'DDoSattaques.

En outre, Shield Advanced compare les modèles de trafic actuels aux données de référence du trafic historiques afin de détecter les écarts susceptibles d'indiquer une DDoS attaque. Shield Advanced répond aux DDoS attaques détectées en créant, en évaluant et en déployant des AWS WAF règles personnalisées supplémentaires dans le groupe de règles.

Mises en garde relatives à l'utilisation de l'atténuation automatique de la couche d'application DDoS

La liste suivante décrit les inconvénients de l'DDoSatténuation automatique de la couche d'application de Shield Advanced et décrit les étapes que vous pouvez suivre pour y répondre.

  • L'DDoSatténuation automatique de la couche d'application fonctionne uniquement avec ACLs les sites Web créés à l'aide de la dernière version de AWS WAF (v2).

  • Shield Advanced a besoin de temps pour établir une base de référence du trafic historique normal de votre application, qu'il utilise pour détecter et isoler le trafic d'attaque du trafic normal, afin d'atténuer le trafic d'attaque. Le délai d'établissement d'une base de référence est compris entre 24 heures et 30 jours à partir du moment où vous associez un site Web ACL à la ressource d'application protégée. Pour plus d'informations sur les lignes de base du trafic, consultezListe des facteurs qui affectent la détection et l'atténuation des événements au niveau de la couche application avec Shield Advanced.

  • L'activation de l'DDoSatténuation automatique de la couche d'application ajoute un groupe de règles à votre site Web ACL qui utilise 150 unités ACL de capacité Web (WCUs). Ils sont WCUs pris en compte dans l'WCUutilisation de votre site WebACL. Pour plus d'informations, consultez Protection de la couche applicative avec le groupe de règles Shield Advanced et Unités ACL de capacité Web (WCUs) en AWS WAF.

  • Le groupe de règles Shield Advanced génère AWS WAF des métriques, mais elles ne peuvent pas être consultées. Il en va de même pour tous les autres groupes de règles que vous utilisez sur votre site Web ACL mais dont vous n'êtes pas propriétaire, tels que les groupes de règles AWS gérées. Pour plus d'informations sur AWS WAF les métriques, consultezAWS WAF métriques et dimensions. Pour plus d'informations sur cette option de protection Shield Advanced, consultezAutomatiser l'DDoSatténuation de la couche applicative avec Shield Advanced .

  • Pour les sites Web ACLs qui protègent plusieurs ressources, l'atténuation automatique déploie uniquement des mesures d'atténuation personnalisées qui n'ont aucun impact négatif sur les ressources protégées.

  • Le délai entre le début d'une DDoS attaque et le moment où Shield Advanced place des règles d'atténuation automatique personnalisées varie en fonction de chaque événement. Certaines DDoS attaques peuvent prendre fin avant que les règles personnalisées ne soient déployées. D'autres attaques peuvent se produire lorsqu'une atténuation est déjà en place et peuvent donc être atténuées par ces règles dès le début de l'événement. En outre, les règles basées sur le taux sur le Web ACL et le groupe de règles Shield Advanced peuvent atténuer le trafic d'attaque avant qu'il ne soit détecté comme un événement potentiel.

  • Pour les équilibreurs de charge d'application qui reçoivent du trafic via un réseau de diffusion de contenu (CDN), tel qu'Amazon CloudFront, les capacités d'atténuation automatique de la couche applicative de Shield Advanced pour ces ressources d'Application Load Balancer seront réduites. Shield Advanced utilise les attributs du trafic client pour identifier et isoler le trafic d'attaque du trafic normal vers votre application, et CDNs peut ne pas préserver ou transmettre les attributs du trafic client d'origine. Si vous l'utilisez CloudFront, nous vous recommandons d'activer l'atténuation automatique sur la CloudFront distribution.

  • L'DDoSatténuation automatique de la couche d'application n'interagit pas avec les groupes de protection. Vous pouvez activer l'atténuation automatique pour les ressources appartenant à des groupes de protection, mais Shield Advanced n'applique pas automatiquement les mesures d'atténuation des attaques en fonction des résultats des groupes de protection. Shield Advanced applique des mesures d'atténuation automatiques des attaques pour les ressources individuelles.

Table des matières