AWS Shield Advanced logique d'atténuation pour les applications Web - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Shield Advanced logique d'atténuation pour les applications Web

AWS Shield Advanced utilisés AWS WAF pour atténuer les attaques contre la couche applicative Web. AWS WAF est inclus dans Shield Advanced sans frais supplémentaires.

Protection standard de la couche d'application

Lorsque vous protégez une CloudFront distribution Amazon ou une Application Load Balancer ACL avec Shield Advanced, vous pouvez utiliser Shield Advanced pour associer un AWS WAF site Web à votre ressource protégée, si ce n'est pas déjà fait. Si vous n'avez pas encore configuré de site WebACL, vous pouvez utiliser l'assistant de console Shield Advanced pour en créer un et y ajouter une règle basée sur le taux. Une règle basée sur le taux limite le nombre de demandes par fenêtre de cinq minutes pour chaque adresse IP, fournissant ainsi des protections de base contre les inondations de demandes au niveau de la couche application Web. Vous pouvez configurer le taux en commençant par 10. Pour de plus amples informations, veuillez consulter Protection de la couche applicative avec AWS WAF Web ACLs et Shield Advanced.

Vous pouvez également utiliser le AWS WAF service pour gérer le WebACL. Grâce à cela AWS WAF, vous pouvez étendre la ACL configuration Web pour effectuer des tâches telles que l'inspection de composants spécifiques de requêtes Web pour détecter des correspondances ou des modèles de chaînes, ajouter un traitement personnalisé des demandes et des réponses et les comparer à la géolocalisation de l'origine de la demande. Pour plus d'informations sur AWS WAF les règles, consultezUtilisation AWS WAF rules.

Atténuation automatique des couches applicatives

Pour une protection améliorée, activez l'atténuation automatique de la couche d'application Shield Advanced. Avec cette option, Shield Advanced maintient une règle de limitation du AWS WAF débit pour les demandes provenant de DDoS sources connues et fournit des mesures d'atténuation personnalisées pour les DDoS attaques détectées.

Lorsque Shield Advanced détecte une attaque contre une ressource protégée, il tente d'identifier une signature d'attaque qui isole le trafic d'attaque du trafic normal vers votre application. Shield Advanced évalue la signature d'attaque identifiée par rapport aux modèles de trafic historiques pour la ressource attaquée, ainsi que pour toute autre ressource associée au même site WebACL.

Si Shield Advanced détermine que la signature d'attaque isole uniquement le trafic impliqué dans l'DDoSattaque, il implémente la signature dans des AWS WAF règles au sein du Web ACL associé. Vous pouvez demander à Shield Advanced de mettre en place des mesures d'atténuation qui ne prennent en compte que le trafic auquel il correspond ou qui le bloque, et vous pouvez modifier le paramètre à tout moment. Lorsque Shield Advanced détermine que ses règles d'atténuation ne sont plus nécessaires, il les supprime du WebACL. Pour plus d'informations sur l'atténuation des événements au niveau de la couche application, consultezAutomatiser l'DDoSatténuation de la couche applicative avec Shield Advanced .

Pour plus d'informations sur les mesures d'atténuation de la couche d'application Shield Advanced, consultezProtection de la couche applicative (couche 7) avec AWS Shield Advanced et AWS WAF.