AWS Shield logique d'atténuation pour CloudFront et Route 53 - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Shield logique d'atténuation pour CloudFront et Route 53

Cette page explique comment l'atténuation du Shield DDo S inspecte en permanence le trafic pour CloudFront la Route 53. Ces services fonctionnent à partir d'un réseau mondial d'emplacements AWS périphériques qui vous offrent un accès étendu à la capacité d'atténuation DDo S de Shield et fournissent votre application à partir d'une infrastructure plus proche de vos utilisateurs finaux.

  • CloudFront— Les mesures d'atténuation du Shield DDo S autorisent uniquement le trafic valide pour les applications Web à passer vers le service. Cela fournit une protection automatique contre de nombreux vecteurs DDo S courants, tels que les attaques par réflexion UDP.

    CloudFront maintient des connexions persistantes avec l'origine de votre application, les inondations TCP SYN sont automatiquement atténuées grâce à l'intégration avec la fonctionnalité proxy Shield TCP SYN, et le protocole TLS (Transport Layer Security) est interrompu à la périphérie. Ces fonctionnalités combinées garantissent que l'origine de votre application ne reçoit que des requêtes Web bien formulées et qu'elle est protégée contre les attaques de couche DDo S inférieure, les inondations de connexions et les abus du TLS.

    CloudFront utilise une combinaison de direction du trafic DNS et de routage anycast. Ces techniques améliorent la résilience de votre application en atténuant les attaques à proximité de la source, en isolant les défaillances et en garantissant l'accès aux capacités nécessaires pour atténuer les plus importantes attaques connues.

  • Les mesures d'atténuation de Route 53 — Shield autorisent uniquement les requêtes DNS valides à atteindre le service. Shield atténue le flot de requêtes DNS grâce à un score de suspicion qui donne la priorité aux requêtes dont le bon fonctionnement est avéré et ne donne pas la priorité aux requêtes contenant des attributs d'attaque S suspects ou connus. DDo

    Route 53 utilise le shuffle sharding pour fournir un ensemble unique de quatre adresses IP de résolution à chaque zone hébergée, pour les deux et. IPv4 IPv6 Chaque adresse IP correspond à un sous-ensemble différent d'emplacements Route 53. Chaque sous-ensemble de localisation est constitué de serveurs DNS officiels qui ne recouvrent que partiellement l'infrastructure de tout autre sous-ensemble. Cela garantit que si une requête utilisateur échoue pour une raison quelconque, elle sera traitée avec succès lors d'une nouvelle tentative.

    Route 53 utilise le routage anycast pour diriger les requêtes DNS vers l'emplacement périphérique le plus proche, en fonction de la proximité du réseau. Anycast répartit également le trafic DDo S vers de nombreux emplacements périphériques, ce qui empêche les attaques de se concentrer sur un seul emplacement.

Outre la rapidité de l'atténuation, CloudFront Route 53 fournit un accès étendu à la capacité distribuée à l'échelle mondiale de Shield. Pour tirer parti de ces fonctionnalités, utilisez ces services comme point d'entrée de vos applications Web dynamiques ou statiques.

Pour en savoir plus sur l'utilisation CloudFront de Route 53 pour protéger les applications Web, consultez Comment protéger les applications Web dynamiques contre les attaques DDo S en utilisant Amazon CloudFront et Amazon Route 53. Pour en savoir plus sur l'isolation des défauts sur Route 53, consultez une étude de cas sur l'isolation globale des défauts.