Comment AWS Shield atténuer les événements

Cette page explique le fonctionnement de AWS Shield l'atténuation des événements.

La logique d'atténuation qui protège votre application peut varier en fonction de l'architecture de votre application. Lorsque vous protégez une application Web avec Amazon CloudFront et Amazon Route 53, vous bénéficiez de mesures d'atténuation spécifiques au Web et aux cas d'DNSutilisation et qui protègent l'ensemble du trafic lié aux services. Lorsque le point d'entrée de votre application est une ressource qui s'exécute dans une AWS région, la logique d'atténuation varie en fonction du service, du type de ressource et de l'utilisation que vous en faites AWS Shield Advanced.

AWS DDoSles systèmes d'atténuation sont développés par les ingénieurs de Shield et ils sont étroitement intégrés aux AWS services. Les ingénieurs prennent en compte les aspects de votre architecture tels que la capacité et l'état des ressources ciblées. Les ingénieurs de Shield surveillent en permanence l'efficacité et les performances des systèmes DDoS d'atténuation et sont en mesure de réagir rapidement lorsque de nouvelles menaces sont découvertes ou anticipées.

Vous pouvez concevoir votre application de manière à ce qu'elle évolue en réponse à un trafic ou à une charge élevés, afin de garantir qu'elle ne soit pas affectée par de faibles volumes de demandes. Si vous utilisez Shield Advanced pour protéger vos ressources, vous bénéficiez d'une couverture contre les augmentations inattendues de votre facture cloud qui pourraient survenir à la suite d'une DDoS attaque.

Atténuations liées aux infrastructures

Pour les attaques au niveau de l'infrastructure, AWS Shield DDoS des systèmes d'atténuation sont présents à la frontière du AWS réseau et aux emplacements AWS périphériques. La mise en place de plusieurs niveaux de contrôles de sécurité dans l'ensemble de l' AWS infrastructure fournit defense-in-depth à vos applications cloud.

Shield gère DDoS des systèmes d'atténuation à tous les points d'entrée depuis Internet. Lorsque Shield détecte une DDoS attaque, pour chaque point d'entrée, il redirige le trafic via les systèmes DDoS d'atténuation situés au même endroit. Cela n'introduit aucune latence supplémentaire observable et fournit une capacité d'atténuation de plus de TeraBits 100 Tbit/s dans toutes les AWS régions et tous les emplacements périphériques. Shield protège la disponibilité de vos ressources sans rediriger le trafic vers des centres de nettoyage externes ou distants, ce qui pourrait augmenter la latence.

À la frontière du AWS réseau, quel que soit le AWS service ou la ressource, les systèmes DDoS d'atténuation atténuent les attaques au niveau de l'infrastructure provenant d'Internet. Les systèmes effectuent leurs mesures d'atténuation lorsqu'ils sont signalés par le système de détection du Shield ou par un ingénieur de l'équipe d'intervention du Shield ()SRT.
Sur les sites AWS périphériques, les systèmes DDoS d'atténuation inspectent en permanence chaque paquet transféré vers les CloudFront distributions Amazon et les zones hébergées Amazon Route 53, quelle que soit son origine. Au besoin, les systèmes appliquent des mesures d'atténuation spécialement conçues pour le Web et le DNS trafic. Un autre avantage de l'utilisation d'Amazon CloudFront et d'Amazon Route 53 pour protéger vos applications Web est que les DDoS attaques sont immédiatement atténuées, sans qu'un signal de détection du Shield ne soit nécessaire.

Atténuations de la couche applicative

Shield Advanced fournit des mesures d'atténuation de la couche d'application Web pour les CloudFront distributions Amazon et les équilibreurs de charge d'application pour lesquels vous avez activé les protections Shield Advanced. Lorsque vous activez la protection, vous associez un AWS WAF site Web ACL à la ressource afin de permettre la détection de la couche d'application Web. En outre, vous avez la possibilité d'activer l'atténuation automatique de la couche d'application, qui demande à Shield Advanced de gérer les protections pour vous en cas d'DDoSattaque.

Shield fournit uniquement des mesures d'atténuation personnalisées pour les attaques de la couche application sur les ressources pour lesquelles vous avez activé Shield Advanced et l'atténuation automatique de la couche application. Grâce à l'atténuation automatique, Shield Advanced impose une limite de AWS WAF débit aux demandes provenant de DDoS sources connues, et ajoute et gère automatiquement des AWS WAF protections personnalisées en réponse aux DDoS attaques détectées. Pour des informations détaillées sur les mesures d'atténuation de ce type, consultezComment Shield Advanced gère l'atténuation automatique.

Une règle basée sur le taux sur votre site WebACL, qu'elle soit ajoutée par vous-même ou par la fonction d'atténuation automatique de la couche d'application Shield Advanced, peut atténuer une attaque avant qu'elle n'atteigne un niveau détectable. Pour plus d'informations sur la détection, consultezShield : logique de détection avancée pour les menaces de la couche application (couche 7).

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Détection de plusieurs ressources dans une application

Caractéristiques d'atténuation