Utilisation de l'atténuation automatique de la couche DDo S de l'application avec les politiques Firewall Manager Shield Advanced - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Configuration automatique des mesures d'atténuationRemplacer le Web AWS WAF classique ACLs par le Web v2 ACLs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de l'atténuation automatique de la couche DDo S de l'application avec les politiques Firewall Manager Shield Advanced

Cette page explique comment fonctionne l'atténuation automatique de la couche d'application DDo S avec Firewall Manager.

Lorsque vous appliquez une politique Shield Advanced à des CloudFront distributions Amazon ou à des équilibreurs de charge d'application, vous avez la possibilité de configurer l'atténuation automatique de la couche DDo S d'application Shield Advanced dans la politique.

Pour plus d'informations sur l'atténuation automatique de Shield Advanced, consultezAutomatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced .

L'atténuation automatique de la couche DDo S d'application Shield Advanced répond aux exigences suivantes :

  • L'atténuation automatique de la couche DDo S de l'application ne fonctionne qu'avec les CloudFront distributions Amazon et les équilibreurs de charge d'application.

    Si vous appliquez votre politique Shield Advanced aux CloudFront distributions Amazon, vous pouvez choisir cette option pour les politiques Shield Advanced que vous créez pour la région mondiale. Si vous appliquez des protections aux équilibreurs de charge d'application, vous pouvez appliquer la politique à toutes les régions prises en charge par Firewall Manager.

  • L'atténuation automatique de la couche d'application DDo S fonctionne uniquement avec ACLs les sites Web créés à l'aide de la dernière version de AWS WAF (v2).

    C'est pourquoi, si vous avez une politique qui utilise le Web AWS WAF classique ACLs, vous devez soit la remplacer par une nouvelle stratégie, qui utilisera automatiquement la dernière version de AWS WAF, soit demander à Firewall Manager de créer une nouvelle version Web ACLs pour votre politique existante et de passer à leur utilisation. Pour plus d’informations sur ces options, consultez Remplacer le Web AWS WAF classique ACLs par la dernière version Web ACLs.

Configuration automatique des mesures d'atténuation

L'option d'atténuation automatique de la couche d'application DDo S pour les politiques Shield Advanced de Firewall Manager applique la fonctionnalité d'atténuation automatique de Shield Advanced aux comptes et ressources concernés par votre politique. Pour obtenir des informations détaillées sur cette fonctionnalité Shield Advanced, consultezAutomatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced .

Vous pouvez choisir que Firewall Manager active ou désactive l'atténuation automatique pour les CloudFront distributions ou les équilibreurs de charge d'application concernés par la politique, ou vous pouvez choisir que la politique ignore les paramètres d'atténuation automatique de Shield Advanced :

  • Activer : si vous choisissez d'activer l'atténuation automatique, vous devez également indiquer si les règles d'atténuation du Shield Advanced doivent compter ou bloquer les requêtes Web correspondantes. Firewall Manager marquera les ressources concernées comme non conformes si l'atténuation automatique n'est pas activée ou si elles utilisent une action de règle qui ne correspond pas à celle que vous spécifiez pour la politique. Si vous configurez la politique de correction automatique, Firewall Manager met à jour les ressources non conformes selon les besoins.

  • Désactiver : si vous choisissez de désactiver l'atténuation automatique, Firewall Manager marquera les ressources concernées comme non conformes si l'atténuation automatique est activée. Si vous configurez la politique de correction automatique, Firewall Manager met à jour les ressources non conformes selon les besoins.

  • Ignorer : si vous choisissez d'ignorer l'atténuation automatique, Firewall Manager ne tiendra compte d'aucun des paramètres d'atténuation automatique de votre politique Shield lorsqu'il effectuera des activités de correction pour cette politique. Ce paramètre vous permet de contrôler l'atténuation automatique via Shield Advanced, sans que ces paramètres ne soient remplacés par Firewall Manager. Ce paramètre ne s'applique pas aux équilibreurs de charge classiques ou aux IPs ressources élastiques gérés via Shield Advanced, car Shield Advanced ne prend actuellement pas en charge l'atténuation automatique L7 pour ces ressources.

Remplacer le Web AWS WAF classique ACLs par la dernière version Web ACLs

L'atténuation automatique de la couche d'application DDo S fonctionne uniquement avec ACLs les sites Web créés à l'aide de la dernière version de AWS WAF (v2).

Pour déterminer la version de l'ACL Web correspondant à votre politique Shield Advanced, consultezDéterminer la AWS WAF version utilisée par une politique Shield Advanced.

Si vous souhaitez utiliser l'atténuation automatique dans votre politique Shield Advanced et que votre politique utilise actuellement le Web AWS WAF classique ACLs, vous pouvez soit créer une nouvelle politique Shield Advanced pour remplacer votre politique Shield Advanced actuelle, soit utiliser les options décrites dans cette section pour remplacer la version précédente du Web ACLs par une nouvelle version Web (v2) ACLs dans votre politique Shield Advanced actuelle. Les nouvelles politiques créent toujours le Web ACLs à l'aide de la dernière version de AWS WAF. Si vous remplacez l'intégralité de la politique, lorsque vous la supprimez, Firewall Manager peut également supprimer l'intégralité de la version Web ACLs antérieure. Le reste de cette section décrit les options qui s'offrent à vous pour remplacer le Web ACLs dans le cadre de votre politique existante.

Lorsque vous modifiez une politique Shield Advanced existante pour les CloudFront ressources Amazon, Firewall Manager peut créer automatiquement une nouvelle ACL Web vide AWS WAF (v2) pour la politique, dans tout compte concerné qui ne possède pas déjà une ACL Web v2. Lorsque Firewall Manager crée une nouvelle ACL Web, si la politique possède déjà une ACL Web AWS WAF classique dans le même compte, Firewall Manager configure la nouvelle version de l'ACL Web avec le même paramètre d'action par défaut que l'ACL Web existante. S'il n'existe aucune ACL Web AWS WAF classique, Firewall Manager définit l'action par défaut sur Allow dans la nouvelle ACL Web. Une fois que Firewall Manager a créé une nouvelle ACL Web, vous pouvez la personnaliser selon vos besoins via la AWS WAF console.

Lorsque vous choisissez l'une des options de configuration des politiques suivantes, Firewall Manager crée un nouveau site Web (v2) ACLs pour les comptes concernés qui n'en disposent pas déjà :

  • Lorsque vous activez ou désactivez l'atténuation automatique de la couche d'application DDo S. Ce choix à lui seul permet uniquement à Firewall Manager de créer le nouveau site Web ACLs, et non de remplacer les associations ACL Web AWS WAF classiques existantes sur les ressources incluses dans le champ d'application de la politique.

  • Lorsque vous choisissez l'action politique de correction automatique et que vous choisissez l'option permettant de remplacer le Web AWS WAF classique par le Web ACLs AWS WAF (v2). ACLs Vous pouvez choisir de remplacer la version précédente du Web ACLs quels que soient vos choix de configuration pour une atténuation automatique de la couche d'application DDo S.

    Lorsque vous choisissez l'option de remplacement, Firewall Manager crée la nouvelle version Web ACLs selon les besoins, puis effectue les opérations suivantes pour les ressources concernées par la politique :

    • Si une ressource est associée à une ACL Web issue d'une autre politique active de Firewall Manager, Firewall Manager laisse l'association tranquille.

    • Dans tous les autres cas, Firewall Manager supprime toute association avec une ACL Web AWS WAF classique et associe la ressource à l'ACL Web de la politique AWS WAF (v2).

Vous pouvez choisir de demander à Firewall Manager de remplacer l'ancienne version Web ACLs par la nouvelle version Web ACLs lorsque vous le souhaitez. Si vous avez déjà personnalisé le Web AWS WAF classique de la politique ACLs, vous pouvez mettre à jour la nouvelle version Web ACLs avec des paramètres comparables avant de demander à Firewall Manager d'effectuer l'étape de remplacement.

Vous pouvez accéder à l'une ou l'autre version de l'ACL Web pour une politique via la console de même version AWS WAF ou AWS WAF Classic.

Firewall Manager ne supprime aucun site Web AWS WAF classique remplacé ACLs tant que vous ne supprimez pas la politique elle-même. Une fois que le Web AWS WAF classique ACLs n'est plus utilisé par la politique, vous pouvez les supprimer si vous le souhaitez.