Praktik terbaik untuk menggunakan DDoS mitigasi lapisan aplikasi otomatis - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk menggunakan DDoS mitigasi lapisan aplikasi otomatis

Patuhi panduan yang disediakan di bagian ini saat Anda menggunakan mitigasi otomatis.

Manajemen perlindungan umum

Ikuti panduan ini untuk merencanakan dan menerapkan perlindungan mitigasi otomatis Anda.

  • Kelola semua perlindungan mitigasi otomatis Anda baik melalui Shield Advanced atau, jika Anda menggunakannya AWS Firewall Manager untuk mengelola pengaturan mitigasi otomatis Shield Advanced, melalui Firewall Manager. Jangan mencampur penggunaan Shield Advanced dan Firewall Manager untuk mengelola perlindungan ini.

  • Kelola sumber daya serupa menggunakan pengaturan web ACLs dan perlindungan yang sama, dan kelola sumber daya yang berbeda menggunakan web ACLs yang berbeda. Ketika Shield Advanced mengurangi DDoS serangan terhadap sumber daya yang dilindungi, ia mendefinisikan aturan untuk web ACL yang terkait dengan sumber daya dan kemudian menguji aturan terhadap lalu lintas semua sumber daya yang terkait dengan web. ACL Shield Advanced hanya akan menerapkan aturan jika aturan tersebut tidak berdampak negatif terhadap sumber daya terkait. Untuk informasi selengkapnya, lihat Bagaimana Shield Advanced mengelola mitigasi otomatis.

  • Untuk Application Load Balancer yang memiliki semua lalu lintas internet mereka diproksi melalui CloudFront distribusi Amazon, hanya aktifkan mitigasi otomatis pada distribusi. CloudFront CloudFront Distribusi akan selalu memiliki jumlah atribut lalu lintas asli terbesar, yang dimanfaatkan Shield Advanced untuk mengurangi serangan.

Pengoptimalan deteksi dan mitigasi

Ikuti panduan ini untuk mengoptimalkan perlindungan yang diberikan mitigasi otomatis terhadap sumber daya yang dilindungi. Untuk ikhtisar deteksi dan mitigasi lapisan aplikasi, lihat. Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced

  • Konfigurasikan pemeriksaan kesehatan untuk sumber daya yang dilindungi dan gunakan untuk mengaktifkan deteksi berbasis kesehatan di perlindungan Shield Advanced Anda. Untuk panduan, lihat Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53.

  • Aktifkan mitigasi otomatis di Count mode hingga Shield Advanced telah menetapkan dasar untuk lalu lintas normal dan bersejarah. Shield Advanced membutuhkan dari 24 jam hingga 30 hari untuk menetapkan baseline.

    Menetapkan dasar pola lalu lintas normal membutuhkan hal-hal berikut:

    • Asosiasi web ACL dengan sumber daya yang dilindungi. Anda dapat menggunakan AWS WAF langsung untuk mengaitkan web Anda ACL atau Anda dapat meminta Shield Advanced mengaitkannya saat Anda mengaktifkan perlindungan lapisan aplikasi Shield Advanced dan menentukan web yang ACL akan digunakan.

    • Arus lalu lintas normal ke aplikasi Anda yang dilindungi. Jika aplikasi Anda tidak mengalami lalu lintas normal, seperti sebelum aplikasi diluncurkan atau jika tidak memiliki lalu lintas produksi untuk jangka waktu yang lama, data historis tidak dapat dikumpulkan.

ACLManajemen web

Ikuti panduan ini untuk mengelola web ACLs yang Anda gunakan dengan mitigasi otomatis.

  • Jika Anda perlu mengganti web ACL yang terkait dengan sumber daya yang dilindungi, buat perubahan berikut secara berurutan:

    1. Di Shield Advanced, nonaktifkan mitigasi otomatis.

    2. Di AWS WAF, pisahkan web lama ACL dan kaitkan web ACL baru.

    3. Di Shield Advanced, aktifkan mitigasi otomatis.

    Shield Advanced tidak secara otomatis mentransfer mitigasi otomatis dari web lama ACL ke yang baru.

  • Jangan hapus aturan grup aturan apa pun dari web Anda ACLs yang namanya dimulaiShieldMitigationRuleGroup. Jika Anda menghapus grup aturan ini, Anda menonaktifkan perlindungan yang disediakan oleh mitigasi otomatis Shield Advanced untuk setiap sumber daya yang terkait dengan web. ACL Selain itu, diperlukan Shield Advanced beberapa waktu untuk menerima pemberitahuan perubahan dan memperbarui pengaturannya. Selama waktu ini, halaman konsol Shield Advanced akan memberikan informasi yang salah.

    Untuk informasi selengkapnya tentang grup aturan, lihatMelindungi layer aplikasi dengan grup aturan Shield Advanced.

  • Jangan mengubah nama aturan grup aturan yang namanya dimulai denganShieldMitigationRuleGroup. Melakukannya dapat mengganggu perlindungan yang diberikan oleh mitigasi otomatis Shield Advanced melalui web. ACL

  • Saat Anda membuat aturan dan grup aturan, jangan gunakan nama yang dimulai denganShieldMitigationRuleGroup. String ini digunakan oleh Shield Advanced untuk mengelola mitigasi otomatis Anda.

  • Dalam pengelolaan ACL aturan web Anda, jangan tetapkan pengaturan prioritas 10.000.000. Shield Advanced menetapkan pengaturan prioritas ini ke aturan grup aturan mitigasi otomatis saat menambahkannya.

  • Pertahankan ShieldMitigationRuleGroup aturan yang diprioritaskan sehingga berjalan ketika Anda menginginkannya sehubungan dengan aturan lain di web Anda. ACL Shield Advanced menambahkan aturan grup aturan ke web ACL dengan prioritas 10.000.000, untuk menjalankan aturan Anda yang lain. Jika Anda menggunakan wizard AWS WAF konsol untuk mengelola web AndaACL, sesuaikan pengaturan prioritas sesuai kebutuhan setelah Anda menambahkan aturan ke webACL.

  • Jika Anda menggunakan AWS CloudFormation untuk mengelola web AndaACLs, Anda tidak perlu mengelola ShieldMitigationRuleGroup aturan grup aturan. Ikuti bimbingan diMenggunakan AWS CloudFormation dengan DDoS mitigasi lapisan aplikasi otomatis.