Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Peringatan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced

Halaman ini memperkenalkan topik mitigasi lapisan aplikasi DDo S otomatis dan daftar peringatan terkait.

Anda dapat mengonfigurasi Shield Advanced untuk merespons secara otomatis untuk mengurangi serangan lapisan aplikasi (lapisan 7) terhadap sumber daya lapisan aplikasi Anda yang dilindungi, dengan menghitung atau memblokir permintaan web yang merupakan bagian dari serangan. Opsi ini merupakan tambahan untuk perlindungan lapisan aplikasi yang Anda tambahkan melalui Shield Advanced dengan ACL AWS WAF web dan aturan berbasis tarif Anda sendiri.

Saat mitigasi otomatis diaktifkan untuk sumber daya, Shield Advanced mempertahankan grup aturan di ACL web terkait sumber daya tempat ia mengelola aturan mitigasi atas nama sumber daya. Grup aturan berisi aturan berbasis tarif yang melacak volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S.

Selain itu, Shield Advanced membandingkan pola lalu lintas saat ini dengan garis dasar lalu lintas bersejarah untuk mendeteksi penyimpangan yang mungkin mengindikasikan serangan S. DDo Shield Advanced merespons serangan DDo S yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan AWS WAF aturan khusus tambahan dalam grup aturan.

Peringatan untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis

Daftar berikut menjelaskan peringatan mitigasi lapisan DDo S aplikasi otomatis Shield Advanced, dan menjelaskan langkah-langkah yang mungkin ingin Anda ambil sebagai tanggapan.

  • Mitigasi lapisan aplikasi DDo S otomatis hanya berfungsi dengan web ACLs yang dibuat menggunakan versi terbaru AWS WAF (v2).

  • Shield Advanced membutuhkan waktu untuk menetapkan garis dasar lalu lintas normal dan historis aplikasi Anda, yang dimanfaatkannya untuk mendeteksi dan mengisolasi lalu lintas serangan dari lalu lintas normal, untuk mengurangi lalu lintas serangan. Waktu untuk menetapkan baseline adalah antara 24 jam dan 30 hari sejak Anda mengaitkan ACL web dengan sumber daya aplikasi yang dilindungi. Untuk informasi tambahan tentang garis dasar lalu lintas, lihat. Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced

  • Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis menambahkan grup aturan ke ACL web Anda yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU di ACL web Anda. Untuk informasi selengkapnya, lihat Melindungi layer aplikasi dengan grup aturan Shield Advanced, dan Unit kapasitas ACL Web (WCUs) di AWS WAF.

  • Grup aturan Shield Advanced menghasilkan AWS WAF metrik, tetapi tidak tersedia untuk dilihat. Ini sama dengan grup aturan lain yang Anda gunakan di ACL web tetapi tidak dimiliki, seperti grup aturan Aturan AWS Terkelola. Untuk informasi selengkapnya tentang AWS WAF metrik, lihatAWS WAF metrik dan dimensi. Untuk informasi tentang opsi perlindungan Shield Advanced ini, lihatMengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced .

  • Untuk web ACLs yang melindungi banyak sumber daya, mitigasi otomatis hanya menerapkan mitigasi khusus yang tidak berdampak negatif terhadap sumber daya yang dilindungi.

  • Waktu antara dimulainya serangan DDo S dan ketika Shield Advanced menempatkan aturan mitigasi otomatis kustom bervariasi dengan setiap peristiwa. Beberapa serangan DDo S mungkin berakhir sebelum aturan khusus diterapkan. Serangan lain mungkin terjadi ketika mitigasi sudah ada, dan mungkin dikurangi dengan aturan tersebut sejak awal acara. Selain itu, aturan berbasis tarif di grup aturan ACL dan Shield Advanced web dapat mengurangi lalu lintas serangan sebelum terdeteksi sebagai peristiwa yang memungkinkan.

  • Untuk Application Load Balancer yang menerima lalu lintas apa pun melalui jaringan pengiriman konten (CDN), seperti Amazon CloudFront, kemampuan mitigasi otomatis lapisan aplikasi dari Shield Advanced untuk sumber daya Application Load Balancer tersebut akan berkurang. Shield Advanced menggunakan atribut lalu lintas klien untuk mengidentifikasi dan mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda, dan CDNs mungkin tidak mempertahankan atau meneruskan atribut lalu lintas klien asli. Jika Anda menggunakan CloudFront, kami sarankan mengaktifkan mitigasi otomatis pada distribusi. CloudFront

  • Mitigasi lapisan aplikasi DDo S otomatis tidak berinteraksi dengan kelompok perlindungan. Anda dapat mengaktifkan mitigasi otomatis untuk sumber daya yang ada di grup perlindungan, tetapi Shield Advanced tidak secara otomatis menerapkan mitigasi serangan berdasarkan temuan kelompok perlindungan. Shield Advanced menerapkan mitigasi serangan otomatis untuk sumber daya individu.

Daftar Isi