Elenco di fattori che influiscono sul rilevamento e sulla mitigazione degli eventi a livello di applicazione con Shield Advanced

Questa sezione descrive i fattori che influenzano il rilevamento e la mitigazione degli eventi a livello di applicazione da parte di Shield Advanced.

Controlli dell'integrità

I controlli di integrità che riportano in modo accurato lo stato generale dell'applicazione forniscono a Shield Advanced informazioni sulle condizioni del traffico riscontrate dall'applicazione. Shield Advanced richiede meno informazioni che indicano un potenziale attacco quando l'applicazione segnala un malfunzionamento e richiede più prove di un attacco se l'applicazione lo segnala.

È importante configurare i controlli di integrità in modo che riportino con precisione lo stato delle applicazioni. Per ulteriori informazioni e indicazioni, vedereRilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53.

Linee di base del traffico

Le linee di base sul traffico forniscono a Shield Advanced informazioni sulle caratteristiche del traffico normale per l'applicazione. Shield Advanced utilizza queste linee di base per riconoscere quando l'applicazione non riceve traffico normale, in modo da poterti avvisare e, come configurato, iniziare a ideare e testare opzioni di mitigazione per contrastare un potenziale attacco. Per ulteriori informazioni su come Shield Advanced utilizza le linee di base del traffico per rilevare potenziali eventi, consulta la sezione panoramica. Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)

Shield Advanced crea le proprie linee di base a partire dalle informazioni fornite dal Web ACL associate alla risorsa protetta. Il Web ACL deve essere associato alla risorsa per almeno 24 ore e fino a 30 giorni prima che Shield Advanced possa determinare in modo affidabile le linee di base dell'applicazione. Il tempo necessario inizia quando si associa il WebACL, tramite Shield Advanced o tramite AWS WAF.

Per ulteriori informazioni sull'utilizzo di un Web ACL con le protezioni a livello di applicazione Shield Advanced, consultaProtezione del livello applicativo con AWS WAF web ACLs e Shield Advanced.

Regole basata sulla frequenza

Le regole basate sulla frequenza possono aiutare a mitigare gli attacchi. Inoltre, possono oscurare gli attacchi, mitigandoli prima che diventino un problema abbastanza grande da comparire nelle normali linee di base del traffico o nei report sullo stato dei controlli sanitari.

Ti consigliamo di utilizzare regole basate sulla frequenza nel tuo Web ACL quando proteggi una risorsa applicativa con Shield Advanced. Anche se le loro misure di mitigazione possono nascondere un potenziale attacco, sono una preziosa prima linea di difesa, che aiuta a garantire che l'applicazione rimanga disponibile per i clienti legittimi. Il traffico rilevato dalle regole basate sulle tariffe e sul limite di velocità è visibile nelle metriche. AWS WAF

Oltre alle tue regole basate sulla frequenza, se abiliti la DDoS mitigazione automatica a livello di applicazione, Shield Advanced aggiunge un gruppo di regole al tuo Web ACL che utilizza per mitigare gli attacchi. In questo gruppo di regole, Shield Advanced utilizza sempre una regola basata sulla frequenza che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di DDoS attacchi. Le metriche per il traffico mitigato dalle regole Shield Advanced non sono disponibili per la visualizzazione.

Per ulteriori informazioni sulle regole basate sulla tariffa, consulta. Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF Per informazioni sulla regola basata sulla frequenza utilizzata da Shield Advanced per la DDoS mitigazione automatica a livello di applicazione, vedere. Protezione del livello applicativo con il gruppo di regole Shield Advanced

Per ulteriori informazioni su Shield Advanced e sulle AWS WAF metriche, consultaMonitoraggio con Amazon CloudWatch.