Come Shield Advanced gestisce la mitigazione automatica - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Durante un attacco DDoSCome Shield Advanced gestisce l'impostazione delle azioniQuando un attacco si attenuaQuando si disabilita la mitigazione automatica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come Shield Advanced gestisce la mitigazione automatica

Gli argomenti di questa sezione descrivono come Shield Advanced gestisce le modifiche alla configurazione per la DDoS mitigazione automatica a livello di applicazione e come gestisce DDoS gli attacchi quando la mitigazione automatica è abilitata.

In che modo Shield Advanced risponde agli DDoS attacchi con la mitigazione automatica

Quando la mitigazione automatica è abilitata su una risorsa protetta, la regola ShieldKnownOffenderIPRateBasedRule basata sulla tariffa nel gruppo di regole Shield Advanced risponde automaticamente ai volumi di traffico elevati provenienti da fonti note. DDoS Questa limitazione della velocità viene applicata rapidamente e funge da difesa in prima linea contro gli attacchi.

Quando Shield Advanced rileva un attacco, esegue le seguenti operazioni:

  1. Tenta di identificare una firma di attacco che isola il traffico di attacco dal normale traffico verso l'applicazione. L'obiettivo è produrre regole di DDoS mitigazione di alta qualità che, una volta applicate, influiscano solo sul traffico di attacco e non influiscano sul normale traffico verso l'applicazione.

  2. Valuta la firma dell'attacco identificata rispetto ai modelli di traffico storici per la risorsa oggetto di attacco e per qualsiasi altra risorsa associata allo stesso Web. ACL Shield Advanced esegue questa operazione prima di implementare qualsiasi regola in risposta all'evento.

    A seconda dei risultati della valutazione, Shield Advanced esegue una delle seguenti operazioni:

    • Se Shield Advanced determina che la firma dell'attacco isola solo il traffico coinvolto nell'DDoSattacco, implementa la firma nelle AWS WAF regole del gruppo di regole di mitigazione Shield Advanced sul Web. ACL Shield Advanced fornisce a queste regole l'impostazione di azione che hai configurato per la mitigazione automatica della risorsa, ovvero Count oppure Block.

    • Altrimenti, Shield Advanced non prevede alcuna mitigazione.

Durante un attacco, Shield Advanced invia le stesse notifiche e fornisce le stesse informazioni sugli eventi delle protezioni di base a livello di applicazione Shield Advanced. Puoi visualizzare le informazioni su eventi e DDoS attacchi e su qualsiasi mitigazione degli attacchi Shield Advanced nella console degli eventi Shield Advanced. Per informazioni, consultare Visibilità sugli DDoS eventi con Shield Advanced.

Se hai configurato la mitigazione automatica per utilizzare il Block se si riscontrano falsi positivi nelle regole di mitigazione implementate da Shield Advanced, è possibile modificare l'azione della regola in Count. Per informazioni su come eseguire questa operazione, vedereModifica dell'azione utilizzata per la DDoS mitigazione automatica del livello di applicazione.

In che modo Shield Advanced gestisce l'impostazione delle azioni delle regole

Puoi impostare l'azione della regola per le tue mitigazioni automatiche su Block oppure Count.

Quando si modifica l'impostazione dell'azione automatica delle regole di mitigazione per una risorsa protetta, Shield Advanced aggiorna tutte le impostazioni delle regole per la risorsa. Aggiorna tutte le regole attualmente in vigore per la risorsa nel gruppo di regole Shield Advanced e utilizza la nuova impostazione di azione quando crea nuove regole.

Per le risorse che utilizzano lo stesso WebACL, se si specificano azioni diverse, Shield Advanced utilizza Block impostazione delle azioni per la regola basata sulla frequenza del gruppo di regole. ShieldKnownOffenderIPRateBasedRule Shield Advanced crea e gestisce altre regole nel gruppo di regole per conto di una specifica risorsa protetta e utilizza l'impostazione di azione specificata per la risorsa. Tutte le regole del gruppo di regole Shield Advanced in un Web ACL vengono applicate al traffico Web di tutte le risorse associate.

La propagazione della modifica dell'impostazione dell'azione può richiedere alcuni secondi. Durante questo periodo, potresti vedere la vecchia impostazione in alcuni punti in cui è in uso il gruppo di regole e la nuova impostazione in altri.

È possibile modificare l'impostazione dell'azione delle regole per la configurazione di mitigazione automatica nella pagina degli eventi della console e tramite la pagina di configurazione del livello di applicazione. Per informazioni sulla pagina degli eventi, vedereRispondere agli DDoS eventi in AWS. Per informazioni sulla pagina di configurazione, vedereConfigura le DDoS protezioni a livello di applicazione.

In che modo Shield Advanced gestisce le mitigazioni quando un attacco si attenua

Quando Shield Advanced determina che le regole di mitigazione che sono state implementate per un particolare attacco non sono più necessarie, le rimuove dal gruppo di regole di mitigazione Shield Advanced.

La rimozione delle regole di mitigazione non coinciderà necessariamente con la fine di un attacco. Shield Advanced monitora i modelli di attacco che rileva sulle risorse protette. Potrebbe difendersi in modo proattivo dalla recidiva di un attacco con una firma specifica mantenendo in vigore le regole che ha implementato contro il verificarsi iniziale di quell'attacco. Se necessario, Shield Advanced aumenta il lasso di tempo necessario per mantenere le regole in vigore. In questo modo, Shield Advanced potrebbe mitigare gli attacchi ripetuti con una firma specifica prima che abbiano un impatto sulle risorse protette.

Shield Advanced non rimuove mai la regola basata sulla frequenzaShieldKnownOffenderIPRateBasedRule, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di DDoS attacchi.

Cosa succede quando si disabilita la mitigazione automatica

Shield Advanced esegue le seguenti operazioni quando si disabilita la mitigazione automatica per una risorsa:

  • Interrompe la risposta automatica agli DDoS attacchi: Shield Advanced interrompe le attività di risposta automatica per la risorsa.

  • Rimuove le regole non necessarie dal gruppo di regole Shield Advanced: se Shield Advanced mantiene delle regole nel proprio gruppo di regole gestito per conto della risorsa protetta, le rimuove.

  • Rimuove il gruppo di regole Shield Advanced, se non è più in uso: se il Web ACL associato alla risorsa non è associato a nessun'altra risorsa con la mitigazione automatica abilitata, Shield Advanced rimuove la regola del gruppo di regole dal WebACL.