Le migliori pratiche per l'utilizzo della mitigazione automatica - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le migliori pratiche per l'utilizzo della mitigazione automatica

Attenetevi alle indicazioni fornite in questa sezione quando utilizzate la mitigazione automatica.

Gestione generale delle protezioni

Segui queste linee guida per pianificare e implementare le protezioni automatiche di mitigazione.

  • Gestisci tutte le tue protezioni automatiche di mitigazione tramite Shield Advanced o, se utilizzi AWS Firewall Manager per gestire le impostazioni di mitigazione automatica Shield Advanced, tramite Firewall Manager. Non mischiate l'uso di Shield Advanced e Firewall Manager per gestire queste protezioni.

  • Gestisci risorse simili utilizzando gli stessi ACL Web e le stesse impostazioni di protezione e gestisci risorse diverse utilizzando ACL Web diversi. Quando Shield Advanced mitiga un attacco DDoS su una risorsa protetta, definisce le regole per l'ACL Web associato alla risorsa e quindi verifica le regole rispetto al traffico di tutte le risorse associate all'ACL Web. Shield Advanced applicherà le regole solo se non hanno un impatto negativo su nessuna delle risorse associate. Per ulteriori informazioni, consulta Come Shield Advanced gestisce la mitigazione automatica.

  • Per gli Application Load Balancer che hanno tutto il traffico Internet inoltrato tramite proxy tramite una CloudFront distribuzione Amazon, abilita solo la mitigazione automatica sulla distribuzione. CloudFront La CloudFront distribuzione avrà sempre il maggior numero di attributi di traffico originali, che Shield Advanced sfrutta per mitigare gli attacchi.

Ottimizzazione del rilevamento e della mitigazione

Segui queste linee guida per ottimizzare le protezioni che la mitigazione automatica fornisce alle risorse protette. Per una panoramica del rilevamento e della mitigazione a livello di applicazione, vedere. Rilevamento e mitigazione

  • Configura i controlli di integrità per le tue risorse protette e usali per abilitare il rilevamento basato sullo stato nelle tue protezioni Shield Advanced. Per le linee guida, consulta Rilevamento basato sulla salute mediante controlli sanitari.

  • Abilita la mitigazione automatica in Count modalità fino a quando Shield Advanced non ha stabilito una linea di base per il traffico normale e storico. Shield Advanced richiede da 24 ore a 30 giorni per stabilire una linea di base.

    La definizione di una linea di base dei normali modelli di traffico richiede quanto segue:

    • L'associazione di un ACL web con la risorsa protetta. È possibile utilizzare AWS WAF direttamente per associare l'ACL Web oppure fare in modo che Shield Advanced lo associ quando si abilita la protezione a livello di applicazione Shield Advanced e si specifica un ACL Web da utilizzare.

    • Flusso di traffico normale verso l'applicazione protetta. Se l'applicazione non riceve traffico normale, ad esempio prima del lancio dell'applicazione o se manca traffico di produzione per lunghi periodi di tempo, i dati storici non possono essere raccolti.

Gestione Web ACL

Segui queste linee guida per la gestione degli ACL Web che utilizzi con la mitigazione automatica.

  • Se devi sostituire l'ACL web associato alla risorsa protetta, apporta le seguenti modifiche nell'ordine:

    1. In Shield Advanced, disabilita la mitigazione automatica.

    2. In AWS WAF, dissocia il vecchio ACL web e associa il nuovo ACL web.

    3. In Shield Advanced, abilita la mitigazione automatica.

    Shield Advanced non trasferisce automaticamente la mitigazione automatica dal vecchio ACL web a quello nuovo.

  • Non eliminate alcuna regola del gruppo di regole dai vostri ACL web il cui nome inizia con. ShieldMitigationRuleGroup Se elimini questo gruppo di regole, disabiliti le protezioni fornite dalla mitigazione automatica Shield Advanced per ogni risorsa associata all'ACL web. Inoltre, Shield Advanced potrebbe impiegare del tempo per ricevere la notifica della modifica e aggiornare le impostazioni. Durante questo periodo, le pagine della console Shield Advanced forniranno informazioni errate.

    Per ulteriori informazioni sul gruppo di regole, vedereIl gruppo di regole Shield Advanced.

  • Non modificare il nome di una regola del gruppo di regole il cui nome inizia conShieldMitigationRuleGroup. Ciò può interferire con le protezioni fornite dalla mitigazione automatica Shield Advanced tramite l'ACL web.

  • Quando crei regole e gruppi di regole, non utilizzare nomi che iniziano con. ShieldMitigationRuleGroup Questa stringa viene utilizzata da Shield Advanced per gestire le mitigazioni automatiche.

  • Nella gestione delle regole ACL Web, non assegnate un'impostazione di priorità di 10.000.000. Shield Advanced assegna questa impostazione di priorità alla regola del gruppo di regole di mitigazione automatica quando la aggiunge.

  • Mantieni la ShieldMitigationRuleGroup regola prioritaria in modo che venga eseguita quando vuoi rispetto alle altre regole del tuo ACL web. Shield Advanced aggiunge la regola del gruppo di regole all'ACL Web con priorità 10.000.000, da eseguire dopo le altre regole. Se utilizzi la procedura guidata della AWS WAF console per gestire l'ACL Web, modifica le impostazioni di priorità in base alle esigenze dopo aver aggiunto le regole all'ACL Web.

  • Se utilizzi AWS CloudFormation per gestire gli ACL Web, non è necessario gestire la regola del ShieldMitigationRuleGroup gruppo di regole. Segui le istruzioni riportate all'Utilizzo AWS CloudFormation con mitigazione automatica degli attacchi DDoS a livello di applicazioneindirizzo.