AWS Shield logica di rilevamento per le minacce a livello di infrastruttura (livello 3 e livello 4) - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Shield logica di rilevamento per le minacce a livello di infrastruttura (livello 3 e livello 4)

Questa pagina spiega come funziona il rilevamento degli eventi per i livelli dell'infrastruttura (rete e trasporto).

La logica di rilevamento utilizzata per proteggere AWS le risorse mirate DDoS dagli attacchi ai livelli dell'infrastruttura (livello 3 e livello 4) dipende dal tipo di risorsa e dal fatto che la risorsa sia protetta o meno AWS Shield Advanced.

Rilevamento per Amazon CloudFront e Amazon Route 53

Quando servi la tua applicazione web con CloudFront Route 53, tutti i pacchetti dell'applicazione vengono ispezionati da un sistema di DDoS mitigazione completamente in linea, che non introduce alcuna latenza osservabile. DDoSgli attacchi contro le CloudFront distribuzioni e le zone ospitate da Route 53 vengono mitigati in tempo reale. Queste protezioni si applicano indipendentemente dal fatto che si utilizzi. AWS Shield Advanced

Segui la best practice di utilizzare CloudFront Route 53 come punto di ingresso della tua applicazione web, ove possibile, per il rilevamento e la mitigazione degli DDoS eventi più rapidi.

Rilevamento AWS Global Accelerator e servizi regionali

Il rilevamento a livello di risorsa protegge gli acceleratori e le risorse AWS Global Accelerator standard avviati nelle AWS regioni, come Classic Load Balancer, Application Load Balancer e indirizzi IP elastici (). EIPs Questi tipi di risorse vengono monitorati per rilevare aumenti di traffico che possono indicare la presenza di un attacco che richiede una mitigazione. DDoS Ogni minuto, viene valutato il traffico verso ciascuna AWS risorsa. Se il traffico verso una risorsa è elevato, vengono eseguiti controlli aggiuntivi per misurare la capacità della risorsa.

Shield esegue i seguenti controlli standard:

  • Istanze Amazon Elastic Compute Cloud (AmazonEC2), EIPs collegate a istanze AmazonEC2: Shield recupera la capacità dalla risorsa protetta. La capacità dipende dal tipo di istanza della destinazione, dalla dimensione dell'istanza e da altri fattori, ad esempio se l'istanza utilizza una rete avanzata.

  • Classic Load Balancer e Application Load Balancer: Shield recupera la capacità dal nodo di bilanciamento del carico di destinazione.

  • EIPscollegato a Network Load Balancers: Shield recupera la capacità dal load balancer di destinazione. La capacità è indipendente dalla configurazione di gruppo del sistema di bilanciamento del carico di destinazione.

  • AWS Global Accelerator acceleratori standard: Shield recupera la capacità, che si basa sulla configurazione dell'endpoint.

Queste valutazioni si verificano su più dimensioni del traffico di rete, come porta e protocollo. Se la capacità della risorsa target viene superata, Shield applica una DDoS mitigazione. Le mitigazioni introdotte da Shield ridurranno DDoS il traffico, ma potrebbero non eliminarlo. Shield può anche porre una mitigazione se viene superata una frazione della capacità della risorsa su una dimensione di traffico coerente con i vettori di DDoS attacco noti. Shield colloca questa mitigazione con un time to live limitato (TTL), che estende finché l'attacco è in corso.

Nota

Le mitigazioni applicate da Shield ridurranno DDoS il traffico, ma potrebbero non eliminarlo. Puoi potenziare Shield con soluzioni come AWS Network Firewall o un firewall on-host come iptables per impedire all'applicazione di elaborare traffico non valido per l'applicazione o non generato da utenti finali legittimi.

Le protezioni Shield Advanced aggiungono quanto segue alle attività di rilevamento Shield esistenti:

  • Soglie di rilevamento inferiori: Shield Advanced colloca le mitigazioni alla metà della capacità calcolata. Ciò può fornire mitigazioni più rapide per gli attacchi che aumentano lentamente e mitigare gli attacchi che hanno una firma volumetrica più ambigua.

  • Protezione dagli attacchi intermittenti: Shield Advanced applica misure di mitigazione con un time to live che aumenta esponenzialmente (TTL), in base alla frequenza e alla durata degli attacchi. In questo modo le mitigazioni rimangono attive più a lungo quando una risorsa viene spesso presa di mira e quando un attacco si verifica a raffiche brevi.

  • Rilevamento basato sullo stato: quando si associa un controllo dello stato di Route 53 a una risorsa protetta Shield Advanced, lo stato del controllo dello stato viene utilizzato nella logica di rilevamento. Durante un evento rilevato, se il controllo dello stato di salute è corretto, Shield Advanced richiede una maggiore sicurezza che si tratti di un attacco prima di effettuare una mitigazione. Se invece il controllo sanitario non è salutare, Shield Advanced potrebbe porre una mitigazione ancor prima che sia stata stabilita la fiducia. Questa funzionalità aiuta a evitare i falsi positivi e fornisce reazioni più rapide agli attacchi che colpiscono l'applicazione. Per informazioni sui controlli sanitari con Shield Advanced, vedereRilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53.