AWS Shield logica di mitigazione per CloudFront e Route 53 - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Shield logica di mitigazione per CloudFront e Route 53

Questa pagina spiega in che modo Shield DDoS mitigation ispeziona continuamente il traffico per CloudFront e la Route 53. Questi servizi operano da una rete di AWS edge location distribuita a livello globale che offre un ampio accesso alla capacità di DDoS mitigazione di Shield e fornisce l'applicazione da un'infrastruttura più vicina agli utenti finali.

  • CloudFront— DDoS Le mitigazioni Shield consentono solo al traffico valido per le applicazioni Web di passare al servizio. Ciò fornisce una protezione automatica contro molti DDoS vettori comuni, come gli attacchi di UDP riflessione.

    CloudFront mantiene connessioni persistenti all'origine dell'applicazione, i TCP SYN flood vengono automaticamente mitigati attraverso l'integrazione con la funzionalità TCP SYN proxy Shield e Transport Layer Security (TLS) viene terminato all'edge. Queste funzionalità combinate assicurano che l'origine dell'applicazione riceva solo richieste Web ben formate e che sia protetta da DDoS attacchi di livello inferiore, allagamenti di connessione e abusi. TLS

    CloudFront utilizza una combinazione di direzione del DNS traffico e routing anycast. Queste tecniche migliorano la resilienza dell'applicazione mitigando gli attacchi vicini alla fonte, garantendo l'isolamento dei guasti e garantendo l'accesso alla capacità di mitigare gli attacchi più grandi conosciuti.

  • Le mitigazioni Route 53 — Shield consentono solo a DNS richieste valide di raggiungere il servizio. Shield mitiga i DNS flussi di query utilizzando un punteggio di sospetto che dà priorità alle query note con esito positivo e riduce la priorità alle query che contengono attributi di attacco sospetti o noti. DDoS

    Route 53 utilizza lo shuffle sharding per fornire un set unico di quattro indirizzi IP resolver per ogni zona ospitata, per entrambi e. IPv4 IPv6 Ogni indirizzo IP corrisponde a un sottoinsieme diverso di posizioni Route 53. Ogni sottoinsieme di località è costituito da DNS server autorevoli che si sovrappongono solo parzialmente all'infrastruttura di qualsiasi altro sottoinsieme. In questo modo, se una richiesta dell'utente non riesce per qualsiasi motivo, verrà inviata correttamente al nuovo tentativo.

    Route 53 utilizza il routing anycast per indirizzare DNS le query alla edge location più vicina, in base alla prossimità della rete. Anycast indirizza inoltre il DDoS traffico verso molte edge location, il che impedisce agli attacchi di concentrarsi su un'unica posizione.

Oltre alla velocità di mitigazione, CloudFront Route 53 offre un ampio accesso alla capacità distribuita a livello globale di Shield. Per sfruttare queste funzionalità, utilizzate questi servizi come punto di ingresso per le vostre applicazioni web dinamiche o statiche.

Per ulteriori informazioni sull'utilizzo CloudFront di Route 53 per proteggere le applicazioni Web, consulta Come proteggere le applicazioni Web dinamiche dagli DDoS attacchi utilizzando Amazon CloudFront e Amazon Route 53. Per ulteriori informazioni sull'isolamento dei guasti su Route 53, consulta A Case Study in Global Fault Isolation.