**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Come AWS Shield mitigare gli eventi
<a name="ddos-event-mitigation"></a>

Questa pagina illustra come funziona la mitigazione AWS Shield degli eventi. 

La logica di mitigazione che protegge l'applicazione può variare a seconda dell'architettura dell'applicazione. Quando proteggi un'applicazione Web con Amazon CloudFront e Amazon Route 53, usufruisci di mitigazioni specifiche per i casi d'uso Web e DNS e che proteggono tutto il traffico per i servizi. Quando il punto di ingresso dell'applicazione è una risorsa che viene eseguita in una AWS regione, la logica di mitigazione varia a seconda del servizio, del tipo di risorsa e dell'utilizzo che ne fai. AWS Shield Advanced

AWS DDoI sistemi di mitigazione S sono sviluppati dagli ingegneri di Shield e sono strettamente integrati con AWS i servizi. Gli ingegneri tengono conto di aspetti dell'architettura, come la capacità e lo stato delle risorse mirate. Gli ingegneri di Shield monitorano continuamente l'efficacia e le prestazioni dei sistemi di mitigazione DDo S e sono in grado di rispondere rapidamente quando vengono scoperte o previste nuove minacce. 

Puoi progettare la tua applicazione in modo che sia scalabile in risposta a traffico o carico elevati, per garantire che non sia influenzata da lievi ondate di richieste. Se utilizzi Shield Advanced per proteggere le tue risorse, ricevi una copertura contro gli aumenti imprevisti della bolletta del cloud che potrebbero verificarsi a seguito di un attacco DDo S. 

**Mitigazioni dell'infrastruttura**  
Per gli attacchi a livello di infrastruttura, AWS Shield DDo i sistemi di mitigazione S sono presenti ai confini della AWS rete e nelle posizioni AWS periferiche. Il posizionamento di più livelli di controlli di sicurezza in tutta l' AWS infrastruttura consente defense-in-depth di gestire le applicazioni cloud. 

Shield mantiene DDo i sistemi di mitigazione S in tutti i punti di accesso da Internet. Quando Shield rileva un attacco DDo S, per ogni punto di ingresso, reindirizza il traffico attraverso i sistemi di mitigazione DDo S nella stessa posizione. Ciò non introduce alcuna latenza aggiuntiva osservabile e fornisce una capacità di mitigazione di oltre 100 TeraBits al secondo (Tbps) in tutte le regioni e tutte le edge location. AWS Shield protegge la disponibilità delle risorse senza reindirizzare il traffico verso centri di lavaggio esterni o remoti, il che potrebbe aumentare la latenza. 
+ Ai confini della AWS rete, per qualsiasi AWS servizio o risorsa, i sistemi di mitigazione DDo S mitigano gli attacchi a livello di infrastruttura provenienti da Internet. I sistemi eseguono le loro mitigazioni quando segnalati dal rilevamento Shield o da un tecnico dello Shield Response Team (SRT). 
+ Nelle sedi AWS periferiche, DDo i sistemi di mitigazione S ispezionano continuamente ogni pacchetto inoltrato alle CloudFront distribuzioni Amazon e alle zone ospitate di Amazon Route 53, indipendentemente dalla loro origine. Quando necessario, i sistemi applicano mitigazioni progettate specificamente per il traffico web e DNS. Un ulteriore vantaggio dell'utilizzo di Amazon CloudFront e Amazon Route 53 per proteggere le applicazioni Web è che gli attacchi DDo S vengono immediatamente mitigati, senza richiedere un segnale proveniente dal rilevamento Shield. 

**Mitigazioni a livello di applicazione**  
Shield Advanced fornisce mitigazioni a livello di applicazione Web per le CloudFront distribuzioni Amazon e gli Application Load Balancer in cui hai abilitato le protezioni Shield Advanced. Quando abiliti la protezione, associ un ACL AWS WAF web alla risorsa, per abilitare il rilevamento a livello di applicazione web. Inoltre, hai la possibilità di abilitare la mitigazione automatica a livello di applicazione, che indica a Shield Advanced di gestire le protezioni per te durante un attacco S. DDo 

Shield fornisce solo mitigazioni personalizzate per gli attacchi a livello di applicazione alle risorse per le quali hai abilitato Shield Advanced e la mitigazione automatica a livello di applicazione. Con la mitigazione automatica, Shield Advanced impone la limitazione della AWS WAF velocità sulle richieste provenienti da fonti DDo S note e aggiunge e gestisce automaticamente AWS WAF protezioni personalizzate in risposta agli attacchi S rilevati. DDo Per informazioni dettagliate sulle mitigazioni di questo tipo, vedere. [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md) 

Una regola basata sulla frequenza nell'ACL Web, aggiunta da te o aggiunta dalla funzionalità di mitigazione automatica del livello di applicazione Shield Advanced, può mitigare un attacco prima che raggiunga un livello rilevabile. Per ulteriori informazioni sul rilevamento, vedere. [Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)](ddos-event-detection-application.md)

**Topics**
+ [Elenco delle funzionalità di mitigazione AWS Shield DDo S](ddos-event-mitigation-features.md)
+ [AWS Shield logica di mitigazione per CloudFront e Route 53](ddos-event-mitigation-logic-continuous-inspection.md)
+ [AWS Shield logica di mitigazione per le regioni AWS](ddos-event-mitigation-logic-regions.md)
+ [AWS Shield logica di mitigazione per acceleratori AWS Global Accelerator standard](ddos-event-mitigation-logic-gax.md)
+ [AWS Shield Advanced logica di mitigazione per Elastic IPs](ddos-event-mitigation-logic-adv-eip.md)
+ [AWS Shield Advanced logica di mitigazione per applicazioni web](ddos-event-mitigation-logic-adv-web-app.md)

# Elenco delle funzionalità di mitigazione AWS Shield DDo S
<a name="ddos-event-mitigation-features"></a>

Le caratteristiche principali di AWS Shield DDo S mitigation sono le seguenti:
+ **Convalida dei pacchetti**: ciò garantisce che ogni pacchetto ispezionato sia conforme a una struttura prevista e sia valido per il relativo protocollo. Le convalide dei protocolli supportate includono IP, TCP (inclusi header e opzioni), UDP, ICMP, DNS e NTP.
+ **Liste di controllo degli accessi (ACLs) e shaper**: un ACL valuta il traffico in base a attributi specifici e elimina il traffico corrispondente o lo mappa su uno shaper. Lo shaper limita la frequenza dei pacchetti per il traffico corrispondente, eliminando i pacchetti in eccesso per contenere il volume che raggiunge la destinazione. AWS Shield gli ingegneri di rilevamento e Shield Response Team (SRT) possono fornire allocazioni di tariffe dedicate al traffico previsto e allocazioni di tariffe più restrittive al traffico con attributi che corrispondono ai vettori di attacco S noti DDo. Gli attributi a cui un ACL può corrispondere includono la porta, il protocollo, i flag TCP, l'indirizzo di destinazione, il paese di origine e gli schemi arbitrari nel payload del pacchetto. 
+ **Punteggio sospetto: utilizza la** conoscenza che Shield ha del traffico previsto per applicare un punteggio a ogni pacchetto. Ai pacchetti che aderiscono maggiormente ai modelli di traffico noto come buono viene assegnato un punteggio di sospetto inferiore. L'osservazione di attributi noti di traffico non valido può aumentare il punteggio di sospetto per un pacchetto. Quando è necessario stabilire un limite di velocità per i pacchetti, Shield rilascia per primi i pacchetti con punteggi di sospetto più alti. Questo aiuta Shield a mitigare gli attacchi DDo S noti e quelli zero-day evitando al contempo i falsi positivi.
+ **Proxy TCP SYN**: fornisce protezione contro i flood TCP SYN inviando cookie TCP SYN per contestare nuove connessioni prima di consentirne il passaggio al servizio protetto. Il proxy TCP SYN fornito da Shield DDo S mitigation è stateless, il che gli consente di mitigare i più grandi attacchi TCP SYN flood conosciuti senza raggiungere l'esaurimento dello stato. Ciò si ottiene integrando i AWS servizi per trasferire lo stato della connessione invece di mantenere un proxy continuo tra il client e il servizio protetto. Il proxy TCP SYN è attualmente disponibile su Amazon e CloudFront Amazon Route 53. 
+ **Distribuzione delle tariffe**: regola continuamente i valori dello shaper per località in base al modello di ingresso del traffico verso una risorsa protetta. Ciò impedisce la limitazione della velocità del traffico dei clienti che potrebbe non entrare nella rete in modo uniforme. AWS 

# AWS Shield logica di mitigazione per CloudFront e Route 53
<a name="ddos-event-mitigation-logic-continuous-inspection"></a>

Questa pagina spiega in che modo la mitigazione Shield DDo S ispeziona continuamente il traffico per CloudFront e la Route 53. Questi servizi operano da una rete distribuita a livello globale di AWS edge location che forniscono un ampio accesso alla capacità di mitigazione DDo S di Shield e forniscono l'applicazione da un'infrastruttura più vicina agli utenti finali. 

**Importante**  
AWS Shield Advanced non supporta gli CloudFront inquilini.
+ **CloudFront**— Le mitigazioni Shield DDo S consentono solo al traffico valido per le applicazioni Web di passare al servizio. Ciò fornisce una protezione automatica contro molti vettori DDo S comuni, come gli attacchi di riflessione UDP. 

  CloudFront mantiene connessioni persistenti all'origine dell'applicazione, i flood TCP SYN vengono automaticamente mitigati attraverso l'integrazione con la funzione proxy Shield TCP SYN e Transport Layer Security (TLS) viene terminato all'edge. Queste funzionalità combinate assicurano che l'origine dell'applicazione riceva solo richieste Web ben formate e che sia protetta da attacchi S di livello inferiore DDo, flood di connessione e abuso di TLS.

  CloudFront utilizza una combinazione di direzione del traffico DNS e routing anycast. Queste tecniche migliorano la resilienza dell'applicazione mitigando gli attacchi vicini alla fonte, fornendo l'isolamento dai guasti e garantendo l'accesso alla capacità di mitigare gli attacchi più grandi conosciuti. 
+ Le mitigazioni **Route 53** — Shield consentono solo a richieste DNS valide di raggiungere il servizio. Shield mitiga i flussi di query DNS utilizzando un sistema di punteggio di sospetto che dà priorità alle query già valide e riduce la priorità alle query che contengono attributi di attacco S sospetti o noti. DDo 

  Route 53 utilizza lo shuffle sharding per fornire un set unico di quattro indirizzi IP resolver per ogni zona ospitata, per entrambi e. IPv4 IPv6 Ogni indirizzo IP corrisponde a un sottoinsieme diverso di posizioni Route 53. Ogni sottoinsieme di posizioni è costituito da server DNS autorevoli che si sovrappongono solo parzialmente all'infrastruttura di qualsiasi altro sottoinsieme. In questo modo, se una richiesta dell'utente non riesce per qualsiasi motivo, verrà inviata correttamente in caso di nuovo tentativo.

  Route 53 utilizza il routing anycast per indirizzare le query DNS alla edge location più vicina, in base alla prossimità della rete. Anycast indirizza inoltre il traffico DDo S verso molte edge location, il che impedisce agli attacchi di concentrarsi su un'unica posizione. 

Oltre alla velocità di mitigazione, CloudFront Route 53 offre un ampio accesso alla capacità distribuita a livello globale di Shield. Per sfruttare queste funzionalità, utilizzate questi servizi come punto di ingresso per le vostre applicazioni web dinamiche o statiche. 

Per ulteriori informazioni sull'utilizzo CloudFront di Route 53 per proteggere le applicazioni Web, consulta [Come proteggere le applicazioni Web dinamiche dagli attacchi DDo S utilizzando Amazon CloudFront e Amazon Route 53](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/). Per ulteriori informazioni sull'isolamento dei guasti su Route 53, consulta [A Case Study in Global Fault Isolation](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/).

# AWS Shield logica di mitigazione per le regioni AWS
<a name="ddos-event-mitigation-logic-regions"></a>

Questa pagina spiega come funziona la logica di mitigazione degli eventi Shield nelle AWS regioni.

Le risorse lanciate nelle AWS Regioni sono protette da sistemi di mitigazione AWS Shield DDo S posizionati dal rilevamento a livello di risorsa Shield. Le risorse regionali includono Elastic IPs (EIPs), Classic Load Balancers e Application Load Balancers.

Prima di effettuare una mitigazione, Shield identifica la risorsa bersaglio e la sua capacità. Shield utilizza la capacità di determinare il traffico totale massimo che le sue mitigazioni dovrebbero consentire di inoltrare alla risorsa. Le liste di controllo degli accessi (ACLs) e altri shaper inclusi nella mitigazione potrebbero ridurre i volumi consentiti per alcuni tipi di traffico, ad esempio il traffico che corrisponde ai vettori di attacco DDo S noti o che non dovrebbe avere un volume elevato. Ciò limita ulteriormente la quantità di traffico consentita dalle mitigazioni per gli attacchi di riflessione UDP o per il traffico TCP con flag TCP SYN o FIN.

Shield determina la capacità e posiziona le mitigazioni in modo diverso per ogni tipo di risorsa. 
+ Per un'istanza Amazon EC2 o un EIP collegato a un'istanza Amazon EC2, Shield calcola la capacità in base al tipo di istanza e ad altri attributi dell'istanza, ad esempio se l'istanza ha una rete avanzata abilitata. 
+ Per un Application Load Balancer o un Classic Load Balancer, Shield calcola la capacità individualmente per ogni nodo di destinazione del load balancer. DDoLe mitigazioni degli attacchi S per queste risorse sono fornite da una combinazione di mitigazioni Shield DDo S e scalabilità automatica da parte del load balancer. Quando lo Shield Response Team (SRT) è impegnato in un attacco contro una risorsa Application Load Balancer o Classic Load Balancer, potrebbe accelerare la scalabilità come misura di protezione aggiuntiva. 
+ Shield calcola che la capacità di alcune AWS risorse si basa sulla capacità disponibile dell' AWS infrastruttura sottostante. Questi tipi di risorse includono Network Load Balancers (NLBs) e risorse che instradano il traffico attraverso Gateway Load Balancers o. AWS Network Firewall

**Nota**  
Proteggi i tuoi Network Load Balancer collegando dispositivi EIPs protetti da Shield Advanced. Puoi lavorare con SRT per creare mitigazioni personalizzate basate sul traffico e sulla capacità previsti dell'applicazione sottostante. 

Quando Shield effettua una mitigazione, i limiti di velocità iniziali definiti da Shield nella logica di mitigazione vengono applicati allo stesso modo a tutti i sistemi di mitigazione Shield DDo S. Ad esempio, se Shield applica una mitigazione con un limite di 100.000 pacchetti al secondo (pps), inizialmente consentirà 100.000 pps in ogni posizione. Quindi, Shield aggrega continuamente le metriche di mitigazione per determinare il rapporto effettivo del traffico e utilizza il rapporto per adattare il limite di velocità per ciascuna località. Ciò previene i falsi positivi e garantisce che le mitigazioni non siano eccessivamente permissive. 

# AWS Shield logica di mitigazione per acceleratori AWS Global Accelerator standard
<a name="ddos-event-mitigation-logic-gax"></a>

Questa pagina spiega come funziona la logica di mitigazione degli eventi Shield per gli AWS Global Accelerator acceleratori standard. Le mitigazioni Shield consentono solo al traffico valido di raggiungere gli endpoint listener di un acceleratore standard Global Accelerator.

Gli acceleratori standard sono distribuiti a livello globale e forniscono indirizzi IP che è possibile utilizzare per indirizzare il traffico verso risorse in qualsiasi regione. AWS AWS I limiti di velocità che Shield impone per la mitigazione di Global Accelerator si basano sulle capacità delle risorse verso le quali l'acceleratore standard indirizza il traffico. Shield effettua mitigazioni quando il traffico totale supera la velocità determinata e anche quando viene superata una frazione di tale velocità per i vettori S noti DDo. 

Quando configuri un acceleratore standard, definisci i gruppi di endpoint per ogni AWS regione in cui indirizzerai il traffico per la tua applicazione. Quando Shield effettua una mitigazione, calcola la capacità di ciascun gruppo di endpoint e aggiorna di conseguenza i limiti di velocità in ogni sistema di mitigazione Shield DDo S. La tariffa varia per ogni località, in base alle ipotesi formulate da Shield sul modo in cui il traffico verrà indirizzato da Internet alle tue AWS risorse. La capacità di un gruppo di endpoint viene calcolata come il numero di risorse del gruppo moltiplicato per la capacità più bassa di qualsiasi risorsa del gruppo. A intervalli regolari, Shield ricalcola la capacità dell'applicazione e aggiorna i limiti di velocità secondo necessità. 

**Nota**  
L'utilizzo delle ghiere di traffico per modificare la percentuale di traffico indirizzato a un gruppo di endpoint non modifica il modo in cui Shield calcola o distribuisce i limiti di velocità nei suoi DDo sistemi di mitigazione S. Se utilizzi le chiamate di traffico, configura i gruppi di endpoint in modo che si rispecchino l'un l'altro in termini di tipo e quantità di risorse. Questo aiuta a garantire che la capacità calcolata da Shield sia rappresentativa delle risorse che servono il traffico dell'applicazione.

Per ulteriori informazioni sui gruppi di endpoint e sui quadranti di traffico in Global Accelerator, consulta [Gruppi di endpoint](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups.html) negli acceleratori standard. AWS Global Accelerator 

# AWS Shield Advanced logica di mitigazione per Elastic IPs
<a name="ddos-event-mitigation-logic-adv-eip"></a>

Questa pagina spiega come funziona la logica di mitigazione degli eventi Shield per Elastic IPs with AWS Shield Advanced. Quando proteggi un IP elastico (EIP) con AWS Shield Advanced, Shield Advanced migliora le mitigazioni applicate da Shield durante un evento S. DDo

I sistemi di mitigazione Shield Advanced DDo S replicano la configurazione Network ACL (NACL) per la sottorete pubblica a cui è associata l'EIP. Ad esempio, se il tuo NACL è configurato per bloccare tutto il traffico UDP, Shield Advanced unisce tale regola alle mitigazioni applicate da Shield. 

Questa funzionalità aggiuntiva può aiutarti a evitare i rischi di disponibilità dovuti al traffico non valido per la tua applicazione. È inoltre possibile utilizzare NACLs per bloccare singoli indirizzi IP di origine o intervalli CIDR di indirizzi IP di origine. Questo può essere un utile strumento di mitigazione per gli attacchi DDo S che non sono distribuiti. Inoltre, consente di gestire facilmente elenchi di indirizzi consentiti o di bloccare gli indirizzi IP che non dovrebbero comunicare con l'applicazione, senza fare affidamento sull'intervento dei tecnici. AWS 

# AWS Shield Advanced logica di mitigazione per applicazioni web
<a name="ddos-event-mitigation-logic-adv-web-app"></a>

AWS Shield Advanced utilizza AWS WAF per mitigare gli attacchi a livello di applicazioni Web. AWS WAF è incluso in Shield Advanced senza costi aggiuntivi. 

**Protezione standard a livello di applicazione**  
Quando proteggi una CloudFront distribuzione Amazon o Application Load Balancer con Shield Advanced, puoi utilizzare Shield Advanced per associare un ACL AWS WAF web alla tua risorsa protetta, se non ne hai già uno associato. Se non hai già configurato un ACL Web, puoi utilizzare la procedura guidata della console Shield Advanced per crearne uno e aggiungervi una regola basata sulla frequenza. Una regola basata sulla frequenza limita il numero di richieste per ogni finestra temporale di cinque minuti per ogni indirizzo IP, fornendo protezioni di base contro i flussi di richieste a livello di applicazione Web. È possibile configurare la frequenza, a partire da un minimo di 10. Per ulteriori informazioni, consulta [Protezione del livello applicativo con AWS WAF web ACLs e Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md).

Puoi anche utilizzare il AWS WAF servizio per gestire l'ACL web. Tramite AWS WAF, puoi espandere la configurazione dell'ACL Web per eseguire operazioni come ispezionare componenti specifici della richiesta Web per individuare corrispondenze o modelli di stringhe, aggiungere una gestione personalizzata di richieste e risposte e confrontare la geolocalizzazione dell'origine della richiesta. Per ulteriori informazioni sulle AWS WAF regole, consulta. [AWS WAF regole](waf-rules.md) 

**Mitigazione automatica a livello di applicazione**  
Per una protezione avanzata, abilita la mitigazione automatica del livello di applicazione Shield Advanced. Con questa opzione, Shield Advanced mantiene una regola AWS WAF di limitazione della velocità per le richieste provenienti da fonti DDo S note e fornisce mitigazioni personalizzate per gli attacchi DDo S rilevati. 

Quando Shield Advanced rileva un attacco a una risorsa protetta, tenta di identificare una firma di attacco che isola il traffico di attacco dal normale traffico verso l'applicazione. Shield Advanced valuta la firma dell'attacco identificata rispetto ai modelli di traffico storici per la risorsa sotto attacco, nonché per qualsiasi altra risorsa associata allo stesso ACL web.

Se Shield Advanced determina che la firma di attacco isola solo il traffico coinvolto nell'attacco DDo S, implementa la firma nelle AWS WAF regole all'interno dell'ACL web associato. Puoi indicare a Shield Advanced di implementare mitigazioni che contino solo il traffico a cui corrispondono o che lo blocchino, e puoi modificare l'impostazione in qualsiasi momento. Quando Shield Advanced determina che le sue regole di mitigazione non sono più necessarie, le rimuove dall'ACL Web. Per ulteriori informazioni sulla mitigazione degli eventi a livello di applicazione, vedere. [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md) 

Per ulteriori informazioni sulle mitigazioni a livello di applicazione Shield Advanced, vedere[Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md).