**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Come funzionano AWS Shield e Shield Advanced
<a name="ddos-overview"></a>

Questa pagina spiega la differenza tra AWS Shield Standard e AWS Shield Advanced. Descrive inoltre le classi di attacchi rilevate da Shield.

AWS Shield Standard e AWS Shield Advanced forniscono protezioni contro gli attacchi Distributed Denial of Service (DDoS) per AWS le risorse a livello di rete e trasporto (livello 3 e 4) e a livello di applicazione (livello 7). Un attacco DDo S è un attacco in cui più sistemi compromessi cercano di inondare di traffico un bersaglio. Un attacco DDo S può impedire agli utenti finali legittimi di accedere ai servizi di destinazione e può causare il blocco dell'obiettivo a causa dell'eccessivo volume di traffico. 

AWS Shield fornisce protezione contro un'ampia gamma di vettori di attacco DDo S e vettori di attacco zero-day noti. Il rilevamento e la mitigazione dello Shield sono progettati per fornire copertura contro le minacce anche se non sono note esplicitamente al servizio al momento del rilevamento.

Shield Standard viene fornito automaticamente e senza costi aggiuntivi durante l'uso AWS. Per livelli più elevati di protezione contro gli attacchi, puoi effettuare la sottoscrizione ad AWS Shield Advanced.

Le classi di attacchi rilevate da Shield includono le seguenti:
+ **Attacchi volumetrici di rete (livello 3)**: si tratta di una sottocategoria dei vettori di attacco a livello di infrastruttura. Questi vettori tentano di saturare la capacità della rete o della risorsa bersaglio, di negare il servizio agli utenti legittimi.
+ **Attacchi al protocollo di rete (livello 4)**: si tratta di una sottocategoria dei vettori di attacco a livello di infrastruttura. Questi vettori abusano di un protocollo per negare il servizio alla risorsa bersaglio. Un esempio comune di attacco al protocollo di rete è il TCP SYN flood, che può esaurire lo stato della connessione su risorse come server, sistemi di bilanciamento del carico o firewall. Un attacco al protocollo di rete può anche essere volumetrico. Ad esempio, un TCP SYN flood più ampio può avere l'obiettivo di saturare la capacità di una rete e allo stesso tempo di esaurire lo stato della risorsa o delle risorse intermedie prese di mira.
+ **Attacchi a livello applicativo (livello 7)**: questa categoria di vettori di attacco tenta di negare il servizio agli utenti legittimi inondando un'applicazione di query valide per l'obiettivo, come i flussi di richieste Web.

**Contents**
+ [

# Panoramica di AWS Shield Standard
](ddos-standard-summary.md)
+ [

# Panoramica di AWS Shield Advanced
](ddos-advanced-summary.md)
+ [

# Elenco di AWS risorse che AWS Shield Advanced proteggono
](ddos-advanced-summary-protected-resources.md)
+ [

# AWS Shield Advanced funzionalità e opzioni
](ddos-advanced-summary-capabilities.md)
+ [

# Decidere se abbonarsi AWS Shield Advanced e applicare protezioni aggiuntive
](ddos-advanced-summary-deciding.md)
+ [

# Esempi di attacchi DDo S
](types-of-ddos-attacks.md)
+ [

# Come AWS Shield rileva gli eventi
](ddos-event-detection.md)
  + [

# AWS Shield logica di rilevamento per le minacce a livello di infrastruttura (livello 3 e livello 4)
](ddos-event-detection-infrastructure.md)
  + [

# Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)
](ddos-event-detection-application.md)
  + [

# Logica di rilevamento Shield Advanced per più risorse in un'applicazione
](ddos-event-detection-multiple-resources.md)
+ [

# Come AWS Shield mitigare gli eventi
](ddos-event-mitigation.md)
  + [

# Elenco delle funzionalità di mitigazione AWS Shield DDo S
](ddos-event-mitigation-features.md)
  + [

# AWS Shield logica di mitigazione per CloudFront e Route 53
](ddos-event-mitigation-logic-continuous-inspection.md)
  + [

# AWS Shield logica di mitigazione per le regioni AWS
](ddos-event-mitigation-logic-regions.md)
  + [

# AWS Shield logica di mitigazione per acceleratori AWS Global Accelerator standard
](ddos-event-mitigation-logic-gax.md)
  + [

# AWS Shield Advanced logica di mitigazione per Elastic IPs
](ddos-event-mitigation-logic-adv-eip.md)
  + [

# AWS Shield Advanced logica di mitigazione per applicazioni web
](ddos-event-mitigation-logic-adv-web-app.md)

# Panoramica di AWS Shield Standard
<a name="ddos-standard-summary"></a>

AWS Shield è un servizio gestito di protezione dalle minacce che protegge il perimetro dell'applicazione. Il perimetro è il primo punto di ingresso per il traffico delle applicazioni proveniente dall'esterno della rete. AWS 

Per determinare dove si trova il perimetro dell'applicazione, considerate in che modo gli utenti accedono all'applicazione da Internet. Se il primo punto di ingresso si trova in una AWS regione, il perimetro dell'applicazione è Amazon Virtual Private Cloud (VPC). Se gli utenti vengono indirizzati alla tua applicazione da Amazon Route 53 e accedono per la prima volta all'applicazione tramite Amazon CloudFront o AWS Global Accelerator, il perimetro dell'applicazione inizia ai margini della AWS rete. 

Shield offre vantaggi di rilevamento e mitigazione DDo S per tutte le applicazioni in esecuzione AWS, ma le decisioni prese durante la progettazione dell'architettura dell'applicazione influenzeranno il livello di resilienza DDo S. DDoS Resiliency è la capacità dell'applicazione di continuare a funzionare entro i parametri previsti durante un attacco. 

Tutti AWS i clienti beneficiano della protezione automatica di Shield Standard, senza costi aggiuntivi. Shield Standard difende dagli attacchi di rete e di trasporto di livello DDo S più comuni e frequenti che prendono di mira il tuo sito Web o le tue applicazioni. Sebbene Shield Standard aiuti a proteggere tutti AWS i clienti, ottieni vantaggi particolari con le zone ospitate di Amazon Route 53, CloudFront le distribuzioni Amazon e gli AWS Global Accelerator acceleratori standard. Queste risorse ricevono una protezione completa della disponibilità contro tutti gli attacchi noti a livello di rete e trasporto.

# Panoramica di AWS Shield Advanced
<a name="ddos-advanced-summary"></a>

AWS Shield Advanced è un servizio gestito che consente di proteggere l'applicazione da minacce esterne, come attacchi DDo S, bot volumetrici e tentativi di sfruttamento delle vulnerabilità. Per livelli più elevati di protezione contro gli attacchi, puoi effettuare la sottoscrizione ad AWS Shield Advanced. 

Quando ti abboni a Shield Advanced e aggiungi protezione alle tue risorse, Shield Advanced offre una protezione estesa dagli attacchi DDo S per tali risorse. Le protezioni che ricevi da Shield Advanced possono variare a seconda dell'architettura e delle scelte di configurazione. Utilizza le informazioni contenute in questa guida per creare e proteggere applicazioni resilienti utilizzando Shield Advanced e per aumentare la richiesta quando hai bisogno dell'aiuto di un esperto. 

**Abbonamenti e AWS WAF costi Shield Advanced**  
L'abbonamento a Shield Advanced copre i costi di utilizzo delle AWS WAF funzionalità standard per le risorse che proteggi con Shield Advanced. AWS WAF Le tariffe standard coperte dalle protezioni Shield Advanced sono il costo per pacchetto di protezione (Web ACL), il costo per regola e il prezzo base per milione di richieste di ispezione delle richieste Web, fino a 1.500 WCUs e fino alla dimensione corporea predefinita.

L'attivazione della mitigazione automatica del livello di applicazione DDo S di Shield Advanced aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità ACL Web (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md), [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).

L'abbonamento a Shield Advanced non copre l'uso AWS WAF di risorse che non proteggi utilizzando Shield Advanced. Inoltre, non copre eventuali AWS WAF costi aggiuntivi non standard per le risorse protette. Esempi di AWS WAF costi non standard sono quelli per Bot Control, per l'azione delle CAPTCHA regole, per i siti web ACLs che ne utilizzano più di 1.500 WCUs e per l'ispezione del corpo della richiesta oltre la dimensione corporea predefinita. L'elenco completo è disponibile nella pagina dei AWS WAF prezzi. L'abbonamento a Shield Advanced include l'accesso al gruppo Layer 7 DDo Anti-S Amazon Managed Rule. Come parte del tuo abbonamento, riceverai fino a 50 miliardi di richieste alle AWS WAF risorse protette Shield Advanced in un mese solare. Le richieste superiori a 50 miliardi verranno fatturate secondo la pagina dei AWS Shield Advanced prezzi.

Per informazioni complete ed esempi di prezzi, consulta la pagina [Prezzi e [AWS WAF prezzi](https://aws.amazon.com/waf/pricing/) di Shield](https://aws.amazon.com/shield/pricing/).

**Fatturazione dell'abbonamento Shield Advanced**  
Se sei un AWS Channel Reseller, contatta il team del tuo account per informazioni e assistenza. Queste informazioni di fatturazione sono destinate ai clienti che non sono rivenditori di AWS canale. 

Per tutti gli altri, si applicano le seguenti linee guida per l'abbonamento e la fatturazione:
+ Per gli account membri di un' AWS Organizations organizzazione, AWS addebita gli abbonamenti Shield Advanced sul conto pagante dell'organizzazione, indipendentemente dal fatto che l'account di pagamento stesso sia sottoscritto. 
+ Quando sottoscrivi più account appartenenti alla stessa famiglia di conti di [fatturazione AWS Organizations consolidati, un unico prezzo di abbonamento copre tutti gli account sottoscritti della famiglia](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html). L'organizzazione deve possedere tutte Account AWS e tutte le proprie risorse. 
+ Quando sottoscrivi più account per più organizzazioni, puoi comunque pagare un'unica quota di abbonamento per tutte le organizzazioni, gli account e le risorse, purché tu ne sia il proprietario. Contatta il tuo account manager o l' AWS assistenza e richiedi un'esenzione dai costi di AWS Shield Advanced abbonamento per tutte le organizzazioni tranne una. 

Per informazioni dettagliate ed esempi sui prezzi, consulta [AWS Shield Prezzi](https://aws.amazon.com/shield/pricing/). 

**Topics**

# Elenco di AWS risorse che AWS Shield Advanced proteggono
<a name="ddos-advanced-summary-protected-resources"></a>

**Nota**  
Le protezioni Shield Advanced sono abilitate solo per le risorse che hai specificato esplicitamente in Shield Advanced o che proteggi tramite una politica AWS Firewall Manager Shield Advanced. Shield Advanced non protegge automaticamente le tue risorse. 

È possibile utilizzare Shield Advanced per il monitoraggio e la protezione avanzati con i seguenti tipi di risorse:
+  CloudFront Distribuzioni Amazon. Per la distribuzione CloudFront continua, Shield Advanced protegge qualsiasi distribuzione temporanea associata a una distribuzione primaria protetta. 
+ Zone ospitate Amazon Route 53.
+ AWS Global Accelerator acceleratori standard.
+ Indirizzi IP Amazon EC2 Elastic. Shield Advanced protegge le risorse associate agli indirizzi IP elastici protetti. 
+  EC2 Istanze Amazon, tramite associazione a indirizzi IP Amazon EC2 Elastic. 
+ I seguenti sistemi di bilanciamento del carico Elastic Load Balancing (ELB):
  + Application Load Balancer.
  + Classic Load Balancer.
  + Network Load Balancer, tramite associazioni a indirizzi IP Amazon EC2 Elastic. 

Per ulteriori informazioni sulle protezioni per questi tipi di risorse, consulta. [Elenco di risorse che AWS Shield Advanced proteggono](ddos-protections-by-resource-type.md)

# AWS Shield Advanced funzionalità e opzioni
<a name="ddos-advanced-summary-capabilities"></a>

AWS Shield Advanced l'abbonamento include le seguenti funzionalità e opzioni. Queste funzionalità integrano le funzionalità di rilevamento e mitigazione DDo S di cui già disponi AWS. 
+ **AWS WAF integrazione**: Shield Advanced utilizza AWS WAF web ACLs, regole e gruppi di regole come parte delle sue protezioni a livello di applicazione. Per ulteriori informazioni su AWS WAF, vedere[Come AWS WAF funziona](how-aws-waf-works.md). 
**Nota**  
L'abbonamento a Shield Advanced copre i costi di utilizzo delle AWS WAF funzionalità standard per le risorse che proteggi con Shield Advanced. AWS WAF Le tariffe standard coperte dalle protezioni Shield Advanced sono il costo per pacchetto di protezione (Web ACL), il costo per regola e il prezzo base per milione di richieste di ispezione delle richieste Web, fino a 1.500 WCUs e fino alla dimensione corporea predefinita.  
L'attivazione della mitigazione automatica del livello di applicazione DDo S di Shield Advanced aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità ACL Web (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md), [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).  
L'abbonamento a Shield Advanced non copre l'uso AWS WAF di risorse che non proteggi utilizzando Shield Advanced. Inoltre, non copre eventuali AWS WAF costi aggiuntivi non standard per le risorse protette. Esempi di AWS WAF costi non standard sono quelli per Bot Control, per l'azione delle CAPTCHA regole, per i siti web ACLs che ne utilizzano più di 1.500 WCUs e per l'ispezione del corpo della richiesta oltre la dimensione corporea predefinita. L'elenco completo è disponibile nella pagina dei AWS WAF prezzi. L'abbonamento a Shield Advanced include l'accesso al gruppo Layer 7 DDo Anti-S Amazon Managed Rule. Come parte del tuo abbonamento, riceverai fino a 50 miliardi di richieste alle AWS WAF risorse protette Shield Advanced in un mese solare. Le richieste superiori a 50 miliardi verranno fatturate secondo la pagina dei AWS Shield Advanced prezzi.  
Per informazioni complete ed esempi di prezzi, consulta la pagina [Prezzi e [AWS WAF prezzi](https://aws.amazon.com/waf/pricing/) di Shield](https://aws.amazon.com/shield/pricing/).
+ **Mitigazione automatica del livello di applicazione DDo S**: è possibile configurare Shield Advanced per rispondere automaticamente alla mitigazione degli attacchi a livello di applicazione (livello 7) contro le risorse protette. Con la mitigazione automatica, Shield Advanced impone la limitazione della AWS WAF velocità sulle richieste provenienti da fonti DDo S note e aggiunge e gestisce automaticamente AWS WAF protezioni personalizzate in risposta agli attacchi S rilevati. DDo È possibile configurare la mitigazione automatica per contare o bloccare le richieste Web che fanno parte di un attacco. 

  Per ulteriori informazioni, consulta [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md).
+ **Rilevamento basato sullo** stato: puoi utilizzare i controlli dello stato di Amazon Route 53 con Shield Advanced per rilevare e mitigare gli eventi in modo mirato. I controlli sanitari monitorano l'applicazione in base alle specifiche, segnalando lo stato di integrità quando le specifiche sono soddisfatte e lo stato non lo è quando non lo sono. L'utilizzo dei controlli di integrità con Shield Advanced aiuta a prevenire i falsi positivi e fornisce un rilevamento e una mitigazione più rapidi quando una risorsa protetta non è integra. È possibile utilizzare il rilevamento basato sullo stato di salute per qualsiasi tipo di risorsa ad eccezione delle zone ospitate su Route 53. Il coinvolgimento proattivo Shield Advanced è disponibile solo per le risorse che hanno abilitato il rilevamento basato sullo stato di salute. 

  Per ulteriori informazioni, consulta [Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md).
+ **Gruppi di protezione**: è possibile utilizzare i gruppi di protezione per creare raggruppamenti logici delle risorse protette, per migliorare il rilevamento e la mitigazione dell'intero gruppo. È possibile definire i criteri per l'appartenenza a un gruppo di protezione in modo che le nuove risorse protette vengano incluse automaticamente. Una risorsa protetta può appartenere a più gruppi di protezione. 

  Per ulteriori informazioni, consulta [Raggruppamento delle protezioni AWS Shield Advanced](ddos-protection-groups.md).
+ **Visibilità migliorata DDo su eventi e attacchi S**: Shield Advanced ti dà accesso a metriche e report avanzati in tempo reale per una visibilità completa su eventi e attacchi alle tue AWS risorse protette. Puoi accedere a queste informazioni tramite l'API e la console Shield Advanced e tramite Amazon CloudWatch metrics. 

  Per ulteriori informazioni, consulta [Visibilità sugli eventi DDo S con Shield Advanced](ddos-viewing-events.md).
+ **Gestione centralizzata delle protezioni Shield Advanced tramite AWS Firewall Manager**: puoi utilizzare Firewall Manager per applicare automaticamente le protezioni Shield Advanced ai tuoi nuovi account e risorse e per distribuire AWS WAF regole sul tuo web. ACLs Le policy di protezione Firewall Manager Shield Advanced sono incluse senza costi aggiuntivi per i clienti di Shield Advanced. Puoi anche centralizzare le attività di monitoraggio Shield Advanced per i tuoi account utilizzando Firewall Manager con un argomento Amazon Simple Notification Service (SNS) oppure. AWS Security Hub CSPM

  Per ulteriori informazioni sull'utilizzo di Firewall Manager per gestire le protezioni Shield Advanced, vedere [AWS Firewall Manager](fms-chapter.md) e[Utilizzo AWS Shield Advanced delle politiche in Firewall Manager](shield-policies.md). Per informazioni sui prezzi di Firewall Manager, consulta [AWS Firewall Manager Prezzi](https://aws.amazon.com/firewall-manager/pricing/).
+ **AWS Shield Response Team (SRT)** — L'SRT ha una vasta esperienza nella protezione AWS di Amazon.com e delle sue filiali. In qualità di AWS Shield Advanced cliente, puoi contattare l'SRT in qualsiasi momento per ricevere assistenza durante un attacco DDo S che influisce sulla disponibilità della tua applicazione. Puoi anche lavorare con SRT per creare e gestire mitigazioni personalizzate per le tue risorse. Per utilizzare i servizi dell'SRT, è inoltre necessario essere abbonati al piano Business [Support o al piano Enterprise](https://aws.amazon.com/premiumsupport/business-support/) [Support](https://aws.amazon.com/premiumsupport/enterprise-support/).

  Per ulteriori informazioni, consulta [Risposta DDo agli eventi S gestita con supporto Shield Response Team (SRT)](ddos-srt-support.md).
+ **Coinvolgimento proattivo**: con il coinvolgimento proattivo, lo Shield Response Team (SRT) ti contatta direttamente se il controllo dello stato di Amazon Route 53 che hai associato alla tua risorsa protetta non funziona correttamente durante un evento rilevato da Shield Advanced. In questo modo puoi interagire più rapidamente con gli esperti quando la disponibilità dell'applicazione potrebbe essere compromessa da un attacco sospetto. 

  Per ulteriori informazioni, consulta [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md).
+ **Opportunità di protezione dei costi**: Shield Advanced offre una certa protezione dai picchi di AWS bolletta che potrebbero derivare da un attacco DDo S contro le risorse protette. Ciò può includere la copertura per i picchi delle tariffe di utilizzo di Shield Advanced data transfer out (DTO). Shield Advanced fornisce qualsiasi protezione dei costi sotto forma di crediti di servizio Shield Advanced.

  Per ulteriori informazioni, consulta [Richiedere un credito AWS Shield Advanced dopo un attacco](ddos-request-service-credit.md). 

# Decidere se abbonarsi AWS Shield Advanced e applicare protezioni aggiuntive
<a name="ddos-advanced-summary-deciding"></a>

Consulta gli scenari in questa sezione per aiutarti a decidere a quali account abbonarti AWS Shield Advanced e dove applicare protezioni aggiuntive. Con Shield Advanced, paghi una quota di abbonamento mensile per tutti gli account creati con un account di fatturazione consolidato, più le tariffe di utilizzo basate su GB di dati trasferiti in uscita. Per informazioni sui prezzi di Shield Advanced, consulta la [AWS Shield Advanced pagina Prezzi](https://aws.amazon.com/shield/pricing/).

Per proteggere un'applicazione e le relative risorse con Shield Advanced, sottoscrivi gli account che gestiscono l'applicazione a Shield Advanced e quindi aggiungi protezioni alle risorse dell'applicazione. Per informazioni sulla sottoscrizione degli account e sulla protezione delle risorse, consulta. [Configurazione AWS Shield Advanced](getting-started-ddos.md)

**Abbonamenti e AWS WAF costi Shield Advanced**  
L'abbonamento a Shield Advanced copre i costi di utilizzo delle AWS WAF funzionalità standard per le risorse che proteggi con Shield Advanced. AWS WAF Le tariffe standard coperte dalle protezioni Shield Advanced sono il costo per pacchetto di protezione (Web ACL), il costo per regola e il prezzo base per milione di richieste di ispezione delle richieste Web, fino a 1.500 WCUs e fino alla dimensione corporea predefinita.

L'attivazione della mitigazione automatica del livello di applicazione DDo S di Shield Advanced aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità ACL Web (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md), [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).

L'abbonamento a Shield Advanced non copre l'uso AWS WAF di risorse che non proteggi utilizzando Shield Advanced. Inoltre, non copre eventuali AWS WAF costi aggiuntivi non standard per le risorse protette. Esempi di AWS WAF costi non standard sono quelli per Bot Control, per l'azione delle CAPTCHA regole, per i siti web ACLs che ne utilizzano più di 1.500 WCUs e per l'ispezione del corpo della richiesta oltre la dimensione corporea predefinita. L'elenco completo è disponibile nella pagina dei AWS WAF prezzi. L'abbonamento a Shield Advanced include l'accesso al gruppo Layer 7 DDo Anti-S Amazon Managed Rule. Come parte del tuo abbonamento, riceverai fino a 50 miliardi di richieste alle AWS WAF risorse protette Shield Advanced in un mese solare. Le richieste superiori a 50 miliardi verranno fatturate secondo la pagina dei AWS Shield Advanced prezzi.

Per informazioni complete ed esempi di prezzi, consulta la pagina [Prezzi e [AWS WAF prezzi](https://aws.amazon.com/waf/pricing/) di Shield](https://aws.amazon.com/shield/pricing/).

**Fatturazione dell'abbonamento Shield Advanced**  
Se sei un AWS Channel Reseller, contatta il team del tuo account per informazioni e assistenza. Queste informazioni di fatturazione sono destinate ai clienti che non sono rivenditori di AWS canale. 

Per tutti gli altri, si applicano le seguenti linee guida per l'abbonamento e la fatturazione:
+ Per gli account membri di un' AWS Organizations organizzazione, AWS addebita gli abbonamenti Shield Advanced sul conto pagante dell'organizzazione, indipendentemente dal fatto che l'account di pagamento stesso sia sottoscritto. 
+ Quando sottoscrivi più account appartenenti alla stessa famiglia di conti di [fatturazione AWS Organizations consolidati, un unico prezzo di abbonamento copre tutti gli account sottoscritti della famiglia](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html). L'organizzazione deve possedere tutte Account AWS e tutte le proprie risorse. 
+ Quando sottoscrivi più account per più organizzazioni, puoi comunque pagare un'unica quota di abbonamento per tutte le organizzazioni, gli account e le risorse, purché tu ne sia il proprietario. Contatta il tuo account manager o l' AWS assistenza e richiedi un'esenzione dai costi di AWS Shield Advanced abbonamento per tutte le organizzazioni tranne una. 

Per informazioni dettagliate ed esempi sui prezzi, consulta [AWS Shield Prezzi](https://aws.amazon.com/shield/pricing/). 

**Identificazione delle applicazioni da proteggere**  
Prendi in considerazione l'implementazione delle protezioni Shield Advanced per le applicazioni in cui è necessario uno dei seguenti elementi: 
+ Disponibilità garantita per gli utenti dell'applicazione. 
+ Accesso rapido agli esperti di mitigazione DDo S se l'applicazione è interessata da un attacco DDo S.
+ Consapevolezza del AWS fatto che l'applicazione potrebbe essere colpita da un attacco DDo S e notifica degli attacchi da parte AWS dei team addetti alla sicurezza o alle operazioni.
+ La prevedibilità dei costi del cloud, anche quando un attacco DDo S influisce sull'utilizzo dei servizi. AWS 

Se un'applicazione o le relative risorse richiedono una delle opzioni precedenti, valuta la possibilità di creare abbonamenti per i relativi account. 

**Identificazione delle risorse da proteggere**  
Per ogni account sottoscritto, valuta la possibilità di aggiungere una protezione Shield Advanced a ciascuna risorsa che presenta una delle seguenti caratteristiche:
+ La risorsa serve utenti esterni su Internet. 
+ La risorsa è esposta a Internet e fa anche parte di un'applicazione critica. Considerate ogni risorsa esposta, indipendentemente dal fatto che intendiate che sia accessibile agli utenti su Internet. 
+ La risorsa è protetta da un ACL AWS WAF web.

Per ulteriori informazioni sulla creazione e la gestione delle protezioni per le risorse, consulta. [Protezione delle risorse in AWS Shield Advanced](ddos-resource-protections.md) 

Inoltre, segui i consigli di questa guida per assicurarti di progettare la tua applicazione per la resilienza DDo S e di aver configurato correttamente le funzionalità di Shield Advanced per protezioni ottimali. 

# Esempi di attacchi DDo S
<a name="types-of-ddos-attacks"></a>

AWS Shield Advanced fornisce una protezione estesa contro molti tipi di attacchi. 

L'elenco seguente descrive alcuni tipi di attacco comuni:



**Attacchi di reflection UDP (User Datagram Protocol, Protocollo datagramma utente)**  
Negli attacchi di riflessione UDP, un utente malintenzionato può falsificare l'origine di una richiesta e utilizzare UDP per ottenere una risposta ampia dal server. Il traffico di rete aggiuntivo diretto verso l'indirizzo IP contraffatto e attaccato può rallentare il server preso di mira e impedire agli utenti finali legittimi di accedere alle risorse necessarie.

**Inondazione TCP SYN**  
L'intento di un attacco TCP SYN flood è quello di esaurire le risorse disponibili di un sistema lasciando le connessioni in uno stato semiaperto. Quando un utente si connette a un servizio TCP come un server web, il client invia un pacchetto TCP SYN. Il server restituisce il suo campo di conferma e il client restituisce il proprio, completando l'handshake a tre. In un flusso TCP SYN, il terzo riconoscimento non viene mai restituito e il server rimane in attesa di una risposta. Questo può impedire ad altri utenti di connettersi al server. 

**Flood di query DNS**  
In un flusso di query DNS, un utente malintenzionato utilizza più query DNS per esaurire le risorse di un server DNS. AWS Shield Advanced può contribuire a fornire protezione contro gli attacchi di query DNS flood sui server DNS Route 53.

**Attacchi flood HTTP o rottura della cache (livello 7)**  
Con un HTTP flood, che include `GET` and `POST` floods, un utente malintenzionato invia più richieste HTTP che sembrano provenire da un utente reale dell'applicazione web. Gli attacchi di rottura della cache sono un tipo di flood HTTP che utilizzano variazioni nella stringa di query di richieste HTTP che impediscono l'utilizzo di contenuti memorizzati nella cache edge located. Questo tipo di attacchi forzano l'esecuzione dei contenuti dal server Web di origine, causando deformazioni ulteriori e potenzialmente dannose al server Web di origine. 

# Come AWS Shield rileva gli eventi
<a name="ddos-event-detection"></a>

AWS utilizza sistemi di rilevamento a livello di servizio per la AWS rete e AWS i singoli servizi, per garantire che rimangano disponibili durante un attacco DDo S. Inoltre, i sistemi di rilevamento a livello di risorsa monitorano ogni singola AWS risorsa per garantire che il traffico verso la risorsa rimanga entro i parametri previsti. Questa combinazione protegge sia la AWS risorsa che i AWS servizi interessati, applicando misure di mitigazione che eliminano i pacchetti noti non validi, evidenziano il traffico potenzialmente dannoso e danno priorità al traffico proveniente dagli utenti finali.

Gli eventi rilevati vengono visualizzati nei riepiloghi degli eventi di Shield Advanced, nei dettagli degli attacchi e nelle CloudWatch metriche di Amazon come nome del vettore di attacco DDo S o come `Volumetric` se la valutazione fosse basata sul volume di traffico anziché sulla firma. Per ulteriori informazioni sulle dimensioni del vettore di attacco disponibili all'interno della `DDoSDetected` CloudWatch metrica, consulta. [AWS Shield Advanced metriche](shield-metrics.md)

**Topics**
+ [

# AWS Shield logica di rilevamento per le minacce a livello di infrastruttura (livello 3 e livello 4)
](ddos-event-detection-infrastructure.md)
+ [

# Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)
](ddos-event-detection-application.md)
+ [

# Logica di rilevamento Shield Advanced per più risorse in un'applicazione
](ddos-event-detection-multiple-resources.md)

# AWS Shield logica di rilevamento per le minacce a livello di infrastruttura (livello 3 e livello 4)
<a name="ddos-event-detection-infrastructure"></a>

Questa pagina spiega come funziona il rilevamento degli eventi per i livelli dell'infrastruttura (rete e trasporto).

La logica di rilevamento utilizzata per proteggere AWS le risorse mirate dagli attacchi DDo S nei livelli dell'infrastruttura (livello 3 e livello 4) dipende dal tipo di risorsa e dal fatto che la risorsa sia protetta o meno AWS Shield Advanced. 

**Rilevamento per Amazon CloudFront e Amazon Route 53**  
Quando servi la tua applicazione web con CloudFront Route 53, tutti i pacchetti dell'applicazione vengono ispezionati da un sistema di mitigazione DDo S completamente in linea, che non introduce alcuna latenza osservabile. DDoGli attacchi S contro le CloudFront distribuzioni e le zone ospitate da Route 53 vengono mitigati in tempo reale. Queste protezioni si applicano indipendentemente dal fatto che si utilizzi. AWS Shield Advanced

Segui la best practice di utilizzare CloudFront Route 53 come punto di ingresso della tua applicazione web, ove possibile, per il rilevamento e la mitigazione più rapidi degli eventi DDo S.

**Rilevamento AWS Global Accelerator e servizi regionali**  
Il rilevamento a livello di risorsa protegge gli acceleratori e le risorse AWS Global Accelerator standard avviati nelle AWS regioni, come Classic Load Balancer, Application Load Balancer e indirizzi IP elastici (). EIPs Questi tipi di risorse vengono monitorati per rilevare aumenti di traffico che potrebbero indicare la presenza di un attacco S che richiede una mitigazione. DDo Ogni minuto viene valutato il traffico verso ciascuna AWS risorsa. Se il traffico verso una risorsa è elevato, vengono eseguiti controlli aggiuntivi per misurare la capacità della risorsa. 

Shield esegue i seguenti controlli standard: 
+ Istanze **Amazon Elastic Compute Cloud (Amazon EC2), EIP collegati a istanze Amazon EC2: Shield recupera la capacità dalla risorsa** protetta. La capacità dipende dal tipo di istanza della destinazione, dalla dimensione dell'istanza e da altri fattori, ad esempio se l'istanza utilizza una rete avanzata.
+ **Classic Load Balancer e Application Load Balancer**: Shield recupera la capacità dal nodo di bilanciamento del carico di destinazione.
+ **EIPs collegato a Network Load Balancers**: Shield recupera la capacità dal load balancer di destinazione. La capacità è indipendente dalla configurazione di gruppo del sistema di bilanciamento del carico di destinazione.
+ **AWS Global Accelerator acceleratori standard**: Shield recupera la capacità, che si basa sulla configurazione dell'endpoint.

Queste valutazioni si verificano su più dimensioni del traffico di rete, come porta e protocollo. Se la capacità della risorsa target viene superata, Shield applica una mitigazione DDo S. Le mitigazioni introdotte da Shield ridurranno il traffico DDo S, ma potrebbero non eliminarlo. Shield può anche porre una mitigazione se viene superata una frazione della capacità della risorsa su una dimensione di traffico coerente con i vettori di attacco DDo S noti. Shield colloca questa mitigazione con un tempo di vita limitato (TTL), che estende finché l'attacco è in corso.

**Nota**  
Le mitigazioni applicate da Shield ridurranno il traffico DDo S, ma potrebbero non eliminarlo. Puoi potenziare Shield con soluzioni come AWS Network Firewall o un firewall on-host iptables per impedire all'applicazione di elaborare traffico non valido per l'applicazione o non generato da utenti finali legittimi.

Le protezioni Shield Advanced aggiungono quanto segue alle attività di rilevamento Shield esistenti: 
+ **Soglie di rilevamento inferiori**: Shield Advanced colloca le mitigazioni alla metà della capacità calcolata. Ciò può fornire mitigazioni più rapide per gli attacchi che aumentano lentamente e mitigare gli attacchi che hanno una firma volumetrica più ambigua. 
+ **Protezione dagli attacchi intermittenti**: Shield Advanced implementa le mitigazioni con un time to live (TTL) che aumenta esponenzialmente, in base alla frequenza e alla durata degli attacchi. In questo modo le mitigazioni rimangono attive più a lungo quando una risorsa viene spesso presa di mira e quando un attacco si verifica a raffiche brevi. 
+ **Rilevamento basato sullo** stato: quando si associa un controllo dello stato di Route 53 a una risorsa protetta Shield Advanced, lo stato del controllo dello stato viene utilizzato nella logica di rilevamento. Durante un evento rilevato, se il controllo dello stato di salute è corretto, Shield Advanced richiede una maggiore sicurezza che si tratti di un attacco prima di effettuare una mitigazione. Se invece il controllo sanitario non è salutare, Shield Advanced potrebbe porre una mitigazione ancor prima che sia stata stabilita la fiducia. Questa funzionalità aiuta a evitare i falsi positivi e fornisce reazioni più rapide agli attacchi che colpiscono l'applicazione. Per informazioni sui controlli sanitari con Shield Advanced, vedere[Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md).

# Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)
<a name="ddos-event-detection-application"></a>

Questa pagina spiega come funziona il rilevamento degli eventi a livello di applicazione.

AWS Shield Advanced fornisce il rilevamento a livello di applicazione Web per CloudFront distribuzioni Amazon protette e Application Load Balancer. Quando proteggi questi tipi di risorse con Shield Advanced, puoi associare un ACL AWS WAF Web alla tua protezione per abilitare il rilevamento a livello di applicazione Web. Shield Advanced utilizza i dati di richiesta per l'ACL Web associato e crea una linea di base del traffico per l'applicazione. Il rilevamento del livello di applicazione Web si basa sull'integrazione nativa tra Shield Advanced e AWS WAF. Per ulteriori informazioni sulle protezioni a livello di applicazione, inclusa l'associazione di un ACL AWS WAF Web a una risorsa protetta Shield Advanced, consulta. [Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md) 

Per il rilevamento a livello di applicazione Web, Shield Advanced monitora il traffico delle applicazioni e lo confronta con le linee di base storiche alla ricerca di anomalie. Questo monitoraggio copre il volume totale e la composizione del traffico. Durante un attacco DDo S, ci aspettiamo che il volume e la composizione del traffico cambino e Shield Advanced richiede una deviazione statisticamente significativa in entrambi i casi per dichiarare un evento. 

Shield Advanced esegue le sue misurazioni rispetto alle finestre temporali storiche. Questo approccio riduce le notifiche di falsi positivi derivanti da variazioni legittime del volume di traffico o da variazioni del traffico che corrispondono a uno schema previsto, ad esempio una vendita offerta ogni giorno alla stessa ora. 

**Nota**  
Evita i falsi positivi nelle tue protezioni Shield Advanced concedendo a Shield Advanced il tempo di stabilire linee di base che rappresentino modelli di traffico normali e legittimi. Shield Advanced inizia a raccogliere informazioni per la sua linea di base quando si associa un ACL Web alla risorsa protetta. Associate un ACL Web alla risorsa protetta almeno 24 ore prima di qualsiasi evento pianificato che potrebbe causare schemi insoliti nel traffico web. Il rilevamento del livello di applicazione Web Shield Advanced è più preciso quando ha osservato 30 giorni di traffico normale.

Il tempo impiegato da Shield Advanced per rilevare un evento è influenzato dalla variazione osservata nel volume di traffico. Per variazioni di volume inferiori, Shield Advanced osserva il traffico per un periodo più lungo, al fine di aumentare la sicurezza che si stia verificando un evento. Per variazioni di volume più elevate, Shield Advanced rileva e segnala un evento più rapidamente. 

Una regola basata sulla frequenza nell'ACL Web, aggiunta da te o dalla funzionalità di mitigazione automatica del livello di applicazione Shield Advanced, può mitigare un attacco prima che raggiunga un livello rilevabile. Per ulteriori informazioni sulla mitigazione automatica del livello di applicazione S, vedere. DDo [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md)

**Nota**  
È possibile progettare l'applicazione in modo che sia scalabile in risposta a traffico o carico elevati per garantire che non sia influenzata da flussi di richieste di minore entità. Con Shield Advanced, le risorse protette sono coperte dalla protezione dei costi. Questo ti aiuta a proteggerti da aumenti imprevisti della bolletta del cloud che potrebbero verificarsi a seguito di un attacco DDo S. Per ulteriori informazioni sulla protezione dei costi Shield Advanced, consulta[Richiedere un credito AWS Shield Advanced dopo un attacco](ddos-request-service-credit.md).

# Logica di rilevamento Shield Advanced per più risorse in un'applicazione
<a name="ddos-event-detection-multiple-resources"></a>

Questa pagina spiega come funziona il rilevamento degli eventi per più risorse in un'applicazione. 

È possibile utilizzare i gruppi di AWS Shield Advanced protezione per creare raccolte di risorse protette che fanno parte della stessa applicazione. È possibile scegliere quali risorse protette inserire in un gruppo o indicare che tutte le risorse dello stesso tipo devono essere trattate come un unico gruppo. Ad esempio, è possibile creare un gruppo di tutti gli Application Load Balancer. Quando si crea un gruppo di protezione, il rilevamento Shield Advanced aggrega tutto il traffico per le risorse protette all'interno del gruppo. Ciò è utile se si dispone di molte risorse, ognuna con una piccola quantità di traffico, ma con un grande volume aggregato. È inoltre possibile utilizzare i gruppi di protezione per preservare le linee di base delle applicazioni, nel caso di implementazioni blu-verdi in cui il traffico viene trasferito tra risorse protette. 

Puoi scegliere di aggregare il traffico nel tuo gruppo di protezione in uno dei seguenti modi: 
+ **Somma**: questa aggregazione combina tutto il traffico tra le risorse del gruppo di protezione. È possibile utilizzare questa aggregazione per garantire che le nuove risorse create abbiano una base di riferimento esistente e per ridurre la sensibilità al rilevamento, il che può aiutare a prevenire i falsi positivi.
+ **Media**: questa aggregazione utilizza la media di tutto il traffico all'interno del gruppo di protezione. È possibile utilizzare questa aggregazione per applicazioni in cui il traffico tra le risorse è uniforme, come i sistemi di bilanciamento del carico.
+ **Max**: questa aggregazione utilizza il traffico più elevato di qualsiasi risorsa del gruppo di protezione. È possibile utilizzare questa aggregazione quando vi sono più livelli di un'applicazione in un gruppo di protezione. Ad esempio, potresti avere un gruppo di protezione che include una CloudFront distribuzione, la relativa origine Application Load Balancer e gli obiettivi dell'istanza Amazon EC2 di Application Load Balancer.

Puoi anche utilizzare i gruppi di protezione per migliorare la velocità con cui Shield Advanced effettua le mitigazioni, per gli attacchi che prendono di mira più acceleratori elastici IPs o standard connessi a Internet. AWS Global Accelerator Quando viene presa di mira una risorsa in un gruppo di protezione, Shield Advanced stabilisce la fiducia per le altre risorse del gruppo. Ciò mette in allerta il rilevamento Shield Advanced e può ridurre il tempo necessario per creare ulteriori mitigazioni.

Per ulteriori informazioni sui gruppi di protezione, consulta[Raggruppamento delle protezioni AWS Shield Advanced](ddos-protection-groups.md).

# Come AWS Shield mitigare gli eventi
<a name="ddos-event-mitigation"></a>

Questa pagina illustra come funziona la mitigazione AWS Shield degli eventi. 

La logica di mitigazione che protegge l'applicazione può variare a seconda dell'architettura dell'applicazione. Quando proteggi un'applicazione Web con Amazon CloudFront e Amazon Route 53, usufruisci di mitigazioni specifiche per i casi d'uso Web e DNS e che proteggono tutto il traffico per i servizi. Quando il punto di ingresso dell'applicazione è una risorsa che viene eseguita in una AWS regione, la logica di mitigazione varia a seconda del servizio, del tipo di risorsa e dell'utilizzo che ne fai. AWS Shield Advanced

AWS DDoI sistemi di mitigazione S sono sviluppati dagli ingegneri di Shield e sono strettamente integrati con AWS i servizi. Gli ingegneri tengono conto di aspetti dell'architettura, come la capacità e lo stato delle risorse mirate. Gli ingegneri di Shield monitorano continuamente l'efficacia e le prestazioni dei sistemi di mitigazione DDo S e sono in grado di rispondere rapidamente quando vengono scoperte o previste nuove minacce. 

Puoi progettare la tua applicazione in modo che sia scalabile in risposta a traffico o carico elevati, per garantire che non sia influenzata da lievi ondate di richieste. Se utilizzi Shield Advanced per proteggere le tue risorse, ricevi una copertura contro gli aumenti imprevisti della bolletta del cloud che potrebbero verificarsi a seguito di un attacco DDo S. 

**Mitigazioni dell'infrastruttura**  
Per gli attacchi a livello di infrastruttura, AWS Shield DDo i sistemi di mitigazione S sono presenti ai confini della AWS rete e nelle posizioni AWS periferiche. Il posizionamento di più livelli di controlli di sicurezza in tutta l' AWS infrastruttura consente defense-in-depth di gestire le applicazioni cloud. 

Shield mantiene DDo i sistemi di mitigazione S in tutti i punti di accesso da Internet. Quando Shield rileva un attacco DDo S, per ogni punto di ingresso, reindirizza il traffico attraverso i sistemi di mitigazione DDo S nella stessa posizione. Ciò non introduce alcuna latenza aggiuntiva osservabile e fornisce una capacità di mitigazione di oltre 100 TeraBits al secondo (Tbps) in tutte le regioni e tutte le edge location. AWS Shield protegge la disponibilità delle risorse senza reindirizzare il traffico verso centri di lavaggio esterni o remoti, il che potrebbe aumentare la latenza. 
+ Ai confini della AWS rete, per qualsiasi AWS servizio o risorsa, i sistemi di mitigazione DDo S mitigano gli attacchi a livello di infrastruttura provenienti da Internet. I sistemi eseguono le loro mitigazioni quando segnalati dal rilevamento Shield o da un tecnico dello Shield Response Team (SRT). 
+ Nelle sedi AWS periferiche, DDo i sistemi di mitigazione S ispezionano continuamente ogni pacchetto inoltrato alle CloudFront distribuzioni Amazon e alle zone ospitate di Amazon Route 53, indipendentemente dalla loro origine. Quando necessario, i sistemi applicano mitigazioni progettate specificamente per il traffico web e DNS. Un ulteriore vantaggio dell'utilizzo di Amazon CloudFront e Amazon Route 53 per proteggere le applicazioni Web è che gli attacchi DDo S vengono immediatamente mitigati, senza richiedere un segnale proveniente dal rilevamento Shield. 

**Mitigazioni a livello di applicazione**  
Shield Advanced fornisce mitigazioni a livello di applicazione Web per le CloudFront distribuzioni Amazon e gli Application Load Balancer in cui hai abilitato le protezioni Shield Advanced. Quando abiliti la protezione, associ un ACL AWS WAF web alla risorsa, per abilitare il rilevamento a livello di applicazione web. Inoltre, hai la possibilità di abilitare la mitigazione automatica a livello di applicazione, che indica a Shield Advanced di gestire le protezioni per te durante un attacco S. DDo 

Shield fornisce solo mitigazioni personalizzate per gli attacchi a livello di applicazione alle risorse per le quali hai abilitato Shield Advanced e la mitigazione automatica a livello di applicazione. Con la mitigazione automatica, Shield Advanced impone la limitazione della AWS WAF velocità sulle richieste provenienti da fonti DDo S note e aggiunge e gestisce automaticamente AWS WAF protezioni personalizzate in risposta agli attacchi S rilevati. DDo Per informazioni dettagliate sulle mitigazioni di questo tipo, vedere. [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md) 

Una regola basata sulla frequenza nell'ACL Web, aggiunta da te o aggiunta dalla funzionalità di mitigazione automatica del livello di applicazione Shield Advanced, può mitigare un attacco prima che raggiunga un livello rilevabile. Per ulteriori informazioni sul rilevamento, vedere. [Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)](ddos-event-detection-application.md)

**Topics**
+ [

# Elenco delle funzionalità di mitigazione AWS Shield DDo S
](ddos-event-mitigation-features.md)
+ [

# AWS Shield logica di mitigazione per CloudFront e Route 53
](ddos-event-mitigation-logic-continuous-inspection.md)
+ [

# AWS Shield logica di mitigazione per le regioni AWS
](ddos-event-mitigation-logic-regions.md)
+ [

# AWS Shield logica di mitigazione per acceleratori AWS Global Accelerator standard
](ddos-event-mitigation-logic-gax.md)
+ [

# AWS Shield Advanced logica di mitigazione per Elastic IPs
](ddos-event-mitigation-logic-adv-eip.md)
+ [

# AWS Shield Advanced logica di mitigazione per applicazioni web
](ddos-event-mitigation-logic-adv-web-app.md)

# Elenco delle funzionalità di mitigazione AWS Shield DDo S
<a name="ddos-event-mitigation-features"></a>

Le caratteristiche principali di AWS Shield DDo S mitigation sono le seguenti:
+ **Convalida dei pacchetti**: ciò garantisce che ogni pacchetto ispezionato sia conforme a una struttura prevista e sia valido per il relativo protocollo. Le convalide dei protocolli supportate includono IP, TCP (inclusi header e opzioni), UDP, ICMP, DNS e NTP.
+ **Liste di controllo degli accessi (ACLs) e shaper**: un ACL valuta il traffico in base a attributi specifici e elimina il traffico corrispondente o lo mappa su uno shaper. Lo shaper limita la frequenza dei pacchetti per il traffico corrispondente, eliminando i pacchetti in eccesso per contenere il volume che raggiunge la destinazione. AWS Shield gli ingegneri di rilevamento e Shield Response Team (SRT) possono fornire allocazioni di tariffe dedicate al traffico previsto e allocazioni di tariffe più restrittive al traffico con attributi che corrispondono ai vettori di attacco S noti DDo. Gli attributi a cui un ACL può corrispondere includono la porta, il protocollo, i flag TCP, l'indirizzo di destinazione, il paese di origine e gli schemi arbitrari nel payload del pacchetto. 
+ **Punteggio sospetto: utilizza la** conoscenza che Shield ha del traffico previsto per applicare un punteggio a ogni pacchetto. Ai pacchetti che aderiscono maggiormente ai modelli di traffico noto come buono viene assegnato un punteggio di sospetto inferiore. L'osservazione di attributi noti di traffico non valido può aumentare il punteggio di sospetto per un pacchetto. Quando è necessario stabilire un limite di velocità per i pacchetti, Shield rilascia per primi i pacchetti con punteggi di sospetto più alti. Questo aiuta Shield a mitigare gli attacchi DDo S noti e quelli zero-day evitando al contempo i falsi positivi.
+ **Proxy TCP SYN**: fornisce protezione contro i flood TCP SYN inviando cookie TCP SYN per contestare nuove connessioni prima di consentirne il passaggio al servizio protetto. Il proxy TCP SYN fornito da Shield DDo S mitigation è stateless, il che gli consente di mitigare i più grandi attacchi TCP SYN flood conosciuti senza raggiungere l'esaurimento dello stato. Ciò si ottiene integrando i AWS servizi per trasferire lo stato della connessione invece di mantenere un proxy continuo tra il client e il servizio protetto. Il proxy TCP SYN è attualmente disponibile su Amazon e CloudFront Amazon Route 53. 
+ **Distribuzione delle tariffe**: regola continuamente i valori dello shaper per località in base al modello di ingresso del traffico verso una risorsa protetta. Ciò impedisce la limitazione della velocità del traffico dei clienti che potrebbe non entrare nella rete in modo uniforme. AWS 

# AWS Shield logica di mitigazione per CloudFront e Route 53
<a name="ddos-event-mitigation-logic-continuous-inspection"></a>

Questa pagina spiega in che modo la mitigazione Shield DDo S ispeziona continuamente il traffico per CloudFront e la Route 53. Questi servizi operano da una rete distribuita a livello globale di AWS edge location che forniscono un ampio accesso alla capacità di mitigazione DDo S di Shield e forniscono l'applicazione da un'infrastruttura più vicina agli utenti finali. 

**Importante**  
AWS Shield Advanced non supporta gli CloudFront inquilini.
+ **CloudFront**— Le mitigazioni Shield DDo S consentono solo al traffico valido per le applicazioni Web di passare al servizio. Ciò fornisce una protezione automatica contro molti vettori DDo S comuni, come gli attacchi di riflessione UDP. 

  CloudFront mantiene connessioni persistenti all'origine dell'applicazione, i flood TCP SYN vengono automaticamente mitigati attraverso l'integrazione con la funzione proxy Shield TCP SYN e Transport Layer Security (TLS) viene terminato all'edge. Queste funzionalità combinate assicurano che l'origine dell'applicazione riceva solo richieste Web ben formate e che sia protetta da attacchi S di livello inferiore DDo, flood di connessione e abuso di TLS.

  CloudFront utilizza una combinazione di direzione del traffico DNS e routing anycast. Queste tecniche migliorano la resilienza dell'applicazione mitigando gli attacchi vicini alla fonte, fornendo l'isolamento dai guasti e garantendo l'accesso alla capacità di mitigare gli attacchi più grandi conosciuti. 
+ Le mitigazioni **Route 53** — Shield consentono solo a richieste DNS valide di raggiungere il servizio. Shield mitiga i flussi di query DNS utilizzando un sistema di punteggio di sospetto che dà priorità alle query già valide e riduce la priorità alle query che contengono attributi di attacco S sospetti o noti. DDo 

  Route 53 utilizza lo shuffle sharding per fornire un set unico di quattro indirizzi IP resolver per ogni zona ospitata, per entrambi e. IPv4 IPv6 Ogni indirizzo IP corrisponde a un sottoinsieme diverso di posizioni Route 53. Ogni sottoinsieme di posizioni è costituito da server DNS autorevoli che si sovrappongono solo parzialmente all'infrastruttura di qualsiasi altro sottoinsieme. In questo modo, se una richiesta dell'utente non riesce per qualsiasi motivo, verrà inviata correttamente in caso di nuovo tentativo.

  Route 53 utilizza il routing anycast per indirizzare le query DNS alla edge location più vicina, in base alla prossimità della rete. Anycast indirizza inoltre il traffico DDo S verso molte edge location, il che impedisce agli attacchi di concentrarsi su un'unica posizione. 

Oltre alla velocità di mitigazione, CloudFront Route 53 offre un ampio accesso alla capacità distribuita a livello globale di Shield. Per sfruttare queste funzionalità, utilizzate questi servizi come punto di ingresso per le vostre applicazioni web dinamiche o statiche. 

Per ulteriori informazioni sull'utilizzo CloudFront di Route 53 per proteggere le applicazioni Web, consulta [Come proteggere le applicazioni Web dinamiche dagli attacchi DDo S utilizzando Amazon CloudFront e Amazon Route 53](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/). Per ulteriori informazioni sull'isolamento dei guasti su Route 53, consulta [A Case Study in Global Fault Isolation](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/).

# AWS Shield logica di mitigazione per le regioni AWS
<a name="ddos-event-mitigation-logic-regions"></a>

Questa pagina spiega come funziona la logica di mitigazione degli eventi Shield nelle AWS regioni.

Le risorse lanciate nelle AWS Regioni sono protette da sistemi di mitigazione AWS Shield DDo S posizionati dal rilevamento a livello di risorsa Shield. Le risorse regionali includono Elastic IPs (EIPs), Classic Load Balancers e Application Load Balancers.

Prima di effettuare una mitigazione, Shield identifica la risorsa bersaglio e la sua capacità. Shield utilizza la capacità di determinare il traffico totale massimo che le sue mitigazioni dovrebbero consentire di inoltrare alla risorsa. Le liste di controllo degli accessi (ACLs) e altri shaper inclusi nella mitigazione potrebbero ridurre i volumi consentiti per alcuni tipi di traffico, ad esempio il traffico che corrisponde ai vettori di attacco DDo S noti o che non dovrebbe avere un volume elevato. Ciò limita ulteriormente la quantità di traffico consentita dalle mitigazioni per gli attacchi di riflessione UDP o per il traffico TCP con flag TCP SYN o FIN.

Shield determina la capacità e posiziona le mitigazioni in modo diverso per ogni tipo di risorsa. 
+ Per un'istanza Amazon EC2 o un EIP collegato a un'istanza Amazon EC2, Shield calcola la capacità in base al tipo di istanza e ad altri attributi dell'istanza, ad esempio se l'istanza ha una rete avanzata abilitata. 
+ Per un Application Load Balancer o un Classic Load Balancer, Shield calcola la capacità individualmente per ogni nodo di destinazione del load balancer. DDoLe mitigazioni degli attacchi S per queste risorse sono fornite da una combinazione di mitigazioni Shield DDo S e scalabilità automatica da parte del load balancer. Quando lo Shield Response Team (SRT) è impegnato in un attacco contro una risorsa Application Load Balancer o Classic Load Balancer, potrebbe accelerare la scalabilità come misura di protezione aggiuntiva. 
+ Shield calcola che la capacità di alcune AWS risorse si basa sulla capacità disponibile dell' AWS infrastruttura sottostante. Questi tipi di risorse includono Network Load Balancers (NLBs) e risorse che instradano il traffico attraverso Gateway Load Balancers o. AWS Network Firewall

**Nota**  
Proteggi i tuoi Network Load Balancer collegando dispositivi EIPs protetti da Shield Advanced. Puoi lavorare con SRT per creare mitigazioni personalizzate basate sul traffico e sulla capacità previsti dell'applicazione sottostante. 

Quando Shield effettua una mitigazione, i limiti di velocità iniziali definiti da Shield nella logica di mitigazione vengono applicati allo stesso modo a tutti i sistemi di mitigazione Shield DDo S. Ad esempio, se Shield applica una mitigazione con un limite di 100.000 pacchetti al secondo (pps), inizialmente consentirà 100.000 pps in ogni posizione. Quindi, Shield aggrega continuamente le metriche di mitigazione per determinare il rapporto effettivo del traffico e utilizza il rapporto per adattare il limite di velocità per ciascuna località. Ciò previene i falsi positivi e garantisce che le mitigazioni non siano eccessivamente permissive. 

# AWS Shield logica di mitigazione per acceleratori AWS Global Accelerator standard
<a name="ddos-event-mitigation-logic-gax"></a>

Questa pagina spiega come funziona la logica di mitigazione degli eventi Shield per gli AWS Global Accelerator acceleratori standard. Le mitigazioni Shield consentono solo al traffico valido di raggiungere gli endpoint listener di un acceleratore standard Global Accelerator.

Gli acceleratori standard sono distribuiti a livello globale e forniscono indirizzi IP che è possibile utilizzare per indirizzare il traffico verso risorse in qualsiasi regione. AWS AWS I limiti di velocità che Shield impone per la mitigazione di Global Accelerator si basano sulle capacità delle risorse verso le quali l'acceleratore standard indirizza il traffico. Shield effettua mitigazioni quando il traffico totale supera la velocità determinata e anche quando viene superata una frazione di tale velocità per i vettori S noti DDo. 

Quando configuri un acceleratore standard, definisci i gruppi di endpoint per ogni AWS regione in cui indirizzerai il traffico per la tua applicazione. Quando Shield effettua una mitigazione, calcola la capacità di ciascun gruppo di endpoint e aggiorna di conseguenza i limiti di velocità in ogni sistema di mitigazione Shield DDo S. La tariffa varia per ogni località, in base alle ipotesi formulate da Shield sul modo in cui il traffico verrà indirizzato da Internet alle tue AWS risorse. La capacità di un gruppo di endpoint viene calcolata come il numero di risorse del gruppo moltiplicato per la capacità più bassa di qualsiasi risorsa del gruppo. A intervalli regolari, Shield ricalcola la capacità dell'applicazione e aggiorna i limiti di velocità secondo necessità. 

**Nota**  
L'utilizzo delle ghiere di traffico per modificare la percentuale di traffico indirizzato a un gruppo di endpoint non modifica il modo in cui Shield calcola o distribuisce i limiti di velocità nei suoi DDo sistemi di mitigazione S. Se utilizzi le chiamate di traffico, configura i gruppi di endpoint in modo che si rispecchino l'un l'altro in termini di tipo e quantità di risorse. Questo aiuta a garantire che la capacità calcolata da Shield sia rappresentativa delle risorse che servono il traffico dell'applicazione.

Per ulteriori informazioni sui gruppi di endpoint e sui quadranti di traffico in Global Accelerator, consulta [Gruppi di endpoint](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups.html) negli acceleratori standard. AWS Global Accelerator 

# AWS Shield Advanced logica di mitigazione per Elastic IPs
<a name="ddos-event-mitigation-logic-adv-eip"></a>

Questa pagina spiega come funziona la logica di mitigazione degli eventi Shield per Elastic IPs with AWS Shield Advanced. Quando proteggi un IP elastico (EIP) con AWS Shield Advanced, Shield Advanced migliora le mitigazioni applicate da Shield durante un evento S. DDo

I sistemi di mitigazione Shield Advanced DDo S replicano la configurazione Network ACL (NACL) per la sottorete pubblica a cui è associata l'EIP. Ad esempio, se il tuo NACL è configurato per bloccare tutto il traffico UDP, Shield Advanced unisce tale regola alle mitigazioni applicate da Shield. 

Questa funzionalità aggiuntiva può aiutarti a evitare i rischi di disponibilità dovuti al traffico non valido per la tua applicazione. È inoltre possibile utilizzare NACLs per bloccare singoli indirizzi IP di origine o intervalli CIDR di indirizzi IP di origine. Questo può essere un utile strumento di mitigazione per gli attacchi DDo S che non sono distribuiti. Inoltre, consente di gestire facilmente elenchi di indirizzi consentiti o di bloccare gli indirizzi IP che non dovrebbero comunicare con l'applicazione, senza fare affidamento sull'intervento dei tecnici. AWS 

# AWS Shield Advanced logica di mitigazione per applicazioni web
<a name="ddos-event-mitigation-logic-adv-web-app"></a>

AWS Shield Advanced utilizza AWS WAF per mitigare gli attacchi a livello di applicazioni Web. AWS WAF è incluso in Shield Advanced senza costi aggiuntivi. 

**Protezione standard a livello di applicazione**  
Quando proteggi una CloudFront distribuzione Amazon o Application Load Balancer con Shield Advanced, puoi utilizzare Shield Advanced per associare un ACL AWS WAF web alla tua risorsa protetta, se non ne hai già uno associato. Se non hai già configurato un ACL Web, puoi utilizzare la procedura guidata della console Shield Advanced per crearne uno e aggiungervi una regola basata sulla frequenza. Una regola basata sulla frequenza limita il numero di richieste per ogni finestra temporale di cinque minuti per ogni indirizzo IP, fornendo protezioni di base contro i flussi di richieste a livello di applicazione Web. È possibile configurare la frequenza, a partire da un minimo di 10. Per ulteriori informazioni, consulta [Protezione del livello applicativo con AWS WAF web ACLs e Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md).

Puoi anche utilizzare il AWS WAF servizio per gestire l'ACL web. Tramite AWS WAF, puoi espandere la configurazione dell'ACL Web per eseguire operazioni come ispezionare componenti specifici della richiesta Web per individuare corrispondenze o modelli di stringhe, aggiungere una gestione personalizzata di richieste e risposte e confrontare la geolocalizzazione dell'origine della richiesta. Per ulteriori informazioni sulle AWS WAF regole, consulta. [AWS WAF regole](waf-rules.md) 

**Mitigazione automatica a livello di applicazione**  
Per una protezione avanzata, abilita la mitigazione automatica del livello di applicazione Shield Advanced. Con questa opzione, Shield Advanced mantiene una regola AWS WAF di limitazione della velocità per le richieste provenienti da fonti DDo S note e fornisce mitigazioni personalizzate per gli attacchi DDo S rilevati. 

Quando Shield Advanced rileva un attacco a una risorsa protetta, tenta di identificare una firma di attacco che isola il traffico di attacco dal normale traffico verso l'applicazione. Shield Advanced valuta la firma dell'attacco identificata rispetto ai modelli di traffico storici per la risorsa sotto attacco, nonché per qualsiasi altra risorsa associata allo stesso ACL web.

Se Shield Advanced determina che la firma di attacco isola solo il traffico coinvolto nell'attacco DDo S, implementa la firma nelle AWS WAF regole all'interno dell'ACL web associato. Puoi indicare a Shield Advanced di implementare mitigazioni che contino solo il traffico a cui corrispondono o che lo blocchino, e puoi modificare l'impostazione in qualsiasi momento. Quando Shield Advanced determina che le sue regole di mitigazione non sono più necessarie, le rimuove dall'ACL Web. Per ulteriori informazioni sulla mitigazione degli eventi a livello di applicazione, vedere. [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md) 

Per ulteriori informazioni sulle mitigazioni a livello di applicazione Shield Advanced, vedere[Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md).