Como proteger a camada de aplicativo (camada 7) com AWS Shield Advanced e AWS WAF

Esta página explica como a Shield Advanced e o AWS WAF trabalham juntos para proteger os recursos na camada de aplicativos (camada 7).

Para proteger os recursos da camada de aplicação com o Shield Advanced, você começa associando uma web ACL do AWS WAF ao recurso e adicionando uma ou mais regras baseadas em intervalos a ela. Além disso, você pode ativar a mitigação automática de DDoS na camada de aplicação, o que faz com que o Shield Advanced crie e gerencie automaticamente regras de web ACL em seu nome em resposta aos ataques de DDoS.

Quando você protege um recurso da camada de aplicação com o Shield Advanced, o Shield Advanced analisa o tráfego ao longo do tempo para estabelecer e manter as referências. O Shield Advanced usa essas referências para detectar anomalias nos padrões de tráfego que podem indicar um ataque de DDoS. O ponto em que o Shield Advanced detecta um ataque depende do tráfego que o Shield Advanced conseguiu observar antes do ataque e da arquitetura que você usa para seus aplicativos web. As variações arquitetônicas que podem afetar o comportamento do Shield Advanced incluem o tipo de instância que você usa, o tamanho da instância e se o tipo de instância oferece suporte a redes aprimoradas. Você também pode configurar o Shield Advanced para colocar automaticamente mitigações para ataques na camada de aplicação.

Assinaturas do Shield Advanced e custos do AWS WAF

A assinatura do Shield Advanced cobre os custos de uso de recursos padrão do AWS WAF para funcionalidades que você protege com o Shield Advanced. As taxas padrão do AWS WAF que são cobertas pelas proteções do Shield Avançado correspondem ao custo por ACL da Web, ao custo por regra e ao preço base por milhão de solicitações para inspeção de solicitações da Web, que é até 1.500 WCUs e até o tamanho padrão do corpo.

A ativação da mitigação automática de DDoS na camada de aplicativo do Shield Advanced adiciona um grupo de regras à sua ACL da Web que usa 150 unidades de capacidade da ACL da Web (WCUs). Essas WCUs contam contra o uso de WCU em sua web ACL. Para mais informações, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced , Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced e Noções básicas das unidades de capacidade de ACL da Web (WCUs) no AWS WAF.

A assinatura do Shield Avançado não cobre o uso do AWS WAF para recursos que você não protege usando o Shield Avançado. Além disso, a assinatura não cobre quaisquer custos adicionais que não correspondem ao padrão do AWS WAF para recursos protegidos. Exemplos de custos que não correspondem ao padrão do AWS WAF são aqueles para o Controle de Bots, para a ação da regra CAPTCHA, para as ACLs da Web que usam mais de 1.500 WCUs e para a inspeção do corpo de solicitações que ultrapassam o tamanho padrão do corpo. A lista completa é fornecida na página de preços do AWS WAF.

Para obter informações completas e exemplos de preços, consulte Preços do Shield e Preços do AWS WAF.