Como o Shield Advanced gerencia a mitigação automática - AWS WAF, AWS Firewall Manager e AWS Shield Advanced
Quando você ativa a mitigação automáticaDurante um ataque DDoSComo o Shield Avançado gerencia a configuração de açãoQuando um ataque diminuiQuando você desativa a mitigação automática

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Shield Advanced gerencia a mitigação automática

Os tópicos da seção descrevem como o Shield Advanced lida com suas alterações de configuração para mitigação automática de DDoS na camada de aplicação e como ele lida com ataques de DDoS quando a mitigação automática está ativada.

O que acontece quando você ativa a mitigação automática

O Shield Advanced faz o seguinte quando você ativa a mitigação automática:

  • Conforme necessário, adiciona um grupo de regras para uso do Shield Advanced — Se a ACL AWS WAF da web que você associou ao recurso ainda não tiver uma AWS WAF regra de grupo de regras dedicada à mitigação automática de DDoS na camada de aplicação, o Shield Advanced adicionará uma.

    O nome da regra do grupo de regras começa com ShieldMitigationRuleGroup. O grupo de regras sempre contém uma regra baseada em intervalos chamada ShieldKnownOffenderIPRateBasedRule, que limita o volume de solicitações de endereços IP conhecidos por serem fontes de ataques de DDoS. Para obter detalhes adicionais sobre o grupo de regras do Shield Avançado e a regra de ACL da Web que faz referência a ele, consulte O grupo de regras do Shield Advanced.

  • Começa a responder aos ataques de DDoS contra o recurso — o Shield Advanced responde automaticamente aos ataques de DDoS do recurso protegido. Além da regra baseada em taxas, que está sempre presente, o Shield Advanced usa seu grupo de regras para implantar AWS WAF regras personalizadas para mitigação de ataques de DDoS. O Shield Advanced adapta essas regras ao seu aplicativo e aos ataques que seu aplicativo enfrenta e as testa em relação ao tráfego histórico do recurso antes de implantá-las.

O Shield Advanced usa uma única regra de grupo de regras em qualquer web ACL que você usa para mitigação automática. Se o Shield Avançado já tiver adicionado o grupo de regras para outro recurso protegido, ele não adicionará outro grupo de regras à ACL da Web.

A mitigação automática de DDoS na camada de aplicação depende da presença do grupo de regras para mitigar os ataques. Se o grupo de regras for removido da ACL da AWS WAF web por qualquer motivo, a remoção desativará a mitigação automática de todos os recursos associados à ACL da web.

Como o Shield Advanced responde aos ataques de DDoS com mitigação automática

Quando você tem a mitigação automática habilitada em um recurso protegido, a regra baseada em intervalos ShieldKnownOffenderIPRateBasedRule no grupo de regras do Shield Avançado responde automaticamente a volumes elevados de tráfego provenientes de fontes de DDoS conhecidas. Essa limitação de volume é aplicada rapidamente e atua como uma defesa de linha de frente contra os ataques.

Quando o Shield Avançado detecta um ataque, ele faz o seguinte:

  1. Tenta identificar uma assinatura de ataque que isole o tráfego de ataque do tráfego normal para seu aplicativo. O objetivo é produzir regras de mitigação de DDoS de alta qualidade que, quando implementadas, afetem somente o tráfego de ataque e não afetem o tráfego normal do seu aplicativo.

  2. Avalia a assinatura de ataque identificada em relação aos padrões históricos de tráfego do recurso que está sob ataque, bem como de qualquer outro recurso associado à mesma web ACL. O Shield Advanced faz isso antes de implantar qualquer regra em resposta ao evento.

    Dependendo dos resultados da avaliação, o Shield Advanced executará um dos seguintes procedimentos:

    • Se o Shield Avançado determinar que a assinatura do ataque isola somente o tráfego envolvido no ataque de DDoS, ele implementará a assinatura nas regras do AWS WAF no grupo de regras de mitigação do Shield Avançado na ACL da Web. O Shield Advanced fornece a essas regras a configuração de ação que você configurou para a mitigação automática do recurso - Count ou Block.

    • Caso contrário, o Shield Advanced não coloca uma mitigação.

Durante um ataque, o Shield Advanced envia as mesmas notificações e fornece as mesmas informações de eventos das proteções básicas da camada de aplicação do Shield Advanced. Você pode ver as informações sobre eventos e ataques de DDoS e sobre qualquer mitigação de ataques do Shield Advanced no console de eventos do Shield Advanced. Para mais informações, consulte Visibilidade de eventos de DDoS.

Se você configurou a mitigação automática para usar a ação da regra Block e detectou falsos positivos nas regras de mitigação implantadas pelo Shield Advanced, você pode alterar a ação da regra para Count. Para obter informações sobre como fazer isso, consulte Como alterar a ação usada para mitigação automática de DDoS na camada de aplicação.

Como o Shield Avançado gerencia a configuração de ação de regra

É possível definir a ação de regra para suas mitigações automáticas como Block ou Count.

Quando você altera a configuração de ação da regra de mitigação automática para um recurso protegido, o Shield Advanced atualiza todas as configurações de regra do recurso. Ele atualiza todas as regras atualmente em vigor para o recurso no grupo de regras do Shield Avançado e usa a nova configuração de ação ao criar novas regras.

Para os recursos que usam a mesma ACL da Web, se você especificar ações diferentes, o Shield Avançado usará a configuração de ação Block para a regra baseada em intervalos ShieldKnownOffenderIPRateBasedRule do grupo de regras. O Shield Avançado cria e gerencia outras regras no grupo de regras em nome de um recurso protegido específico e usa a configuração de ação que você especificou para o recurso. Todas as regras do grupo de regras do Shield Avançado em uma ACL da Web são aplicadas ao tráfego da Web de todos os recursos associados.

A alteração da configuração de ação pode levar alguns segundos para ser propagada. Durante esse período, você pode ver a configuração antiga em alguns lugares onde o grupo de regras está em uso, e a nova configuração em outros lugares.

Você pode alterar a configuração da ação da regra para sua configuração de mitigação automática na página de eventos do console e por meio da página de configuração da camada de aplicação. Para obter mais informações sobre eventos, consulte o Resposta a eventos de DDoS. Para obter mais informações sobre a página de configuração, consulte Configurar as proteções contra DDoS na camada de aplicação.

Como o Shield Advanced gerencia as mitigações quando um ataque diminui

Quando o Shield Advanced determina que as regras de mitigação que foram implantadas para um ataque específico não são mais necessárias, ele as remove do grupo de regras de mitigação do Shield Advanced.

A remoção das regras de mitigação não coincidirá necessariamente com o fim de um ataque. O Shield Advanced monitora os padrões de ataque que ele detecta em seus recursos protegidos. Ele pode se defender proativamente contra a recorrência de um ataque com uma assinatura específica, mantendo em vigor as regras que implantou contra a ocorrência inicial desse ataque. Conforme necessário, o Shield Advanced aumenta a janela de tempo em que mantém as regras em vigor. Dessa forma, o Shield Advanced pode mitigar ataques repetidos com uma assinatura específica antes que eles afetem seus recursos protegidos.

O Shield Avançado nunca remove a regra baseada em intervalos ShieldKnownOffenderIPRateBasedRule, que limita o volume de solicitações de endereços IP conhecidos por serem fontes de ataques de DDoS.

O que acontece quando você desativa a mitigação automática

O Shield Advanced faz o seguinte quando você desativa a mitigação automática para um recurso:

  • Para de responder automaticamente aos ataques de DDoS — o Shield Advanced interrompe suas atividades de resposta automática para o recurso.

  • Remove regras desnecessárias do grupo de regras do Shield Advanced — Se o Shield Advanced estiver mantendo alguma regra em seu grupo de regras gerenciadas em nome do recurso protegido, ele as removerá.

  • Remove o grupo de regras Shield Advanced, se ele não estiver mais em uso — Se a web ACL que você associou ao recurso não estiver associada a nenhum outro recurso com a mitigação automática ativada, o Shield Advanced removerá sua regra de grupo de regras da web ACL.