As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced
Esta página apresenta o tópico da mitigação automática de DDoS na camada de aplicativo e lista as advertências associadas.
Você pode configurar o Shield Advanced para responder automaticamente para mitigar os ataques na camada de aplicação (camada 7) contra seus recursos protegidos da camada de aplicação, contando ou bloqueando as solicitações da web que fazem parte do ataque. Esta opção é um complemento à proteção da camada de aplicação que você adiciona por meio do Shield Avançado com uma ACL da Web do AWS WAF e sua própria regra baseada em intervalos.
Quando a mitigação automática está habilitada para um recurso, o Shield Avançado mantém um grupo de regras na ACL da Web que está associada ao recurso, em que gerencia as regras de mitigação em nome do recurso. O grupo de regras contém uma regra baseada em intervalos que rastreia o volume de solicitações de endereços IP conhecidos por serem fontes de ataques de DDoS.
Além disso, o Shield Avançado compara os padrões de tráfego atuais com as linhas de base de tráfego históricas para detectar desvios que possam indicar um ataque de DDoS. O Shield Avançado responde a ataques de DDoS detectados ao criar, avaliar e implantar regras adicionais personalizadas do AWS WAF no grupo de regras.
Alertas sobre o uso da mitigação automática de DDoS na camada de aplicativo
A lista a seguir descreve as advertências da mitigação automática de DDoS na camada de aplicação Shield Advanced e descreve as etapas que você deve seguir em resposta.
A mitigação automática de DDoS na camada de aplicação funciona somente com web ACLs que foram criadas usando a versão mais recente do AWS WAF (v2).
-
O Shield Advanced requer tempo para estabelecer uma linha de base do tráfego normal e histórico do seu aplicativo, que ele utiliza para detectar e isolar o tráfego de ataque do tráfego normal, a fim de mitigar o tráfego de ataque. O tempo para estabelecer uma linha de base é entre 24 horas e 30 dias a partir do momento em que você associa uma ACL da Web ao recurso de aplicativo protegido. Para obter mais informações sobre linhas de base de tráfego, consulte Lista de fatores que afetam a detecção e mitigação de eventos na camada de aplicativo com o Shield Advanced.
A ativação da mitigação automática de DDoS na camada de aplicativo adiciona um grupo de regras à sua ACL da Web que usa 150 unidades de capacidade da ACL da Web (WCUs). Essas WCUs contam contra o uso de WCU em sua web ACL. Para obter mais informações, consulte Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced e Unidades ACL de capacidade da Web (WCUs) em AWS WAF.
O grupo de regras do Shield Advanced gera métricas do AWS WAF, mas elas não estão disponíveis para visualização. Isso é o mesmo que para qualquer outro grupo de regras que você usa em sua ACL da Web, mas não possui, como grupos de regras de regras gerenciadas da AWS. Para obter mais informações sobre métricas do AWS WAF, consulte Métricas e dimensões do AWS WAF. Para obter informações sobre essa opção de proteção do Shield Advanced, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced .
-
Para ACLs da Web que protegem vários recursos, a mitigação automática implanta somente mitigações personalizadas que não afetam negativamente os recursos protegidos.
-
O tempo entre o início de um ataque de DDoS e o momento em que o Shield Avançado estabelece as regras de mitigação automáticas personalizadas varia de acordo com cada evento. Alguns ataques de DDoS podem terminar antes da implantação das regras personalizadas. Outros ataques podem ocorrer quando já existe uma mitigação e, portanto, podem ser mitigados por essas regras desde o início do evento. Além disso, as regras baseadas em intervalo no grupo de regras da ACL da Web e do Shield Advanced podem mitigar o tráfego de ataque antes que ele seja detectado como um possível evento.
-
Para Application Load Balancers que recebem qualquer tráfego por meio de uma rede de entrega de conteúdo (CDN), como o Amazon CloudFront, os recursos de mitigação automática da camada de aplicação do Shield Advanced para esses recursos do Application Load Balancer serão reduzidos. O Shield Advanced usa atributos de tráfego do cliente para identificar e isolar o tráfego de ataque do tráfego normal para seu aplicativo, e as CDNs podem não preservar ou encaminhar os atributos originais do tráfego do cliente. Se você usa o CloudFront, recomendamos ativar a mitigação automática na distribuição do CloudFront.
A mitigação automática de DDoS na camada de aplicaçãos não interage com grupos de proteção. Você pode ativar a mitigação automática para recursos que estão em grupos de proteção, mas o Shield Advanced não aplica automaticamente mitigações de ataques com base nas descobertas do grupo de proteção. O Shield Advanced aplica mitigações automáticas de ataques para recursos individuais.
Sumário
- Práticas recomendadas para usar a mitigação automática de DDoS na camada de aplicativo
- Como ativar a mitigação automática de DDoS na camada de aplicativo
- Como o Shield Advanced gerencia a mitigação automática
- Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced
- Como visualizar a configuração de mitigação automática de DDoS da camada de aplicação de um recurso
- Como ativar e desativar a mitigação automática de DDoS na camada de aplicação
- Como alterar a ação usada para mitigação automática de DDoS na camada de aplicação
- Como usar o AWS CloudFormation com a mitigação automática de DDoS na camada de aplicação
