As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Lógica de detecção do Shield Advanced para ameaças na camada de aplicativo (camada 7)
Essa página explica como a detecção de eventos funciona para a camada de aplicativo.
O AWS Shield Advanced fornece detecção de camadas de aplicativos web para distribuições protegidas do Amazon CloudFront e Application Load Balancers. Ao proteger esses tipos de recursos com o Shield Advanced, você pode associar uma ACL da web do AWS WAF à sua proteção para permitir a detecção da camada do aplicativo da web. O Shield Advanced consome dados de solicitação para a ACL da web associada e cria uma linha de base de tráfego para seu aplicativo. A detecção da camada de aplicativos da web depende da integração nativa entre o Shield Advanced e o AWS WAF. Para saber mais sobre as proteções da camada de aplicativo, incluindo a associação de uma ACL da web do AWS WAF a um recurso protegido do Shield Advanced, consulte Como proteger a camada de aplicativo (camada 7) com AWS Shield Advanced e AWS WAF.
Para a detecção da camada de aplicativos web, o Shield Advanced monitora o tráfego do aplicativo e o compara às linhas de base históricas em busca de anomalias. Esse monitoramento abrange o volume total e a composição do tráfego. Durante um ataque de DDoS, esperamos que o volume e a composição do tráfego mudem, e o Shield Advanced exige um desvio estatisticamente significativo em ambos para declarar um evento.
O Shield Advanced realiza suas medições em relação a janelas de tempo históricas. Essa abordagem reduz as notificações de falsos positivos provenientes de mudanças legítimas no volume de tráfego ou de alterações no tráfego que correspondam a um padrão esperado, como uma venda oferecida no mesmo horário todos os dias.
nota
Evite falsos positivos em suas proteções do Shield Advanced dando tempo ao Shield Advanced para estabelecer linhas de base que representem padrões de tráfego normais e legítimos. O Shield Advanced começa a coletar informações para sua linha de base quando você associa uma ACL da Web ao seu recurso protegido. Associe uma ACL da web ao seu recurso protegido pelo menos 24 horas antes de qualquer evento planejado que possa causar padrões incomuns em seu tráfego na web. A detecção da camada de aplicativo da web do Shield Advanced é mais precisa quando se observa 30 dias de tráfego normal.
O tempo que o Shield Advanced leva para detectar um evento é afetado pela quantidade de mudanças que ele observa no volume de tráfego. Para mudanças de volume menores, o Shield Advanced observa o tráfego por um período mais longo, a fim de aumentar a confiança de que um evento está ocorrendo. Para mudanças de volume maiores, o Shield Advanced detecta e relata um evento mais rapidamente.
Uma regra baseada em intervalos em sua ACL da Web, seja adicionada por você ou pelo atributo de mitigação automática da camada de aplicativo do Shield Advanced, pode mitigar um ataque antes que ele atinja um nível detectável. Para obter mais informações sobre a mitigação automática de DDoS da camada de aplicativos, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced .
nota
Você pode arquitetar seu aplicativo para reduzir a escala horizontalmente em resposta ao tráfego ou à carga elevados para garantir que ele não seja afetado por pequenas inundações de solicitações. Com o Shield Advanced, seus recursos protegidos são cobertos pela proteção de custos. Isso ajuda a protegê-lo contra aumentos inesperados em sua conta de nuvem que podem ocorrer como resultado de um ataque de DDoS. Para saber mais sobre a proteção de custos do Shield Advanced, consulte Como solicitar um crédito em AWS Shield Advanced após um ataque.
