Lógica de mitigação AWS Shield Advanced para aplicativos web

O AWS Shield Advanced usa o AWS WAF para mitigar ataques na camada de aplicativos da web. O AWS WAF está incluído no Shield Advanced sem qualquer custo adicional.

Proteção padrão da camada da aplicação

Ao proteger uma distribuição do Amazon CloudFront ou um Application Load Balancer com o Shield Advanced, você pode usar o Shield Advanced para associar uma web ACL AWS WAF ao seu recurso protegido, caso ainda não tenha uma associada. Se você ainda não configurou uma web ACL, pode usar o assistente de console Shield Advanced para criar uma e adicionar uma regra baseada em intervalos a ela. Uma regra baseada em intervalos limita o número de solicitações por janela de tempo de cinco minutos para cada endereço IP, fornecendo proteções básicas contra floods de solicitações na camada de aplicativos web. Você pode configurar o intervalo, começando em 10. Para ter mais informações, consulte Como proteger a camada de aplicativos com ACLs da Web do AWS WAF e Shield Advanced.

Além disso, é possível usar o serviço AWS WAF para gerenciar a ACL da Web. Por meio do AWS WAF, você pode ampliar a configuração da ACL da Web para fazer coisas como inspecionar componentes específicos de solicitações da Web em busca de correspondências ou padrões de strings, adicionar tratamentos de solicitações e de respostas personalizados, e comparar a geolocalização da origem da solicitação. Para obter mais informações sobre regras de AWS WAF, consulte Usar regras do AWS WAF.

Mitigação automática da camada de aplicativos

Para maior proteção, ative a mitigação automática da camada de aplicação do Shield Advanced. Com esta opção, o Shield Avançado mantém uma regra de limitação de volume do AWS WAF para solicitações de fontes de DDoS conhecidas e fornece mitigações personalizadas para ataques de DDoS detectados.

Quando o Shield Avançado detecta um ataque a um recurso protegido, ele tenta identificar uma assinatura de ataque que isole o tráfego de ataque do tráfego normal para a aplicação. O Shield Advanced avalia a assinatura de ataque identificada em relação aos padrões históricos de tráfego do recurso que está sob ataque, bem como de qualquer outro recurso associado à mesma ACL da web.

Se o Shield Advanced determinar que a assinatura do ataque isola somente o tráfego envolvido no ataque de DDoS, ele implementará a assinatura em regras AWS WAF dentro da ACL da web associada. Você pode instruir o Shield Advanced para implementar mitigações que contabilizem apenas o tráfego com o qual elas coincidem ou que o bloqueiem, e você pode alterar a configuração a qualquer momento. Quando o Shield Advanced determina que suas regras de mitigação não são mais necessárias, ele as remove da ACL da web. Para obter mais informações sobre a mitigação de eventos para a camada da aplicação, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced .

Para obter mais informações sobre as mitigações para a camada da aplicação do Shield Avançado, consulte Como proteger a camada de aplicativo (camada 7) com AWS Shield Advanced e AWS WAF.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Mitigação para IPs elásticos

Como desenvolver arquiteturas resilientes a DDoS