AWS Shield lógica de mitigação para regiões AWS - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Shield lógica de mitigação para regiões AWS

Esta página explica como a lógica de mitigação de eventos do Shield funciona nas AWS regiões.

Os recursos lançados nas AWS regiões são protegidos por sistemas de AWS Shield DDoS mitigação colocados pela detecção em nível de recurso do Shield. Os recursos regionais incluem Elastic IPs (EIPs), Classic Load Balancers e Application Load Balancers.

Antes de fazer uma mitigação, o Shield identifica o recurso alvo e sua capacidade. O Shield usa a capacidade de determinar o tráfego total máximo que suas mitigações devem permitir que seja encaminhado para o recurso. As listas de controle de acesso (ACLs) e outros modeladores dentro da mitigação podem diminuir os volumes permitidos para algum tráfego, por exemplo, tráfego que corresponde a vetores de DDoS ataque conhecidos ou que não se espera que venha em grande volume. Isso limita ainda mais a quantidade de tráfego que as mitigações permitem para ataques de UDP reflexão ou para TCP tráfego que tem TCP SYN ou FIN sinaliza.

O Shield determina a capacidade e coloca as mitigações de forma diferente para cada tipo de recurso.

  • Para uma EC2 instância da Amazon ou anexada EIP a uma EC2 instância da Amazon, o Shield calcula a capacidade com base no tipo de instância e em outros atributos da instância, como se a instância tem uma rede aprimorada habilitada.

  • Para um Application Load Balancer ou Classic Load Balancer, o Shield calcula a capacidade individualmente para cada nó de destino do balanceador de carga. DDoSas mitigações de ataque para esses recursos são fornecidas por uma combinação de DDoS mitigações Shield e escalonamento automático pelo balanceador de carga. Quando a Shield Response Team (SRT) está envolvida em um ataque contra um recurso do Application Load Balancer ou Classic Load Balancer, ela pode acelerar o escalonamento como uma medida adicional de proteção.

  • O Shield calcula a capacidade de alguns AWS recursos com base na capacidade disponível da AWS infraestrutura subjacente. Esses tipos de recursos incluem balanceadores de carga de rede (NLBs) e recursos que roteiam o tráfego por meio de balanceadores de carga de gateway ou. AWS Network Firewall

nota

Proteja seus balanceadores de carga de rede conectando dispositivos EIPs protegidos pelo Shield Advanced. Você pode trabalhar com ele SRT para criar mitigações personalizadas com base no tráfego e na capacidade esperados do aplicativo subjacente.

Quando a Shield coloca uma mitigação, os limites de taxa iniciais que a Shield define na lógica de mitigação são aplicados igualmente a cada sistema de mitigação da Shield. DDoS Por exemplo, se o Shield colocar uma mitigação com um limite de 100.000 pacotes por segundo (pps), ele inicialmente permitirá 100.000 pps em cada local. Em seguida, o Shield agrega continuamente métricas de mitigação para determinar a proporção real de tráfego e usa a proporção para adaptar o limite de taxa para cada local. Isso evita falsos positivos e garante que as mitigações não sejam excessivamente permissivas.