Cómo administra Shield Advanced la mitigación automática

Los temas de la sección describen cómo administra Shield Advanced los cambios de configuración para la mitigación automática de DDoS en la capa de aplicación y cómo gestiona los ataques DDoS cuando la mitigación automática está habilitada.

Qué ocurre cuando se habilita la mitigación automática

Al habilitar la mitigación automática, Shield Advanced hace lo siguiente:

• Según sea necesario, agrega un grupo de reglas para el uso avanzado de Shield: si la ACL AWS WAF web que ha asociado al recurso aún no tiene una AWS WAF regla de grupo de reglas dedicada a la mitigación automática de DDoS en la capa de aplicación, Shield Advanced agrega una.

  El nombre del grupo de reglas comienza con ShieldMitigationRuleGroup. El grupo de reglas siempre contiene una regla basada en tasas denominada ShieldKnownOffenderIPRateBasedRule, que limita el volumen de solicitudes de direcciones IP que se sabe que son fuentes de ataques DDoS. Para obtener información adicional sobre el grupo de reglas de Shield Advanced y la regla ACL web en la que se referencia, consulte El grupo de reglas de Shield Advanced.

• Comienza a responder a los ataques DDoS frente al recurso: Shield Advanced responde automáticamente a los ataques DDoS contra el recurso protegido. Además de la regla basada en la tasa, que siempre está presente, Shield Advanced usa su grupo de reglas para implementar AWS WAF reglas personalizadas para la mitigación de los ataques DDoS. Shield Advanced adapta estas reglas a su aplicación y a los ataques que sufre, y las comprueba con el tráfico histórico del recurso antes de implementarlas.

Shield Advanced utiliza una única regla del grupo de reglas en cualquier ACL web que utilice para la mitigación automática. Si Shield Advanced ya ha agregado el grupo de reglas para otro recurso protegido, no agrega un grupo de reglas adicional a la ACL web.

La mitigación automática de DDoS en la capa de aplicación depende de la presencia del grupo de reglas para mitigar los ataques. Si el grupo de reglas se elimina de la ACL AWS WAF web por cualquier motivo, la eliminación deshabilita la mitigación automática de todos los recursos asociados a la ACL web.

Cómo responde Shield Advanced a los ataques DDoS con la mitigación automática

Cuando tiene habilitada la mitigación automática en un recurso protegido, la regla basada en tasas ShieldKnownOffenderIPRateBasedRule en el grupo de reglas de Shield Advanced responde automáticamente a los volúmenes de tráfico elevados procedentes de fuentes de DDoS conocidas. Este límite de tasas se aplica de forma rápida y actúa como defensa de primera línea contra los ataques.

Cuando Shield Advanced detecta un ataque, hace lo siguiente:

1. Intenta identificar una firma de ataque que aísle el tráfico de ataque del tráfico normal que llega a su aplicación. El objetivo es crear reglas de mitigación de DDoS de alta calidad que, una vez implementadas, solo afecten al tráfico de ataques y no al tráfico normal de la aplicación.

2. Evalúa la firma del ataque identificada comparándola con los patrones de tráfico históricos del recurso que está siendo atacado, así como de cualquier otro recurso que esté asociado a la misma ACL web. Shield Advanced realiza esta acción antes de implementar cualquier regla en respuesta al evento.

   Dependiendo de los resultados de la evaluación, Shield Advanced realiza una de las siguientes acciones:

   • Si Shield Advanced determina que la firma del ataque aísla solo el tráfico implicado en el ataque DDoS, implementa la firma en las reglas de AWS WAF en el grupo de reglas de mitigación de Shield Advance en la ACL web. Shield Advanced proporciona a estas reglas la configuración de acción que haya configurado para la mitigación automática del recurso, ya sea Count o Block.

   • De lo contrario, Shield Advanced no aplica ninguna mitigación.

Durante un ataque, Shield Advanced envía las mismas notificaciones y proporciona la misma información de eventos que las protecciones básicas de la capa de aplicación de Shield Advanced. Puede ver la información sobre los eventos y los ataques DDoS, así como sobre las mitigaciones de los ataques de Shield Advanced, en la consola de eventos de Shield Advanced. Para obtener más información, consulte Visibilidad de los eventos de DDoS.

Si ha configurado la mitigación automática para usar la acción de la regla de Block y las reglas de mitigación que Shield Advanced ha implementado dan falsos positivos, puede cambiar la acción de la regla a Count. Para obtener información acerca de cómo hacerlo, consulte Cambio de la acción utilizada para la mitigación automática de DDoS en la capa de aplicación.

Cómo Shield Advanced administra la configuración de acciones de las reglas

Puede configurar la acción de la regla para sus mitigaciones automáticas hacia Block o Count.

Al cambiar la configuración de la acción de la regla de mitigación automática de un recurso protegido, Shield Advanced actualiza la configuración de todas las reglas del recurso. Actualiza todas las reglas que estén actualmente en vigor para el recurso en el grupo de reglas de Shield Advanced y utiliza la nueva configuración de acciones cuando crea nuevas reglas.

Para los recursos que utilizan la misma ACL web, si especifica acciones diferentes, Shield Advanced utiliza la configuración de acciones Block para la regla basada en tasas ShieldKnownOffenderIPRateBasedRule del grupo de reglas. Shield Advanced crea y administra otras reglas del grupo de reglas en nombre de un recurso protegido específico y usa la configuración de acciones que especificó para el recurso. Todas las reglas del grupo de reglas de Shield Advanced de una ACL web se aplican al tráfico web de todos los recursos asociados.

Un cambio en la configuración de acción puede tardar unos segundos en propagarse. Durante este tiempo, es posible que vea la configuración anterior en algunos lugares donde se usa el grupo de reglas y la nueva en otros lugares.

Puede cambiar la configuración de las acciones de las reglas de la configuración de mitigación automática en la página de eventos de la consola y en la página de configuración de la capa de aplicación. Para obtener información sobre la página de eventos, consulte Respuesta a eventos de DDoS. Para obtener información sobre la página de configuración, consulte Configure las protecciones DDoS en la capa de aplicación.

Cómo administra Shield Advanced las mitigaciones cuando un ataque remite

Cuando Shield Advanced determina que las reglas de mitigación que se desplegaron para un ataque concreto ya no son necesarias, las elimina del grupo de reglas de mitigación de Shield Advanced.

La eliminación de las reglas de mitigación no coincidirá necesariamente con el final del ataque. Shield Advanced monitorea los patrones de ataque que detecta en sus recursos protegidos. Podría defenderse de forma proactiva contra la repetición de un ataque con una firma específica manteniendo en vigor las reglas que ha aplicado contra la primera incidencia de este ataque. Según sea necesario, Shield Advanced aumenta el período de tiempo durante el que mantiene las reglas en vigor. De esta forma, Shield Advanced podría mitigar los ataques repetidos con una firma específica antes de que afecten a los recursos protegidos.

Shield Advanced nunca elimina la regla basada en tasas ShieldKnownOffenderIPRateBasedRule, que limita el volumen de solicitudes de direcciones IP que se sabe que son fuentes de ataques DDoS.

Qué ocurre cuando se deshabilita la mitigación automática

Al deshabilitar la mitigación automática de un recurso, Shield Advanced hace lo siguiente:

• Deja de responder automáticamente a los ataques DDoS: Shield Advanced interrumpe sus actividades de respuesta automática para el recurso.

• Elimina las reglas innecesarias del grupo de reglas de Shield Advanced: si Shield Advanced mantiene alguna regla en su grupo de reglas administrado en nombre del recurso protegido, la elimina.

• Elimina el grupo de reglas de Shield Advanced, si ya no está en uso: si la ACL web que ha asociado al recurso no está asociada a ningún otro recurso que tenga habilitada la mitigación automática, Shield Advanced elimina su regla del grupo de reglas de la ACL web.