Prácticas recomendadas para utilizar la mitigación automática - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para utilizar la mitigación automática

Siga las instrucciones que se proporcionan en esta sección cuando utilice la mitigación automática.

Administración de protecciones generales

Siga estas pautas para planificar e implementar sus protecciones de mitigación automática.

  • Administre todas sus protecciones de mitigación automática a través de Shield Advanced o, si las utiliza AWS Firewall Manager para administrar la configuración de mitigación automática de Shield Advanced, a través de Firewall Manager. No mezcle el uso de Shield Advanced y Firewall Manager para administrar estas protecciones.

  • Administre recursos similares con las mismas ACL web y la misma configuración de protección, y administre recursos distintos con ACL web diferentes. Cuando Shield Advanced mitiga un ataque DDoS en un recurso protegido, define las reglas para la ACL web asociada al recurso y, a continuación, las compara con el tráfico de todos los recursos asociados a la ACL web. Shield Advanced solo aplicará las reglas si no afectan negativamente a ninguno de los recursos asociados. Para obtener más información, consulte Cómo administra Shield Advanced la mitigación automática.

  • En el caso de los balanceadores de carga de aplicaciones que tienen todo su tráfico de Internet redirigido por proxy a través de una CloudFront distribución de Amazon, solo habilita la mitigación automática en la CloudFront distribución. La CloudFront distribución siempre tendrá la mayor cantidad de atributos de tráfico originales, que Shield Advanced aprovecha para mitigar los ataques.

Optimización de la detección y la mitigación

Siga estas pautas para optimizar las protecciones que la mitigación automática proporciona a los recursos protegidos. Para obtener una descripción general de la detección y mitigación de la capa de aplicación, consulteDetección y mitigación.

  • Configure los controles de estado de sus recursos protegidos y utilícelos para habilitar la detección basada en el estado en sus protecciones Shield Advanced. Para obtener instrucciones, consulte Detección basada en la salud mediante controles de salud.

  • Activa la mitigación automática en Count el modo hasta que Shield Advanced haya establecido una línea base para el tráfico normal e histórico. Shield Advanced necesita de 24 horas a 30 días para establecer una línea base.

    Para establecer una base de patrones de tráfico normales se requiere lo siguiente:

    • La asociación de una ACL web con el recurso protegido. Puede utilizarla AWS WAF directamente para asociar su ACL web o puede hacer que Shield Advanced la asocie cuando active la protección de la capa de aplicaciones de Shield Advanced y especifique la ACL web que desee utilizar.

    • Flujo de tráfico normal hacia su aplicación protegida. Si su aplicación no experimenta un tráfico normal, por ejemplo, antes de que se inicie o si no tiene tráfico de producción durante períodos prolongados, no se podrán recopilar los datos históricos.

Administración de ACL web

Siga estas pautas para administrar las ACL web que utiliza con la mitigación automática.

  • Si necesita reemplazar la ACL web asociada al recurso protegido, realice los siguientes cambios en este orden:

    1. En Shield Advanced, desactiva la mitigación automática.

    2. En AWS WAF, desasocie la antigua ACL web y asocie la nueva ACL web.

    3. En Shield Advanced, habilita la mitigación automática.

    Shield Advanced no transfiere automáticamente la mitigación automática de la antigua ACL web a la nueva.

  • No elimine ninguna regla de grupo de reglas de las ACL web cuyo nombre comience por ShieldMitigationRuleGroup. Si elimina este grupo de reglas, deshabilita las protecciones que proporciona la mitigación automática de Shield Advanced para cada recurso asociado a la ACL web. Además, Shield Advanced puede tardar algún tiempo en recibir la notificación del cambio y actualizar su configuración. Durante este tiempo, las páginas de la consola de Shield Advanced proporcionarán información incorrecta.

    Para obtener más información acerca de este grupo de reglas, consulte El grupo de reglas de Shield Advanced.

  • No modifique el nombre de una regla del grupo de reglas que comience por ShieldMitigationRuleGroup. Si lo hace, puede interferir en las protecciones que proporciona la mitigación automática de Shield Advanced a través de la ACL web.

  • Al crear reglas y grupos de reglas, no utilice nombres que comiencen por ShieldMitigationRuleGroup. Shield Advanced utiliza esta cadena para gestionar las mitigaciones automáticas.

  • Al administrar sus reglas de ACL web, no asigne una configuración de prioridad de 10.000.000. Shield Advanced asigna esta configuración de prioridad a su regla del grupo de reglas de mitigación automática cuando la agrega.

  • Mantenga la prioridad de la regla ShieldMitigationRuleGroup en relación con las demás reglas de su ACL web para que se ejecute cuando desee. Shield Advanced añade la regla del grupo de reglas a la ACL web con una prioridad de 10.000.000 para que se ejecute después de las demás reglas. Si usa el asistente de AWS WAF consola para administrar su ACL web, ajuste la configuración de prioridad según sea necesario después de agregar reglas a la ACL web.

  • Si las utiliza AWS CloudFormation para administrar sus ACL web, no necesita administrar la ShieldMitigationRuleGroup regla del grupo de reglas. Siga las instrucciones de Se utiliza AWS CloudFormation con la mitigación automática de DDoS en la capa de aplicación.