Advertencias sobre el uso de la mitigación automática - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Advertencias sobre el uso de la mitigación automática

La siguiente lista describe las advertencias de la mitigación automática de DDoS en la capa de aplicación de Shield Advanced y describe los pasos que puede realizar en respuesta.

  • La mitigación automática de DDoS en la capa de aplicación solo funciona con las ACL web que se crearon con la última versión de AWS WAF (v2).

  • Shield Advanced necesita tiempo para establecer una línea base del tráfico normal e histórico de la aplicación, que aprovecha para detectar y aislar el tráfico de ataque del tráfico normal, a fin de mitigar el tráfico de ataques. El tiempo necesario para establecer una línea base es de 24 horas a 30 días a partir del momento en que se asocia una ACL web al recurso de aplicación protegido. Para obtener información adicional sobre las líneas base de tráfico, consulte. Detección y mitigación

  • Al habilitar la mitigación automática de DDoS en la capa de aplicación, se agrega un grupo de reglas a la ACL web que utiliza 150 unidades de capacidad (WCU) de la ACL web. Estas WCU se tienen en cuenta para el uso de la WCU en su ACL web. Para obtener más información, consulte El grupo de reglas de Shield Advanced y AWS WAF unidades de capacidad ACL web (WCU).

  • El grupo de reglas Shield Advanced genera AWS WAF métricas, pero no se pueden ver. Esto es igual que para cualquier otro grupo de reglas que utilice en su ACL web pero que no sea de su propiedad, como los grupos de reglas de reglas AWS administradas. Para obtener más información sobre AWS WAF las métricas, consulteAWS WAF métricas y dimensiones. Para obtener información sobre esta opción de protección Shield Advanced, consulteMitigación de DDoS de la capa de aplicación automática de Shield Advanced.

  • En el caso de las ACL web que protegen varios recursos, la mitigación automática solo implementa mitigaciones personalizadas que no afectan negativamente a ninguno de los recursos protegidos.

  • El tiempo que transcurre entre el inicio de un ataque DDoS y el momento en que Shield Advanced aplica las reglas de mitigación automática personalizadas varía según el evento. Algunos ataques DDoS pueden terminar antes de que se implementen las reglas personalizadas. Otros ataques pueden producirse cuando ya existe una mitigación y, por lo tanto, podrían mitigarse con esas reglas desde el inicio del evento. Además, las reglas basadas en la velocidad del grupo de reglas ACL web y Shield Advanced pueden mitigar el tráfico de ataques antes de que se detecte como un posible evento.

  • En el caso de los balanceadores de carga de aplicaciones que reciben tráfico a través de una red de entrega de contenido (CDN), como Amazon CloudFront, se reducirán las capacidades de mitigación automática de la capa de aplicaciones de Shield Advanced para esos recursos del Application Load Balancer. Shield Advanced utiliza atributos de tráfico del cliente para identificar y aislar el tráfico de ataque del tráfico normal hacia su aplicación y es posible que las CDN no conserven ni reenvíen los atributos de tráfico del cliente originales. Si las usas CloudFront, te recomendamos habilitar la mitigación automática en la distribución. CloudFront

  • La mitigación automática de DDoS en la capa de aplicación no interactúa con los grupos de protección. Puede habilitar la mitigación automática para los recursos que se encuentran en grupos de protección, pero Shield Advanced no aplica automáticamente mitigaciones de ataques en función de los hallazgos de los grupos de protección. Shield Advanced aplica mitigaciones de ataque automáticas a recursos individuales.