Configure las protecciones DDoS de la capa de aplicación (capa 7) con AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure las protecciones DDoS de la capa de aplicación (capa 7) con AWS WAF

Para proteger un recurso de la capa de aplicación, Shield Advanced utiliza una ACL AWS WAF web con una regla basada en la velocidad como punto de partida. AWS WAF es un firewall de aplicaciones web que permite supervisar las solicitudes HTTP y HTTPS que se reenvían a los recursos de la capa de aplicaciones y controlar el acceso al contenido en función de las características de las solicitudes. Una regla basada en tasas limita el volumen de tráfico en función de los criterios de agregación de solicitudes, lo que proporciona una protección DDoS básica a la aplicación. Para más información, consulte Cómo AWS WAF funciona y Instrucción de regla basada en frecuencia.

También puede habilitar, de forma opcional, la mitigación automática de DDoS en la capa de aplicación de Shield Advanced, para limitar automáticamente las solicitudes de fuentes conocidas de DDoS y proporcionar protecciones específicas para cada incidente.

importante

Si administra sus protecciones de Shield Advanced AWS Firewall Manager mediante una política de Shield Advanced, no podrá administrar las protecciones de la capa de aplicación aquí. Debe administrarlas en su política de Shield Advanced de Firewall Manager.

Suscripciones y AWS WAF costos de Shield Advanced

Su suscripción a Shield Advanced cubre los costes de uso de AWS WAF las capacidades estándar para los recursos que proteja con Shield Advanced. Las AWS WAF tarifas estándar que cubren las protecciones Shield Advanced son el costo por ACL web, el costo por regla y el precio base por millón de solicitudes de inspección de solicitudes web, hasta 1500 WCU y hasta el tamaño de cuerpo predeterminado.

Al habilitar la mitigación automática de DDoS en la capa de aplicaciones de Shield Advanced, se añade un grupo de reglas a la ACL web que utiliza 150 unidades de capacidad (WCU) de ACL web. Estas WCU se tienen en cuenta para el uso de la WCU en su ACL web. Para obtener más información, consulte Mitigación de DDoS de la capa de aplicación automática de Shield Advanced, El grupo de reglas de Shield Advanced y AWS WAF unidades de capacidad ACL web (WCU).

Su suscripción a Shield Advanced no cubre el uso AWS WAF de recursos que no proteja con Shield Advanced. Tampoco cubre ningún AWS WAF coste adicional no estándar de los recursos protegidos. Algunos ejemplos de AWS WAF costes no estándar son los del control de bots, la acción de la CAPTCHA regla, las ACL web que utilizan más de 1500 WCU y la inspección del cuerpo de la solicitud por encima del tamaño predeterminado. La lista completa se encuentra en la página de precios. AWS WAF

Para obtener la información completa y ejemplos de precios, consulte Precios de Shield y Precios de AWS WAF.

Configuración de las protecciones DDoS de capa 7 para una región

Shield Advanced le ofrece la opción de configurar la mitigación de DDoS de capa 7 para cada región en la que se encuentren los recursos que elija. Si va a agregar protecciones en varias regiones, el asistente le guiará por el siguiente procedimiento para cada región.

  1. La página Configurar las protecciones DDoS de capa 7 muestra todos los recursos que aun no están asociados a una ACL web. Para cada uno de ellos, elija una ACL web existente o cree una ACL web nueva. En el caso de cualquier recurso que ya tenga una ACL web asociada, puede cambiar las ACL web desasociando primero la actual mediante ella. AWS WAF Para obtener más información, consulte Asociar o desasociar una ACL web a un recurso AWS.

    En el caso de las ACL web que aun no tienen una regla basada en tasas, el asistente de configuración le pide que agregue una. Una regla basada en tasas limita el tráfico de las direcciones IP cuando estas envían un gran volumen de solicitudes. Las reglas basadas en tasas ayudan a proteger la aplicación frente a avalanchas de solicitudes web y pueden proporcionar alertas sobre picos repentinos de tráfico que pudieran indicar un posible ataque DDoS. Para agregar una regla basada en tasas a una ACL web, seleccione Agregar regla de límite de tasas y, a continuación, especifique una acción para limitar la tasa y establecer una regla. Puede configurar protecciones adicionales en la ACL web mediante. AWS WAF

    Para obtener información sobre el uso de las ACL web y las reglas basadas en tasas en sus protecciones de Shield Advanced, incluidas las opciones de configuración adicionales para las reglas basadas en tasas, consulte Shield: ACL AWS WAF web de capa de aplicación avanzada y reglas basadas en tasas.

  2. Para la mitigación automática de DDoS en la capa de aplicación, si desea que Shield Advanced mitigue automáticamente los ataques DDoS contra los recursos de la capa de aplicaciones, elija Activar y, a continuación, seleccione la acción de AWS WAF regla que quiere que Shield Advanced utilice en sus reglas personalizadas. Esta configuración se aplica a todas las ACL web de los recursos que gestione en esta sesión del asistente.

    Con la mitigación automática de DDoS en la capa de aplicación, Shield Advanced mantiene una regla basada en la velocidad en la ACL AWS WAF web del recurso que limita el volumen de solicitudes de fuentes de DDoS conocidas. Además, Shield Advanced compara los patrones de tráfico actuales con las bases de referencia de tráfico históricas para detectar desviaciones que puedan indicar un ataque DDoS. Cuando Shield Advanced detecta un ataque DDoS, responde creando, evaluando e implementando AWS WAF reglas personalizadas para responder. Especifique si las reglas personalizadas cuentan o bloquean los ataques en su nombre.

    nota

    La mitigación automática de DDoS a nivel de aplicación solo funciona con las ACL web que se crearon con la última versión de AWS WAF (v2).

    Para obtener más información sobre la mitigación automática de DDoS en la capa de aplicaciones de Shield Advanced, incluidas las advertencias y las prácticas recomendadas para el uso de esta función, consulte. Mitigación de DDoS de la capa de aplicación automática de Shield Advanced

  3. Elija Siguiente. El asistente de la consola pasa a la página de detección basada en el estado.