Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración de la mitigación automática de DDoS en la capa de aplicación
Utilice las instrucciones de esta sección para administrar las configuraciones automáticas de mitigación de DDoS en la capa de aplicación. Para obtener información sobre cómo funciona la mitigación automática, consulte los temas anteriores.
nota
Siga las prácticas recomendadas que se describen enPrácticas recomendadas para utilizar la mitigación automática.
Temas
- Visualización de la configuración de mitigación automática de DDoS en la capa de aplicación de un recurso
- Cómo habilitar y deshabilitar la mitigación automática de DDoS en la capa de aplicación
- Cambio de la acción utilizada para la mitigación automática de DDoS en la capa de aplicación
- Se utiliza AWS CloudFormation con la mitigación automática de DDoS en la capa de aplicación
Visualización de la configuración de mitigación automática de DDoS en la capa de aplicación de un recurso
Puede ver la configuración de mitigación automática de DDoS en la capa de aplicación de un recurso en la página Recursos protegidos y en las páginas de protecciones individuales.
Cómo ver la configuración de mitigación automática de DDoS en la capa de aplicación
Inicie sesión en la AWS Management Console consola AWS WAF & Shield y ábrala en https://console.aws.amazon.com/wafv2/
. -
En el panel AWS Shield de navegación, elija Recursos protegidos. En la lista de recursos protegidos, la columna Mitigación automática de DDoS en la capa de aplicación indica si la mitigación automática está habilitada y, si lo está, la acción que Shield Advanced realizará en sus mitigaciones.
También puede seleccionar cualquier recurso de la capa de aplicación para ver la misma información que aparece en la página de protecciones del recurso.
Cómo habilitar y deshabilitar la mitigación automática de DDoS en la capa de aplicación
En el siguiente procedimiento, se muestra cómo habilitar o deshabilitar la respuesta automática de un recurso protegido.
Para habilitar o deshabilitar la mitigación automática de DDoS a nivel de aplicación para un único recurso
Inicie sesión en la AWS Management Console consola AWS WAF & Shield y ábrala en https://console.aws.amazon.com/wafv2/
. -
En el panel AWS Shield de navegación, elija Recursos protegidos.
-
En la pestaña Protecciones, seleccione el recurso de capa de aplicación para el que desee habilitar la mitigación automática. Se abre la página de protecciones del recurso.
-
En la página de protecciones del recurso, elija Editar.
-
En la página Configurar la mitigación de DDoS en la capa 7 para los recursos globales: opcional, de la mitigación automática de DDoS en la capa de aplicación, elija la opción que desee utilizar para las mitigaciones automáticas. Las opciones de la consola son las siguientes:
-
Mantener la configuración actual: no se realizan cambios en la configuración de mitigación automática del recurso protegido.
-
Habilitar: se habilita la mitigación automática para el recurso protegido. Al elegir esta opción, seleccione también la acción de regla que desee que utilicen las mitigaciones automáticas en las reglas de ACL web. Para obtener información sobre la configuración de las acciones de las reglas, consulte Acción de regla.
Si tu recurso protegido aún no tiene un historial de tráfico normal de aplicaciones, activa la mitigación automática en el Count modo hasta que Shield Advanced pueda establecer una línea base. Shield Advanced comienza a recopilar información para su punto de referencia al asociar una ACL web a su recurso protegido, y establecer un buen punto de referencia del tráfico normal puede tardar de 24 horas a 30 días.
-
Deshabilitar: se deshabilita la mitigación automática del recurso protegido.
-
-
Recorra el resto de páginas hasta que termine y guarde la configuración.
En la página Protecciones, se actualiza la configuración de mitigación automática del recurso.
Cambio de la acción utilizada para la mitigación automática de DDoS en la capa de aplicación
Puede cambiar la acción que Shield Advanced utiliza para la respuesta automática de la capa de aplicación en varias ubicaciones de la consola:
Configuración de mitigación automática: cambie la acción al configurar la mitigación automática para su recurso. Para conocer el procedimiento, consulte la sección anterior Cómo habilitar y deshabilitar la mitigación automática de DDoS en la capa de aplicación.
Página de detalles del evento: cambie la acción en la página de detalles del evento cuando vea la información del evento en la consola. Para obtener más información, consulte AWS Shield Advanced detalles del evento.
Si tiene dos recursos protegidos que comparten una ACL web y establece la acción Count en uno y Block en el otro, Shield Advanced establece la acción de la regla basada en tasas del grupo de reglas ShieldKnownOffenderIPRateBasedRule a Block.
Se utiliza AWS CloudFormation con la mitigación automática de DDoS en la capa de aplicación
Aprenda AWS CloudFormation a gestionar sus protecciones y sus ACL AWS WAF web.
Cómo habilitar o deshabilitar la mitigación automática de DDoS en la capa de aplicación
Puede habilitar y deshabilitar la mitigación automática de DDoS en la capa de aplicaciones mediante AWS CloudFormation el AWS::Shield::Protection recurso. El efecto es el mismo que cuando se habilita o deshabilita la característica a través de la consola o cualquier otra interfaz. Para obtener información sobre el AWS CloudFormation recurso, consulte AWS::Shield::Protectionla guía del AWS CloudFormation usuario.
Administración de las ACL web utilizadas con mitigación automática
Shield Advanced administra la mitigación automática de su recurso protegido mediante una regla de grupo de reglas en la ACL AWS WAF web del recurso protegido. A través de la AWS WAF consola y las API, verá la regla incluida en las reglas de la ACL web, con un nombre que empieza porShieldMitigationRuleGroup. Esta regla está dedicada a la mitigación automática de DDoS en la capa de aplicación y Shield Advanced y AWS WAF la administran por usted. Para más información, consulte El grupo de reglas de Shield Advanced y Cómo administra Shield Advanced la mitigación automática.
Si lo usa AWS CloudFormation para administrar sus ACL web, no agregue la regla de grupo de reglas Shield Advanced a su plantilla de ACL web. Cuando actualizas una ACL web que se está utilizando con tus protecciones de mitigación automática, administra AWS WAF automáticamente la regla del grupo de reglas en la ACL web.
Verás las siguientes diferencias en comparación con otras ACL web a través AWS CloudFormation de las cuales gestionas:
AWS CloudFormation no mostrará ningún desfase en el estado de desviación de la pila entre la configuración real de la ACL web, con la regla del grupo de reglas Shield Advanced, y la plantilla de ACL web, sin la regla. La regla de Shield Advanced no aparecerá en los detalles de desviación de la lista del recurso.
Podrá ver la regla del grupo de reglas Shield Advanced en las listas de ACL web de las que accede, por ejemplo AWS WAF, a través de la AWS WAF consola o AWS WAF las API.
-
Si modifica la plantilla de ACL web en una pila AWS WAF y Shield Advanced mantiene automáticamente la regla de mitigación automática de Shield Advanced en la ACL web actualizada. Las protecciones de mitigación automática ofrecidas por Shield Advanced no se ven interrumpidas por la actualización de la ACL web.
No administre la regla Shield Advanced en su plantilla de ACL AWS CloudFormation web. La plantilla de la ACL web no debe incluir la regla de Shield Advanced. Siga las prácticas recomendadas para la administración de ACL web en Prácticas recomendadas para utilizar la mitigación automática.
