Shield Advanced, couche d'application, ACL AWS WAF Web et règles basées sur le débit - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Shield Advanced, couche d'application, ACL AWS WAF Web et règles basées sur le débit

Pour protéger une ressource de la couche application avec Shield Advanced, vous devez commencer par associer une ACL AWS WAF Web à la ressource. AWS WAF est un pare-feu d'applications Web qui vous permet de surveiller les requêtes HTTP et HTTPS qui sont transmises aux ressources de la couche application et de contrôler l'accès à votre contenu en fonction des caractéristiques des demandes. Vous pouvez configurer une ACL Web pour surveiller et gérer les demandes en fonction de facteurs tels que l'origine de la demande, le contenu des chaînes de requête et des cookies, et le taux de demandes provenant d'une seule adresse IP. Au minimum, votre protection Shield Advanced vous oblige à associer une ACL Web à une règle basée sur le débit, qui limite le taux de demandes pour chaque adresse IP.

Si aucune règle basée sur le taux n'est définie dans l'ACL Web associée, Shield Advanced vous invite à en définir au moins une. Les règles basées sur le débit bloquent automatiquement le trafic provenant des adresses IP sources lorsqu'elles dépassent les seuils que vous définissez. Ils aident à protéger votre application contre les inondations de requêtes Web et peuvent fournir des alertes en cas de pics de trafic soudains susceptibles d'indiquer une attaque DDoS potentielle.

Note

Une règle basée sur le taux répond très rapidement aux pics de trafic surveillés par la règle. De ce fait, une règle basée sur le taux peut empêcher non seulement une attaque, mais également la détection d'une attaque potentielle par le biais de la fonction de détection Shield Advanced. Ce compromis privilégie la prévention plutôt que la visibilité complète des modèles d'attaque. Nous vous recommandons d'utiliser une règle basée sur le taux comme première ligne de défense contre les attaques.

Une fois votre ACL Web en place, en cas d'attaque DDoS, vous appliquez des mesures d'atténuation en ajoutant et en gérant des règles dans l'ACL Web. Vous pouvez le faire directement, avec l'aide de la Shield Response Team (SRT), ou automatiquement grâce à l'atténuation automatique des attaques DDoS au niveau de la couche application.

Important

Si vous utilisez également l'atténuation automatique des attaques DDoS au niveau de la couche application, consultez les meilleures pratiques pour gérer votre ACL Web à l'Bonnes pratiques pour l'utilisation de l'atténuation automatiqueadresse.

Comportement des règles basé sur le taux par défaut

Lorsque vous utilisez une règle basée sur le taux avec sa configuration par défaut, elle évalue AWS WAF régulièrement le trafic pour la période de 5 minutes précédente. AWS WAF bloque les demandes provenant de toute adresse IP qui dépasse le seuil de la règle jusqu'à ce que le taux de demandes descende à un niveau acceptable. Lorsque vous configurez une règle basée sur le débit via Shield Advanced, configurez son seuil de débit à une valeur supérieure au débit de trafic normal que vous attendez d'une adresse IP source sur une fenêtre de cinq minutes.

Vous souhaiterez peut-être utiliser plusieurs règles basées sur le taux dans une ACL Web. Par exemple, vous pouvez avoir une règle basée sur le taux pour tout le trafic dont le seuil est élevé, plus une ou plusieurs règles supplémentaires configurées pour correspondre à certaines parties de votre application Web et dont les seuils sont inférieurs. Par exemple, vous pouvez faire correspondre l'URI /login.html avec un seuil inférieur, afin de limiter les abus commis contre une page de connexion.

Vous pouvez configurer une règle basée sur le taux pour utiliser une fenêtre temporelle d'évaluation différente et pour agréger les demandes en fonction d'un certain nombre de composants de demande, tels que les valeurs d'en-tête, les étiquettes et les arguments de requête. Pour plus d’informations, consultez Instruction de règle basée sur un taux.

Pour plus d'informations et de conseils, consultez le billet de blog sur la sécurité Les trois règles AWS WAF basées sur les taux les plus importantes.

Options de configuration étendues grâce à AWS WAF

La console Shield Advanced vous permet d'ajouter une règle basée sur le taux et de la configurer avec les paramètres de base par défaut. Vous pouvez définir des options de configuration supplémentaires en gérant vos règles basées sur les taux via AWS WAF. Par exemple, vous pouvez configurer la règle pour agréger les demandes en fonction de clés telles qu'une adresse IP transférée, une chaîne de requête et une étiquette. Vous pouvez également ajouter une instruction scope-down à la règle afin de soustraire certaines demandes à l'évaluation et à la limitation du débit. Pour plus d’informations, consultez Instruction de règle basée sur un taux. Pour plus d'informations sur l'utilisation AWS WAF des règles de surveillance et de gestion de vos requêtes Web pour gérer, consultezCréation d'une liste ACL web.