Bonnes pratiques pour l'utilisation de l'atténuation automatique - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques pour l'utilisation de l'atténuation automatique

Respectez les instructions fournies dans cette section lorsque vous utilisez l'atténuation automatique.

Gestion générale des protections

Suivez ces directives pour planifier et mettre en œuvre vos protections d'atténuation automatiques.

  • Gérez toutes vos protections d'atténuation automatique via Shield Advanced ou, si vous utilisez AWS Firewall Manager pour gérer vos paramètres d'atténuation automatique de Shield Advanced, via Firewall Manager. Ne mélangez pas l'utilisation de Shield Advanced et de Firewall Manager pour gérer ces protections.

  • Gérez des ressources similaires à l'aide des mêmes ACL Web et des mêmes paramètres de protection, et gérez des ressources différentes à l'aide de différentes ACL Web. Lorsque Shield Advanced atténue une attaque DDoS sur une ressource protégée, il définit des règles pour l'ACL Web associée à la ressource, puis teste les règles par rapport au trafic de toutes les ressources associées à l'ACL Web. Shield Advanced n'appliquera les règles que si elles n'ont aucun impact négatif sur les ressources associées. Pour plus d’informations, consultez Comment Shield Advanced gère l'atténuation automatique.

  • Pour les équilibreurs de charge d'application dont tout le trafic Internet est transmis par proxy via une CloudFront distribution Amazon, activez uniquement l'atténuation automatique sur la distribution. CloudFront La CloudFront distribution comportera toujours le plus grand nombre d'attributs de trafic d'origine, que Shield Advanced exploite pour atténuer les attaques.

Optimisation de la détection et de l'atténuation

Suivez ces directives pour optimiser les protections que l'atténuation automatique fournit aux ressources protégées. Pour une vue d'ensemble de la détection et de l'atténuation de la couche d'application, voirDétection et atténuation.

  • Configurez des contrôles de santé pour vos ressources protégées et utilisez-les pour activer la détection basée sur l'état dans vos protections Shield Advanced. Pour de plus amples informations, consultez Détection basée sur l'état de santé au moyen de bilans.

  • Activez l'atténuation automatique en Count mode jusqu'à ce que Shield Advanced ait établi une base de référence pour le trafic historique normal. Shield Advanced a besoin de 24 heures à 30 jours pour établir une base de référence.

    L'établissement d'une base de référence des modèles de trafic normaux nécessite les éléments suivants :

    • L'association d'une ACL Web à la ressource protégée. Vous pouvez l'utiliser AWS WAF directement pour associer votre ACL Web ou vous pouvez demander à Shield Advanced de l'associer lorsque vous activez la protection de la couche d'application Shield Advanced et que vous spécifiez une ACL Web à utiliser.

    • Flux de trafic normal vers votre application protégée. Si le trafic de votre application n'est pas normal, par exemple avant son lancement ou si le trafic de production est insuffisant pendant de longues périodes, les données historiques ne peuvent pas être collectées.

Gestion des ACL Web

Suivez ces instructions pour gérer les ACL Web que vous utilisez avec une atténuation automatique.

  • Si vous devez remplacer l'ACL Web associée à la ressource protégée, apportez les modifications suivantes dans l'ordre :

    1. Dans Shield Advanced, désactivez l'atténuation automatique.

    2. Dans AWS WAF, dissociez l'ancienne ACL Web et associez la nouvelle ACL Web.

    3. Dans Shield Advanced, activez l'atténuation automatique.

    Shield Advanced ne transfère pas automatiquement l'atténuation automatique de l'ancienne ACL Web vers la nouvelle.

  • Ne supprimez aucune règle de groupe de règles de vos ACL Web dont le nom commence ShieldMitigationRuleGroup par. Si vous supprimez ce groupe de règles, vous désactivez les protections fournies par l'atténuation automatique de Shield Advanced pour chaque ressource associée à l'ACL Web. En outre, Shield Advanced peut mettre un certain temps à recevoir la notification du changement et à mettre à jour ses paramètres. Pendant ce temps, les pages de la console Shield Advanced fourniront des informations incorrectes.

    Pour plus d'informations sur le groupe de règles, consultezLe groupe de règles Shield Advanced.

  • Ne modifiez pas le nom d'une règle de groupe de règles dont le nom commence parShieldMitigationRuleGroup. Cela peut interférer avec les protections fournies par l'atténuation automatique de Shield Advanced via l'ACL Web.

  • Lorsque vous créez des règles et des groupes de règles, n'utilisez pas de noms commençant parShieldMitigationRuleGroup. Cette chaîne est utilisée par Shield Advanced pour gérer vos mesures d'atténuation automatiques.

  • Dans le cadre de la gestion de vos règles ACL Web, n'attribuez pas de paramètre de priorité de 10 000 000. Shield Advanced attribue ce paramètre de priorité à sa règle de groupe de règles d'atténuation automatique lorsqu'il l'ajoute.

  • Priorisez la ShieldMitigationRuleGroup règle afin qu'elle s'exécute quand vous le souhaitez par rapport aux autres règles de votre ACL Web. Shield Advanced ajoute la règle du groupe de règles à l'ACL Web avec une priorité de 10 000 000, à exécuter après vos autres règles. Si vous utilisez l'assistant de AWS WAF console pour gérer votre ACL Web, ajustez les paramètres de priorité selon vos besoins après avoir ajouté des règles à l'ACL Web.

  • Si vous avez l' AWS CloudFormation habitude de gérer vos ACL Web, vous n'avez pas besoin de gérer la ShieldMitigationRuleGroup règle du groupe de règles. Suivez les instructions surUtilisation AWS CloudFormation avec atténuation automatique des attaques DDoS au niveau de la couche applicative.