Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mises en garde relatives à l'utilisation de l'atténuation automatique
La liste suivante décrit les inconvénients de l'atténuation automatique des attaques DDoS au niveau de la couche applicative Shield Advanced et décrit les mesures que vous pouvez prendre pour y remédier.
L'atténuation automatique des attaques DDoS au niveau de la couche application fonctionne uniquement avec les ACL Web créées à l'aide de la dernière version de AWS WAF (v2).
-
Shield Advanced a besoin de temps pour établir une base de référence du trafic historique normal de votre application, qu'il utilise pour détecter et isoler le trafic d'attaque du trafic normal, afin d'atténuer le trafic d'attaque. Le délai d'établissement d'une base de référence est compris entre 24 heures et 30 jours à compter du moment où vous associez une ACL Web à la ressource d'application protégée. Pour plus d'informations sur les lignes de base du trafic, consultezDétection et atténuation.
L'activation de l'atténuation automatique des attaques DDoS au niveau de la couche application ajoute un groupe de règles à votre ACL Web qui utilise 150 unités de capacité ACL Web (WCU). Ces WCU sont pris en compte dans l'utilisation des WCU dans votre ACL Web. Pour plus d'informations, consultez Le groupe de règles Shield Advanced et AWS WAF unités de capacité ACL Web (WCU).
Le groupe de règles Shield Advanced génère AWS WAF des métriques, mais elles ne peuvent pas être consultées. Il en va de même pour tous les autres groupes de règles que vous utilisez dans votre ACL Web mais dont vous n'êtes pas propriétaire, tels que les groupes de règles AWS gérées. Pour plus d'informations sur AWS WAF les métriques, consultezAWS WAF métriques et dimensions. Pour plus d'informations sur cette option de protection Shield Advanced, consultezShield Advanced : atténuation automatique des attaques DDoS au niveau de la couche applicative.
-
Pour les ACL Web qui protègent plusieurs ressources, l'atténuation automatique déploie uniquement des mesures d'atténuation personnalisées qui n'ont aucun impact négatif sur les ressources protégées.
-
Le délai entre le début d'une attaque DDoS et le moment où Shield Advanced place des règles d'atténuation automatique personnalisées varie en fonction de chaque événement. Certaines attaques DDoS peuvent prendre fin avant que les règles personnalisées ne soient déployées. D'autres attaques peuvent se produire lorsqu'une atténuation est déjà en place et peuvent donc être atténuées par ces règles dès le début de l'événement. En outre, les règles basées sur le taux dans le groupe de règles Web ACL et Shield Advanced peuvent atténuer le trafic d'attaque avant qu'il ne soit détecté comme un événement potentiel.
-
Pour les équilibreurs de charge d'application qui reçoivent du trafic via un réseau de diffusion de contenu (CDN), tel qu'Amazon CloudFront, les capacités d'atténuation automatique de la couche applicative de Shield Advanced pour ces ressources d'Application Load Balancer seront réduites. Shield Advanced utilise les attributs du trafic client pour identifier et isoler le trafic d'attaque du trafic normal vers votre application, et les CDN peuvent ne pas conserver ou transmettre les attributs du trafic client d'origine. Si vous l'utilisez CloudFront, nous vous recommandons d'activer l'atténuation automatique sur la CloudFront distribution.
L'atténuation automatique des attaques DDoS au niveau de la couche applicative n'interagit pas avec les groupes de protection. Vous pouvez activer l'atténuation automatique pour les ressources appartenant à des groupes de protection, mais Shield Advanced n'applique pas automatiquement les mesures d'atténuation des attaques en fonction des résultats des groupes de protection. Shield Advanced applique des mesures d'atténuation automatiques des attaques pour les ressources individuelles.
