Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Logique de détection des menaces pesant sur la couche applicative
AWS Shield Advanced fournit une détection de la couche d'application Web pour les CloudFront distributions Amazon protégées et les équilibreurs de charge d'application. Lorsque vous protégez ces types de ressources avec Shield Advanced, vous pouvez associer une ACL AWS WAF Web à votre protection pour permettre la détection de la couche d'application Web. Shield Advanced utilise les données de demande pour l'ACL Web associée et crée une base de trafic pour votre application. La détection de la couche d'application Web repose sur l'intégration native entre Shield Advanced et AWS WAF. Pour en savoir plus sur les protections de la couche application, notamment sur l'association d'une ACL AWS WAF Web à une ressource protégée Shield Advanced, consultezAWS Shield Advanced protections de la couche d'application (couche 7).
Pour la détection de la couche d'application Web, Shield Advanced surveille le trafic des applications et le compare aux lignes de base historiques à la recherche d'anomalies. Cette surveillance couvre le volume total et la composition du trafic. Lors d'une attaque DDoS, nous nous attendons à ce que le volume et la composition du trafic changent, et Shield Advanced exige un écart statistiquement significatif dans les deux cas pour déclarer un événement.
Shield Advanced effectue ses mesures par rapport à des fenêtres temporelles historiques. Cette approche permet de réduire les notifications faussement positives résultant de modifications légitimes du volume de trafic ou de modifications du trafic correspondant à un schéma attendu, comme une vente proposée à la même heure chaque jour.
Note
Évitez les faux positifs dans vos protections Shield Advanced en laissant à Shield Advanced le temps d'établir des bases de référence représentant des modèles de trafic normaux et légitimes. Shield Advanced commence à collecter des informations pour sa base de référence lorsque vous associez une ACL Web à votre ressource protégée. Associez une ACL Web à votre ressource protégée au moins 24 heures avant tout événement planifié susceptible de provoquer des modèles inhabituels dans votre trafic Web. La détection de la couche d'application Web Shield Advanced est plus précise lorsqu'elle a observé 30 jours de trafic normal.
Le temps nécessaire à Shield Advanced pour détecter un événement dépend de l'ampleur des changements observés dans le volume de trafic. Pour les variations de volume plus faibles, Shield Advanced observe le trafic pendant une période plus longue, afin de s'assurer qu'un événement se produit. En cas de variations de volume plus importantes, Shield Advanced détecte et signale un événement plus rapidement.
Une règle basée sur le taux dans votre ACL Web, qu'elle soit ajoutée par vous-même ou par la fonction d'atténuation automatique de la couche d'application Shield Advanced, peut atténuer une attaque avant qu'elle n'atteigne un niveau détectable. Pour plus d'informations sur l'atténuation automatique des attaques DDoS au niveau de la couche application, consultezShield Advanced : atténuation automatique des attaques DDoS au niveau de la couche applicative.
Note
Vous pouvez concevoir votre application de manière à ce qu'elle évolue en réponse à un trafic ou à une charge élevés afin de garantir qu'elle ne soit pas affectée par de faibles volumes de demandes. Avec Shield Advanced, vos ressources protégées sont couvertes par une protection des coûts. Cela vous permet de vous protéger contre les augmentations inattendues de votre facture cloud qui pourraient survenir à la suite d'une attaque DDoS. Pour en savoir plus sur la protection des coûts Shield Advanced, consultezDemande de crédit en AWS Shield Advanced.
