Logique de détection des menaces pesant sur la couche d'infrastructure - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Logique de détection des menaces pesant sur la couche d'infrastructure

La logique de détection utilisée pour protéger les AWS ressources ciblées contre les attaques DDoS dans les couches d'infrastructure (couche 3 et couche 4) dépend du type de ressource et du fait que la ressource est protégée ou non. AWS Shield Advanced

Détection pour Amazon CloudFront et Amazon Route 53

Lorsque vous servez votre application Web avec CloudFront et Route 53, tous les paquets envoyés à l'application sont inspectés par un système d'atténuation des attaques DDoS entièrement intégré, qui n'introduit aucune latence observable. Les attaques DDoS contre les CloudFront distributions et les zones hébergées par Route 53 sont atténuées en temps réel. Ces protections s'appliquent indépendamment du fait que vous les utilisiez ou non AWS Shield Advanced.

Suivez les meilleures pratiques en utilisant CloudFront Route 53 comme point d'entrée de votre application Web dans la mesure du possible pour détecter et atténuer les événements DDoS le plus rapidement possible.

Détection pour AWS Global Accelerator les services régionaux

La détection au niveau des ressources protège les accélérateurs et les ressources AWS Global Accelerator standard lancés dans les AWS régions, tels que les équilibreurs de charge classiques, les équilibreurs de charge d'application et les adresses IP élastiques (EIP). Ces types de ressources sont surveillés pour détecter les élévations de trafic susceptibles d'indiquer la présence d'une attaque DDoS nécessitant une atténuation. Chaque minute, le trafic vers chaque AWS ressource est évalué. Si le trafic vers une ressource est élevé, des contrôles supplémentaires sont effectués pour mesurer la capacité de la ressource.

Shield effectue les contrôles standard suivants :

  • Instances Amazon Elastic Compute Cloud (Amazon EC2), EIP associées aux instances Amazon EC2 — Shield récupère la capacité de la ressource protégée. La capacité dépend du type d'instance cible, de la taille de l'instance et d'autres facteurs tels que le fait que l'instance utilise ou non une mise en réseau améliorée.

  • Équilibreurs de charge classiques et équilibreurs de charge d'application : Shield récupère la capacité du nœud d'équilibreur de charge ciblé.

  • EIP connectés aux équilibreurs de charge réseau — Shield récupère la capacité de l'équilibreur de charge ciblé. La capacité est indépendante de la configuration de groupe de l'équilibreur de charge cible.

  • AWS Global Accelerator accélérateurs standard — Shield récupère la capacité, qui est basée sur la configuration du terminal.

Ces évaluations portent sur plusieurs dimensions du trafic réseau, telles que le port et le protocole. Si la capacité de la ressource ciblée est dépassée, Shield met en place une solution d'atténuation des attaques DDoS. Les mesures d'atténuation mises en place par Shield réduiront le trafic DDoS, mais ne l'élimineront peut-être pas. Shield peut également mettre en place une mesure d'atténuation si une fraction de la capacité de la ressource est dépassée sur une dimension de trafic compatible avec les vecteurs d'attaque DDoS connus. Shield applique à cette atténuation une durée de vie limitée (TTL), qu'elle prolonge tant que l'attaque est en cours.

Note

Les mesures d'atténuation mises en place par Shield réduiront le trafic DDoS, mais ne l'élimineront peut-être pas. Vous pouvez compléter Shield avec des solutions telles AWS Network Firewall qu'un pare-feu sur l'hôte, iptables afin d'empêcher votre application de traiter le trafic qui n'est pas valide pour votre application ou qui n'a pas été généré par des utilisateurs finaux légitimes.

Les protections Shield Advanced ajoutent les éléments suivants aux activités de détection Shield existantes :

  • Seuils de détection inférieurs — Shield Advanced place les mesures d'atténuation à la moitié de la capacité calculée. Cela permet d'atténuer plus rapidement les attaques qui s'intensifient lentement et d'atténuer les attaques dont la signature volumétrique est plus ambiguë.

  • Protection contre les attaques intermittentes — Shield Advanced propose des mesures d'atténuation liées à l'augmentation exponentielle de la durée de vie (TTL), en fonction de la fréquence et de la durée des attaques. Cela permet de maintenir les mesures d'atténuation en place plus longtemps lorsqu'une ressource est fréquemment ciblée et lorsqu'une attaque se produit en rafales brèves.

  • Détection basée sur l'état de santé : lorsque vous associez un bilan de santé Route 53 à une ressource protégée par Shield Advanced, l'état du bilan de santé est utilisé dans la logique de détection. Lors d'un événement détecté, si le bilan de santé est correct, Shield Advanced doit être plus sûr qu'il s'agit d'une attaque avant de mettre en place une mesure d'atténuation. Si, au contraire, le bilan de santé n'est pas satisfaisant, Shield Advanced peut mettre en place une mesure d'atténuation avant même que la confiance ne soit établie. Cette fonctionnalité permet d'éviter les faux positifs et de réagir plus rapidement aux attaques qui affectent votre application. Pour plus d'informations sur les contrôles de santé réalisés avec Shield Advanced, consultezDétection basée sur l'état de santé au moyen de bilans.