Comment AWS Shield atténuer les événements - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment AWS Shield atténuer les événements

La logique d'atténuation qui protège votre application peut varier en fonction de l'architecture de votre application. Lorsque vous protégez une application Web avec Amazon CloudFront et Amazon Route 53, vous bénéficiez de mesures d'atténuation spécifiques aux cas d'utilisation du Web et du DNS et qui protègent l'ensemble du trafic lié aux services. Lorsque le point d'entrée de votre application est une ressource qui s'exécute dans une AWS région, la logique d'atténuation varie en fonction du service, du type de ressource et de l'utilisation que vous en faites AWS Shield Advanced.

AWS Les systèmes d'atténuation des attaques DDoS sont développés par les ingénieurs de Shield et sont étroitement intégrés aux AWS services. Les ingénieurs prennent en compte les aspects de votre architecture tels que la capacité et l'état des ressources ciblées. Les ingénieurs de Shield surveillent en permanence l'efficacité et les performances des systèmes d'atténuation des attaques DDoS et sont en mesure de réagir rapidement lorsque de nouvelles menaces sont découvertes ou anticipées.

Vous pouvez concevoir votre application de manière à ce qu'elle évolue en réponse à un trafic ou à une charge élevés, afin de garantir qu'elle ne soit pas affectée par de faibles volumes de demandes. Si vous utilisez Shield Advanced pour protéger vos ressources, vous bénéficiez d'une couverture contre les augmentations inattendues de votre facture cloud qui pourraient survenir à la suite d'une attaque DDoS.

Atténuations liées aux infrastructures

Pour les attaques au niveau de l'infrastructure, des systèmes d'atténuation des attaques AWS Shield DDoS sont présents à la frontière du AWS réseau et aux emplacements AWS périphériques. La mise en place de plusieurs niveaux de contrôles de sécurité dans l'ensemble de l' AWS infrastructure fournit defense-in-depth à vos applications cloud.

Shield gère des systèmes d'atténuation des attaques DDoS à tous les points d'entrée depuis Internet. Lorsque Shield détecte une attaque DDoS, pour chaque point d'entrée, il redirige le trafic via les systèmes d'atténuation des attaques DDoS situés au même endroit. Cela n'introduit aucune latence supplémentaire observable et fournit une capacité d'atténuation de plus de TeraBits 100 Tbit/s dans toutes les AWS régions et tous les emplacements périphériques. Shield protège la disponibilité de vos ressources sans rediriger le trafic vers des centres de nettoyage externes ou distants, ce qui pourrait augmenter la latence.

  • À la frontière du AWS réseau, quel que soit le AWS service ou la ressource, les systèmes d'atténuation des attaques DDoS atténuent les attaques au niveau de l'infrastructure provenant d'Internet. Les systèmes effectuent leurs mesures d'atténuation lorsqu'ils sont signalés par le système de détection du Shield ou par un ingénieur de la Shield Response Team (SRT).

  • Sur les sites AWS périphériques, les systèmes d'atténuation des attaques DDoS inspectent en permanence chaque paquet transféré vers les CloudFront distributions Amazon et les zones hébergées Amazon Route 53, quelle que soit son origine. Au besoin, les systèmes appliquent des mesures d'atténuation spécifiquement conçues pour le trafic Web et DNS. Un autre avantage de l'utilisation d'Amazon CloudFront et d'Amazon Route 53 pour protéger vos applications Web est que les attaques DDoS sont immédiatement atténuées, sans qu'un signal de détection de Shield ne soit nécessaire.

Atténuations de la couche applicative

Shield Advanced fournit des mesures d'atténuation de la couche d'application Web pour les CloudFront distributions Amazon et les équilibreurs de charge d'application pour lesquels vous avez activé les protections Shield Advanced. Lorsque vous activez la protection, vous associez une ACL AWS WAF Web à la ressource afin de permettre la détection de la couche d'application Web. En outre, vous avez la possibilité d'activer l'atténuation automatique de la couche d'application, qui demande à Shield Advanced de gérer les protections pour vous lors d'une attaque DDoS.

Shield fournit uniquement des mesures d'atténuation personnalisées pour les attaques de la couche application sur les ressources pour lesquelles vous avez activé Shield Advanced et l'atténuation automatique de la couche application. Grâce à l'atténuation automatique, Shield Advanced impose une limite de AWS WAF débit aux demandes provenant de sources DDoS connues, et ajoute et gère automatiquement des AWS WAF protections personnalisées en réponse aux attaques DDoS détectées. Pour des informations détaillées sur les mesures d'atténuation de ce type, consultezComment Shield Advanced gère l'atténuation automatique.

Une règle basée sur le taux dans votre ACL Web, qu'elle soit ajoutée par vous-même ou par la fonctionnalité d'atténuation automatique de la couche d'application Shield Advanced, peut atténuer une attaque avant qu'elle n'atteigne un niveau détectable. Pour plus d'informations sur la détection, consultezLogique de détection des menaces pesant sur la couche applicative.