Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Exemple d'architecture de DDoS résilience Shield Advanced pour les applications TCP et UDP

PDF
RSS
Mode de mise au point
Exemple d'architecture de DDoS résilience Shield Advanced pour les applications TCP et UDP - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cet exemple montre une architecture DDoS résiliente TCP et UDP des applications dans une AWS région qui utilise des instances Amazon Elastic Compute Cloud (AmazonEC2) ou des adresses IP élastiques (EIP).

Vous pouvez suivre cet exemple général pour améliorer DDoS la résilience des types d'applications suivants :

  • TCPou UDP des applications. Par exemple, les applications utilisées pour les jeux, l'IoT et la voix sur IP.

  • Applications Web qui nécessitent des adresses IP statiques ou qui utilisent des protocoles non pris CloudFront en charge par Amazon. Par exemple, votre application peut avoir besoin d'adresses IP que vos utilisateurs peuvent ajouter à leurs listes d'autorisation de pare-feu et qui ne sont utilisées par aucun autre AWS client.

Vous pouvez améliorer DDoS la résilience de ces types d'applications en introduisant Amazon Route 53 et AWS Global Accelerator. Ces services peuvent rediriger les utilisateurs vers votre application et fournir à celle-ci des adresses IP statiques qui sont acheminées de manière anycast sur le réseau périphérique AWS mondial. Les accélérateurs standard de Global Accelerator peuvent améliorer le temps de latence des utilisateurs jusqu'à 60 %. Si vous possédez une application Web, vous pouvez détecter et atténuer les inondations de demandes au niveau de la couche d'application Web en exécutant l'application sur un Application Load Balancer, puis en protégeant l'Application Load Balancer par un Web. AWS WAF ACL

Après avoir créé votre application, protégez vos zones hébergées Route 53, les accélérateurs standard de Global Accelerator et tous les équilibreurs de charge d'application avec Shield Advanced. Lorsque vous protégez vos équilibreurs de charge d'application, vous pouvez associer le AWS WAF Web ACLs et créer des règles basées sur le taux pour ceux-ci. Vous pouvez configurer un engagement proactif avec SRT les accélérateurs standard de votre Global Accelerator et vos équilibreurs de charge d'application en associant des bilans de santé Route 53 nouveaux ou existants. Pour en savoir plus sur les options, consultezProtection des ressources dans AWS Shield Advanced.

Le schéma de référence suivant décrit un exemple d'architecture DDoS résiliente pour les UDP applications TCP et les applications.

Le schéma montre les utilisateurs connectés à la Route 53 et à un AWS Global Accelerator. L'accélérateur est connecté à une icône Elastic Load Balancing protégée par AWS Shield Advanced et AWS WAF. L'Elastic Load Balancing est lui-même connecté à une EC2 instance Amazon. Cette instance d'Elastic Load Balancing et l'EC2instance Amazon se trouvent dans la région 1. AWS Global Accelerator Il est également directement connecté à une autre EC2 instance Amazon, qui ne se trouve pas derrière une instance protégée d'Elastic Load Balancing. Cette deuxième EC2 instance Amazon se trouve dans la région n.

Les avantages que cette approche apporte à votre application sont les suivants :

  • Protection contre les DDoS attaques de la plus grande couche d'infrastructure connue (couche 3 et couche 4). Si le volume d'une attaque provoque une congestion en amont AWS, la panne sera isolée au plus près de sa source et aura un impact minimisé sur vos utilisateurs légitimes.

  • Protection contre les attaques de la couche DNS application, car Route 53 est chargée de fournir des DNS réponses faisant autorité.

  • Si vous avez une application Web, cette approche fournit une protection contre les inondations de demandes au niveau de la couche d'application Web. La règle basée sur le taux que vous configurez dans votre source AWS WAF Web ACL bloque la source IPs lorsqu'ils envoient plus de demandes que la règle ne le permet.

  • Engagement proactif avec l'équipe Shield Response (SRT), si vous choisissez d'activer cette option pour les ressources éligibles. Lorsque Shield Advanced détecte un événement qui affecte l'état de santé de votre application, il SRT répond et communique de manière proactive avec vos équipes chargées de la sécurité ou des opérations en utilisant les informations de contact que vous fournissez.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.