Gestion de l'atténuation automatique des attaques DDoS au niveau de l'application

Suivez les instructions de cette section pour gérer les configurations d'atténuation automatique des attaques DDoS au niveau de la couche application. Pour plus d'informations sur le fonctionnement de l'atténuation automatique, consultez les rubriques précédentes.

Note

Suivez les meilleures pratiques décrites surBonnes pratiques pour l'utilisation de l'atténuation automatique.

Affichage de la configuration d'atténuation automatique des attaques DDoS au niveau de la couche d'application pour une ressource

Vous pouvez consulter la configuration automatique de l'atténuation des attaques DDoS au niveau de la couche application pour une ressource sur la page Ressources protégées et sur les pages de protection individuelles.

Pour consulter la configuration automatique de l'atténuation des attaques DDoS au niveau de la couche d'application

1. Connectez-vous à la console AWS WAF & Shield AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

2. Dans le volet AWS Shield de navigation, sélectionnez Ressources protégées. Dans la liste des ressources protégées, la colonne Atténuation automatique des attaques DDoS au niveau de la couche d'application indique si l'atténuation automatique est activée et, le cas échéant, l'action que Shield Advanced doit utiliser pour ses mesures d'atténuation.

   Vous pouvez également sélectionner n'importe quelle ressource de la couche application pour voir les mêmes informations répertoriées sur la page de protection de la ressource.

Activation et désactivation de l'atténuation automatique des attaques DDoS au niveau de la couche applicative

La procédure suivante indique comment activer ou désactiver la réponse automatique pour une ressource protégée.

Pour activer ou désactiver l'atténuation automatique des attaques DDoS au niveau de la couche application pour une seule ressource

1. Connectez-vous à la console AWS WAF & Shield AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

2. Dans le volet AWS Shield de navigation, sélectionnez Ressources protégées.

3. Dans l'onglet Protections, sélectionnez la ressource de couche d'application pour laquelle vous souhaitez activer l'atténuation automatique. La page de protection de la ressource s'ouvre.

4. Sur la page de protection de la ressource, choisissez Modifier.

5. Sur la page Configurer l'atténuation des attaques DDoS de la couche 7 pour les ressources globales (facultatif), dans Atténuation automatique des attaques DDoS au niveau de la couche application, choisissez l'option que vous souhaitez utiliser pour les atténuations automatiques. Les options de la console sont les suivantes :

   • Conserver les paramètres actuels : n'apportez aucune modification aux paramètres d'atténuation automatique de la ressource protégée.

   • Activer — Activez l'atténuation automatique pour la ressource protégée. Lorsque vous choisissez cette option, sélectionnez également l'action de règle que vous souhaitez que les atténuations automatiques utilisent dans les règles ACL Web. Pour plus d'informations sur les paramètres d'action des règles, consultezAction de la règle.

     Si votre ressource protégée n'a pas encore d'historique du trafic normal des applications, activez l'atténuation automatique en Count mode jusqu'à ce que Shield Advanced puisse établir une base de référence. Shield Advanced commence à collecter des informations pour sa base de référence lorsque vous associez une ACL Web à votre ressource protégée, et l'établissement d'une bonne base de trafic normal peut prendre de 24 heures à 30 jours.

   • Désactiver : désactive l'atténuation automatique pour la ressource protégée.

6. Parcourez le reste des pages jusqu'à ce que vous ayez terminé et enregistrez la configuration.

Sur la page Protections, les paramètres d'atténuation automatique sont mis à jour pour la ressource.

Modification de l'action utilisée pour l'atténuation automatique des attaques DDoS au niveau de la couche applicative

Vous pouvez modifier l'action utilisée par Shield Advanced pour sa réponse automatique de la couche application à plusieurs emplacements de la console :

• Configuration de l'atténuation automatique : modifiez l'action lorsque vous configurez l'atténuation automatique pour votre ressource. Pour la procédure, reportez-vous à la section précédenteActivation et désactivation de l'atténuation automatique des attaques DDoS au niveau de la couche applicative.

• Page de détails de l'événement : modifiez l'action dans la page des détails de l'événement lorsque vous consultez les informations relatives à l'événement dans la console. Pour plus d’informations, consultez AWS Shield Advanced détails de l'événement.

Si vous avez deux ressources protégées qui partagent une ACL Web et que vous définissez l'action sur l'une et Count Block pour l'autre, Shield Advanced définit l'action de la règle ShieldKnownOffenderIPRateBasedRule basée sur le taux du groupe de règles sur. Block

Utilisation AWS CloudFormation avec atténuation automatique des attaques DDoS au niveau de la couche applicative

Découvrez comment utiliser pour AWS CloudFormation gérer vos protections et vos ACL AWS WAF Web.

Activation ou désactivation de l'atténuation automatique des attaques DDoS au niveau de la couche applicative

Vous pouvez activer et désactiver l'atténuation automatique des attaques DDoS au AWS CloudFormation niveau de la couche application en utilisant la AWS::Shield::Protection ressource. L'effet est le même que lorsque vous activez ou désactivez la fonctionnalité via la console ou toute autre interface. Pour plus d'informations sur AWS CloudFormation cette ressource, reportez-vous AWS::Shield::Protectionau guide de l'AWS CloudFormation utilisateur.

Gestion des ACL Web utilisées avec atténuation automatique

Shield Advanced gère l'atténuation automatique de votre ressource protégée à l'aide d'une règle de groupe de règles dans l'ACL AWS WAF Web de la ressource protégée. Par le biais de la AWS WAF console et des API, vous verrez la règle répertoriée dans vos règles ACL Web, avec un nom commençant parShieldMitigationRuleGroup. Cette règle est dédiée à l'atténuation automatique des attaques DDoS au niveau de la couche applicative et est gérée pour vous par Shield Advanced et AWS WAF. Pour plus d’informations, consultez Le groupe de règles Shield Advanced et Comment Shield Advanced gère l'atténuation automatique.

Si vous avez l' AWS CloudFormation habitude de gérer vos ACL Web, n'ajoutez pas la règle de groupe de règles Shield Advanced à votre modèle d'ACL Web. Lorsque vous mettez à jour une ACL Web qui est utilisée avec vos protections d'atténuation automatiques, gère AWS WAF automatiquement la règle du groupe de règles dans l'ACL Web.

Vous constaterez les différences suivantes par rapport aux autres ACL Web par le biais AWS CloudFormation desquelles vous gérez :

• AWS CloudFormation ne signalera aucune dérive de l'état de dérive de la pile entre la configuration réelle de l'ACL Web, avec la règle du groupe de règles Shield Advanced, et votre modèle d'ACL Web, sans la règle. La règle Shield Advanced n'apparaîtra pas dans la liste réelle de la ressource dans les détails de dérive.

  Vous pourrez voir la règle du groupe de règles Shield Advanced dans les listes d'ACL Web que vous recherchez AWS WAF, par exemple via la AWS WAF console ou les AWS WAF API.

• Si vous modifiez le modèle d'ACL Web dans une pile AWS WAF et que Shield Advanced conserve automatiquement la règle d'atténuation automatique Shield Advanced dans l'ACL Web mise à jour. Les protections d'atténuation automatiques fournies par Shield Advanced ne sont pas interrompues par votre mise à jour de l'ACL Web.

Ne gérez pas la règle Shield Advanced dans votre modèle ACL AWS CloudFormation Web. Le modèle ACL Web ne doit pas répertorier la règle Shield Advanced. Suivez les meilleures pratiques en matière de gestion des ACL Web à l'adresseBonnes pratiques pour l'utilisation de l'atténuation automatique.