Elastic Load Balancing (BP6)

DDoSLes attaques de grande envergure peuvent dépasser la capacité d'une seule EC2 instance Amazon. Avec Elastic Load Balancing (ELB), vous pouvez réduire le risque de surcharge de votre application en répartissant le trafic entre de nombreuses instances de backend. Elastic Load Balancing peut évoluer automatiquement, ce qui vous permet de gérer des volumes plus importants lorsque vous êtes confronté à un trafic supplémentaire imprévu, par exemple en raison d'une affluence soudaine ou d'DDoSattaques. Pour les applications créées au sein d'un AmazonVPC, trois types sont ELBs à prendre en compte, en fonction de votre type d'application : Application Load Balancer (ALB), Network Load Balancer () et Classic Load Balancer NLB (). CLB

Pour les applications Web, vous pouvez utiliser l'Application Load Balancer pour acheminer le trafic en fonction du contenu et n'accepter que des requêtes Web bien formulées. Application Load Balancer bloque de nombreuses DDoS attaques courantes, telles que les attaques par SYN inondation ou par UDP réflexion, protégeant ainsi votre application contre ces attaques. Application Load Balancer s'adapte automatiquement pour absorber le trafic supplémentaire lorsque ces types d'attaques sont détectés. La mise à l'échelle des activités liées aux attaques visant la couche d'infrastructure est transparente pour AWS les clients et n'a aucune incidence sur votre facture.

Pour plus d'informations sur la protection des applications Web avec Application Load Balancer, reportez-vous à Getting Started with Application Load Balancers.

Pour les HTTPS applications HTTP autres que/, vous pouvez utiliser Network Load Balancer pour acheminer le trafic vers des cibles (par exemple, des EC2 instances Amazon) avec une latence extrêmement faible. L'une des principales considérations relatives à Network Load Balancer est que tout TCP SYN le UDP trafic qui atteint l'équilibreur de charge sur un écouteur valide sera acheminé vers vos cibles et non absorbé. Toutefois, cela ne s'applique pas aux TLS -listeners qui mettent fin à la connexion. TCP Pour les équilibreurs de charge réseau dotés d'TCPécouteurs, nous recommandons de déployer Global Accelerator pour les protéger contre SYN les inondations.

Vous pouvez utiliser Shield Advanced pour configurer DDoS la protection des adresses IP Elastic. Lorsqu'une adresse IP élastique est attribuée par zone de disponibilité au Network Load Balancer, Shield Advanced applique les DDoS protections appropriées au trafic du Network Load Balancer.

Pour plus d'informations sur la protection TCP et UDP les applications avec Network Load Balancer, reportez-vous à Getting started with Network Load Balancers.

Note

Selon la configuration du groupe de sécurité, la ressource utilisant le groupe de sécurité doit utiliser le suivi des connexions pour suivre les informations sur le trafic. Cela peut affecter la capacité de l'équilibreur de charge à traiter les nouvelles connexions, car le nombre de connexions suivies est limité.

Une configuration de groupe de sécurité qui contient une règle d'entrée acceptant le trafic provenant de n'importe quelle adresse IP (par exemple, 0.0.0.0/0 ou::/0), mais qui n'a pas de règle correspondante pour autoriser le trafic de réponse, amène le groupe de sécurité à utiliser les informations de suivi des connexions pour autoriser l'envoi du trafic de réponse. En cas d'DDoSattaque, le nombre maximum de connexions suivies peut être épuisé. Pour améliorer la DDoS résilience de votre Application Load Balancer ou Classic Load Balancer destiné au public, assurez-vous que le groupe de sécurité associé à votre équilibreur de charge est configuré pour ne pas utiliser le suivi des connexions (connexions non suivies), afin que le flux de trafic ne soit pas soumis aux limites de suivi des connexions.

Pour cela, configurez votre groupe de sécurité avec une règle qui autorise la règle entrante à accepter les TCP flux provenant de n'importe quelle adresse IP (0.0.0.0/0ou::/0), et ajoutez une règle correspondante dans le sens sortant permettant à cette ressource d'envoyer le trafic de réponse (autoriser la plage sortante pour n'importe quelle adresse IP 0.0.0.0/0 ou::/0) pour tous les ports (0-65535), afin que le trafic de réponse soit autorisé sur la base de la règle du groupe de sécurité et non sur les informations de suivi. Grâce à cette configuration, Classic et Application Load Balancer ne sont pas soumis aux limites de suivi des connexions épuisées qui peuvent affecter l'établissement de nouvelles connexions à ses nœuds d'équilibreur de charge, et leur permet d'évoluer en fonction de l'augmentation du trafic en cas d'attaque. DDoS Vous trouverez de plus amples informations sur les connexions non suivies à l'adresse suivante : Suivi des connexions des groupes de sécurité : connexions non suivies.

Éviter le suivi des connexions du groupe de sécurité n'est utile que dans les cas où le DDoS trafic provient d'une source autorisée par le groupe de sécurité. Le DDoS trafic provenant de sources non autorisées dans le groupe de sécurité n'affecte pas le suivi des connexions. Dans ces cas, il n'est pas nécessaire de reconfigurer vos groupes de sécurité pour éviter le suivi des connexions, par exemple, si votre liste d'autorisations de groupes de sécurité comprend des plages d'adresses IP en lesquelles vous avez un haut degré de confiance, comme un pare-feu d'entreprise ou une VPN sortie IPs sécurisée ou. CDNs

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon EC2 avec Auto Scaling (BP7)

Utiliser les emplacements AWS Edge pour la mise à l'échelle (BP1,BP3)