Défense de la couche d'infrastructure (BP1BP3,BP6,,BP7)

Dans un environnement de centre de données traditionnel, vous pouvez atténuer les DDoS attaques au niveau de l'infrastructure en utilisant des techniques telles que le surprovisionnement de la capacité, le déploiement de systèmes DDoS d'atténuation ou le nettoyage du trafic à l'aide de services d'atténuation. DDoS Oui AWS, les fonctionnalités DDoS d'atténuation sont automatiquement fournies, mais vous pouvez optimiser la DDoS résilience de votre application en faisant des choix d'architecture qui tirent le meilleur parti de ces fonctionnalités et vous permettent également de vous adapter au trafic excédentaire.

Les principales considérations à prendre en compte pour atténuer les DDoS attaques volumétriques incluent la garantie d'une capacité de transit et d'une diversité suffisantes et la protection AWS des ressources, telles que les EC2 instances Amazon, contre le trafic d'attaque.

Certains types d'EC2instances Amazon prennent en charge des fonctionnalités permettant de gérer plus facilement de gros volumes de trafic, par exemple des interfaces de bande passante réseau allant jusqu'à 100 Gbit/s et une mise en réseau améliorée. Cela permet d'éviter la congestion de l'interface pour le trafic qui a atteint l'EC2instance Amazon. Les instances qui prennent en charge la mise en réseau améliorée offrent des performances d'entrée/sortie (E/S) supérieures, une bande passante plus élevée et une CPU utilisation plus faible par rapport aux implémentations traditionnelles. Cela améliore la capacité de l'instance à gérer de gros volumes de trafic et, en fin de compte, la rend très résiliente face à la charge de paquets par seconde (pps).

Pour permettre ce haut niveau de résilience, il est AWS recommandé d'utiliser des instances Amazon EC2 Dedicated, ou des EC2 instances Amazon avec un débit réseau plus élevé, dotées du suffixe N « » et prenant en charge la mise en réseau améliorée avec jusqu'à 100 Gbit/s de bande passante réseau, par exemple, c5n.18xlarge et/ou c6gn.16xlarge des instances métalliques (telles que). c5n.metal

Pour plus d'informations sur les EC2 instances Amazon qui prennent en charge les interfaces réseau 100 Gigabit et la mise en réseau améliorée, consultez la section Types d'EC2instances Amazon.

Le module requis pour une mise en réseau améliorée et le jeu d'enaSupportattributs requis sont inclus dans Amazon Linux 2 et les dernières versions d'Amazon LinuxAMI. Par conséquent, si vous lancez une instance avec une version matérielle de machine virtuelle (HVM) d'Amazon Linux sur un type d'instance pris en charge, la mise en réseau améliorée est déjà activée pour votre instance. Pour plus d'informations, reportez-vous aux sections Tester si la mise en réseau améliorée est activée et Mise en réseau améliorée sous Linux.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques en matière DDoS d'atténuation

Amazon EC2 avec Auto Scaling (BP7)