Bagaimana Shield Advanced mengelola mitigasi otomatis - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Shield Advanced mengelola mitigasi otomatis

Topik di bagian menjelaskan bagaimana Shield Advanced menangani perubahan konfigurasi Anda untuk mitigasi DDoS lapisan aplikasi otomatis dan cara menangani serangan DDoS saat mitigasi otomatis diaktifkan.

Hal yang akan terjadi jika Anda mengaktifkan mitigasi otomatis

Shield Advanced melakukan hal berikut saat Anda mengaktifkan mitigasi otomatis:

  • Sesuai kebutuhan, tambahkan grup aturan untuk penggunaan Shield Advanced— JikaAWS WAFweb ACL yang telah Anda kaitkan dengan sumber daya belum memilikiAWS WAFpernyataan referensi kelompok aturan yang didedikasikan untuk mitigasi DDoS lapisan aplikasi otomatis, Shield Advanced menambahkan satu. Nama pernyataan referensi grup aturan dimulai denganShieldMitigationRuleGroup. Untuk detail tambahan tentang grup aturan ini, lihatPernyataan referensi kelompok aturan Shield Advanced.

  • Mulai menanggapi serangan DDoS terhadap sumber daya— Shield Advanced secara otomatis merespons serangan DDoS untuk sumber daya yang dilindungi. Shield Advanced menggunakan grup aturan untuk menyebarkanAWS WAFaturan untuk mitigasi serangan DDoS. Shield Advanced menyesuaikan aturan ini dengan aplikasi Anda dan serangan yang dialami aplikasi Anda, dan mengujinya terhadap lalu lintas historis sumber daya sebelum menerapkannya. Bagian yang mengikuti memberikan informasi lebih lanjut tentang bagaimana Shield Advanced melakukan hal ini.

Shield Advanced menggunakan pernyataan referensi grup aturan tunggal di ACL web apa pun yang Anda gunakan untuk mitigasi otomatis. Jika Anda sudah menggunakan web ACL untuk mitigasi otomatis, Shield Advanced tidak menambahkan grup aturan lain ke dalamnya. Otomatis lapisan aplikasi DDoS mitigasi tergantung pada kehadiran kelompok aturan untuk mengurangi serangan. Jika grup aturan dihapus dariAWS WAFweb ACL untuk alasan apapun, penghapusan menonaktifkan mitigasi otomatis untuk semua sumber daya yang terkait dengan web ACL.

Bagaimana Shield Advanced merespons serangan DDoS dengan mitigasi otomatis

Ketika Shield Advanced mendeteksi serangan terhadap sumber daya yang dilindungi yang memiliki mitigasi otomatis diaktifkan, ia melakukan hal berikut:

  1. Upaya untuk mengidentifikasi tanda tangan serangan yang mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda. Tujuannya adalah untuk menghasilkan aturan mitigasi DDoS berkualitas tinggi yang, ketika ditempatkan, hanya mempengaruhi lalu lintas serangan dan tidak memengaruhi lalu lintas normal ke aplikasi Anda.

  2. Mengevaluasi tanda tangan serangan yang diidentifikasi terhadap pola lalu lintas historis untuk sumber daya yang sedang diserang serta untuk sumber daya lain yang terkait dengan web ACL yang sama. Shield Advanced melakukan ini sebelum menerapkan aturan apa pun sebagai respons terhadap kejadian tersebut.

    Tergantung pada hasil evaluasi, Shield Advanced melakukan salah satu langkah berikut:

    • Jika Shield Advanced menentukan bahwa tanda tangan serangan hanya mengisolasi lalu lintas yang terlibat dalam serangan DDoS, itu mengimplementasikan tanda tangan diAWS WAFaturan di bawah grup aturan mitigasi Shield Advanced di web ACL. Shield Advanced memberikan aturan ini pengaturan tindakan yang telah Anda konfigurasi untuk mitigasi otomatis sumber daya - baikCOUNTatauBLOCK.

    • Jika tidak, Shield Advanced tidak menempatkan mitigasi.

Sepanjang serangan, Shield Advanced mengirimkan notifikasi yang sama dan memberikan informasi peristiwa yang sama seperti perlindungan lapisan aplikasi Shield Advanced dasar. Anda dapat melihat informasi tentang peristiwa dan serangan DDoS, dan tentang mitigasi Shield Advanced untuk serangan, di konsol acara Shield Advanced. Untuk informasi, lihat Visibilitas ke dalam acara DDoS.

Jika Anda telah mengkonfigurasi mitigasi otomatis untuk menggunakanBLOCKtindakan aturan dan Anda mengalami positif palsu dari aturan mitigasi yang telah diterapkan Shield Advanced, Anda dapat mengubah tindakan aturan menjadiCOUNT. Untuk informasi tentang cara melakukannya, lihatMengubah tindakan yang digunakan untuk mitigasi DDoS lapisan aplikasi otomatis.

Hal yang akan terjadi jika Anda mengubah pengaturan tindakan aturan

Ketika Anda mengubah pengaturan tindakan aturan mitigasi otomatis untuk sumber daya yang dilindungi, Shield Advanced memperbarui semua pengaturan aturan untuk sumber daya. Ini memperbarui aturan apa pun yang saat ini ada untuk sumber daya dalam grup aturan terkelola dan menggunakan pengaturan tindakan baru saat membuat aturan baru.

Mengubah pengaturan tindakan dapat memakan waktu beberapa detik untuk menyebar. Selama waktu ini, Anda mungkin melihat pengaturan lama di beberapa tempat di mana grup aturan sedang digunakan, dan pengaturan baru di tempat lain.

Anda dapat mengubah pengaturan tindakan aturan untuk konfigurasi mitigasi otomatis Anda di halaman peristiwa konsol, dan melalui halaman konfigurasi lapisan aplikasi. Untuk informasi tentang halaman acara, lihatMenanggapi peristiwa DDoS. Untuk informasi tentang halaman konfigurasi, lihatMengkonfigurasi perlindungan DDoS lapisan aplikasi.

Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda

Ketika Shield Advanced menentukan bahwa aturan mitigasi yang digunakan untuk serangan tertentu tidak lagi diperlukan, aturan tersebut akan menghapusnya dari grup aturan mitigasi Shield Advanced.

Penghapusan aturan mitigasi tidak akan selalu bertepatan dengan berakhirnya serangan. Shield Advanced memonitor pola serangan yang terdeteksi pada sumber daya Anda yang dilindungi. Ini mungkin secara proaktif membela terhadap terulangnya serangan dengan tanda tangan tertentu dengan menjaga aturan yang telah dikerahkan terhadap terjadinya awal serangan itu di tempat. Seperti yang diperlukan, Shield Advanced meningkatkan jendela waktu yang menjaga aturan di tempat. Dengan cara ini, Shield Advanced dapat mengurangi serangan berulang dengan tanda tangan tertentu sebelum memengaruhi sumber daya Anda yang dilindungi.

Hal yang akan terjadi jika Anda menonaktifkan mitigasi otomatis

Shield Advanced melakukan hal berikut saat Anda menonaktifkan mitigasi otomatis untuk sumber daya:

  • Berhenti secara otomatis merespons serangan DDoS— Shield Advanced menghentikan aktivitas respons otomatisnya untuk sumber daya.

  • Menghapus aturan yang tidak dibutuhkan dari grup aturan Shield Advanced— Jika Shield Advanced mempertahankan aturan apa pun dalam grup aturan yang dikelola atas nama sumber daya yang dilindungi, maka Shield Advanced akan menghapusnya.

  • Menghapus grup aturan Shield Advanced, jika tidak lagi digunakan— Jika ACL web yang Anda kaitkan dengan sumber daya tidak terkait dengan sumber daya lain yang mengaktifkan mitigasi otomatis, Shield Advanced menghapus pernyataan referensi grup aturannya dari ACL web.