Praktik terbaik untuk menggunakan mitigasi otomatis - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk menggunakan mitigasi otomatis

Patuhi panduan yang disediakan di bagian ini saat Anda menggunakan mitigasi otomatis.

Manajemen perlindungan umum

Ikuti panduan ini untuk merencanakan dan menerapkan perlindungan mitigasi otomatis Anda.

  • Kelola semua perlindungan mitigasi otomatis Anda baik melalui Shield Advanced atau, jika Anda menggunakannya AWS Firewall Manager untuk mengelola pengaturan mitigasi otomatis Shield Advanced, melalui Firewall Manager. Jangan mencampur penggunaan Shield Advanced dan Firewall Manager untuk mengelola perlindungan ini.

  • Kelola sumber daya serupa menggunakan ACL web dan pengaturan perlindungan yang sama, dan kelola sumber daya yang berbeda menggunakan ACL web yang berbeda. Ketika Shield Advanced mengurangi serangan DDoS pada sumber daya yang dilindungi, ia mendefinisikan aturan untuk ACL web yang terkait dengan sumber daya dan kemudian menguji aturan terhadap lalu lintas semua sumber daya yang terkait dengan ACL web. Shield Advanced hanya akan menerapkan aturan jika aturan tersebut tidak berdampak negatif terhadap sumber daya terkait. Untuk informasi selengkapnya, lihat Bagaimana Shield Advanced mengelola mitigasi otomatis.

  • Untuk Application Load Balancer yang memiliki semua lalu lintas internet mereka diproksi melalui CloudFront distribusi Amazon, hanya aktifkan mitigasi otomatis pada distribusi. CloudFront CloudFront Distribusi akan selalu memiliki jumlah atribut lalu lintas asli terbesar, yang dimanfaatkan Shield Advanced untuk mengurangi serangan.

Pengoptimalan deteksi dan mitigasi

Ikuti panduan ini untuk mengoptimalkan perlindungan yang diberikan mitigasi otomatis terhadap sumber daya yang dilindungi. Untuk ikhtisar deteksi dan mitigasi lapisan aplikasi, lihat. Deteksi dan mitigasi

  • Konfigurasikan pemeriksaan kesehatan untuk sumber daya yang dilindungi dan gunakan untuk mengaktifkan deteksi berbasis kesehatan di perlindungan Shield Advanced Anda. Untuk panduan, lihat Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan.

  • Aktifkan mitigasi otomatis dalam Count mode hingga Shield Advanced menetapkan garis dasar untuk lalu lintas normal dan bersejarah. Shield Advanced membutuhkan dari 24 jam hingga 30 hari untuk menetapkan baseline.

    Menetapkan dasar pola lalu lintas normal membutuhkan hal-hal berikut:

    • Asosiasi ACL web dengan sumber daya yang dilindungi. Anda dapat menggunakan AWS WAF langsung untuk mengaitkan ACL web Anda atau Anda dapat meminta Shield Advanced mengaitkannya saat Anda mengaktifkan perlindungan lapisan aplikasi Shield Advanced dan menentukan ACL web yang akan digunakan.

    • Arus lalu lintas normal ke aplikasi Anda yang dilindungi. Jika aplikasi Anda tidak mengalami lalu lintas normal, seperti sebelum aplikasi diluncurkan atau jika tidak memiliki lalu lintas produksi untuk jangka waktu yang lama, data historis tidak dapat dikumpulkan.

Manajemen ACL web

Ikuti panduan ini untuk mengelola ACL web yang Anda gunakan dengan mitigasi otomatis.

  • Jika Anda perlu mengganti ACL web yang terkait dengan sumber daya yang dilindungi, buat perubahan berikut secara berurutan:

    1. Di Shield Advanced, nonaktifkan mitigasi otomatis.

    2. Di AWS WAF, pisahkan ACL web lama dan kaitkan ACL web baru.

    3. Di Shield Advanced, aktifkan mitigasi otomatis.

    Shield Advanced tidak secara otomatis mentransfer mitigasi otomatis dari ACL web lama ke yang baru.

  • Jangan hapus aturan grup aturan apa pun dari ACL web Anda yang namanya dimulai denganShieldMitigationRuleGroup. Jika Anda menghapus grup aturan ini, Anda menonaktifkan perlindungan yang disediakan oleh mitigasi otomatis Shield Advanced untuk setiap sumber daya yang terkait dengan ACL web. Selain itu, diperlukan Shield Advanced beberapa waktu untuk menerima pemberitahuan perubahan dan memperbarui pengaturannya. Selama waktu ini, halaman konsol Shield Advanced akan memberikan informasi yang salah.

    Untuk informasi selengkapnya tentang grup aturan, lihatGrup aturan Shield Advanced.

  • Jangan mengubah nama aturan grup aturan yang namanya dimulai denganShieldMitigationRuleGroup. Melakukannya dapat mengganggu perlindungan yang diberikan oleh mitigasi otomatis Shield Advanced melalui ACL web.

  • Saat Anda membuat aturan dan grup aturan, jangan gunakan nama yang dimulai denganShieldMitigationRuleGroup. String ini digunakan oleh Shield Advanced untuk mengelola mitigasi otomatis Anda.

  • Dalam pengelolaan aturan ACL web Anda, jangan tetapkan pengaturan prioritas 10.000.000. Shield Advanced menetapkan pengaturan prioritas ini ke aturan grup aturan mitigasi otomatis saat menambahkannya.

  • Pertahankan ShieldMitigationRuleGroup aturan yang diprioritaskan sehingga berjalan ketika Anda menginginkannya sehubungan dengan aturan lain di ACL web Anda. Shield Advanced menambahkan aturan grup aturan ke ACL web dengan prioritas 10.000.000, untuk menjalankan aturan Anda yang lain. Jika Anda menggunakan wizard AWS WAF konsol untuk mengelola ACL web Anda, sesuaikan pengaturan prioritas sesuai kebutuhan setelah Anda menambahkan aturan ke ACL web.

  • Jika Anda menggunakan AWS CloudFormation untuk mengelola ACL web Anda, Anda tidak perlu mengelola ShieldMitigationRuleGroup aturan grup aturan. Ikuti bimbingan diMenggunakan AWS CloudFormation dengan mitigasi DDoS lapisan aplikasi otomatis.