Logika deteksi untuk ancaman lapisan infrastruktur - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Logika deteksi untuk ancaman lapisan infrastruktur

Logika deteksi yang digunakan untuk melindungi yang ditargetkanAWSsumber daya terhadap serangan DDoS di lapisan infrastruktur (layer 3 dan layer 4) tergantung pada jenis sumber daya dan apakah sumber daya dilindungiAWS Shield Advanced.

Deteksi untuk Amazon CloudFront dan Amazon Route 53

Ketika Anda melayani aplikasi web Anda dengan CloudFront dan Route 53, semua paket untuk aplikasi diperiksa oleh sistem mitigasi DDoS sepenuhnya inline, yang tidak memperkenalkan latensi diamati. Serangan DDoS terhadap CloudFront distribusi dan Route 53 zona host dikurangi secara real time. Perlindungan ini berlaku terlepas dari apakah Anda menggunakanAWS Shield Advanced.

Ikuti praktik terbaik untuk menggunakan CloudFront dan Route 53 sebagai titik masuk aplikasi web Anda sedapat mungkin untuk deteksi tercepat dan mitigasi peristiwa DDoS.

Deteksi untukAWS Global Acceleratordan layanan regional

Deteksi tingkat sumber daya melindungiAWS Global Acceleratorakselerator standar dan sumber daya yang diluncurkanAWSWilayah, seperti Classic Load Balancer, Application Load Balancer, dan alamat IP Elastis (EIP). Jenis sumber daya ini dipantau untuk elevasi lalu lintas yang mungkin menunjukkan adanya serangan DDoS yang memerlukan mitigasi. Setiap menit, lalu lintas ke masing-masingAWSsumber daya dievaluasi. Jika lalu lintas ke sumber daya ditinggikan, pemeriksaan tambahan dilakukan untuk mengukur kapasitas sumber daya.

Shield melakukan pemeriksaan standar berikut:

  • Instans Amazon Elastic Compute Cloud (Amazon EC2), EIP yang terpasang pada instans Amazon EC2— Shield mengambil kapasitas dari sumber daya yang dilindungi. Kapasitas tergantung pada jenis instans target, ukuran instans, dan faktor lainnya seperti apakah instans menggunakan jaringan yang disempurnakan.

  • Penyeimbang Beban Klasik dan Application Load Balancer— Shield mengambil kapasitas dari node penyeimbang beban yang ditargetkan.

  • EIP yang melekat pada Network Load Balancer— Shield mengambil kapasitas dari penyeimbang beban yang ditargetkan. Kapasitas independen dari konfigurasi kelompok penyeimbang beban target.

  • AWS Global Acceleratorakselerator standar— Shield mengambil kapasitas, yang didasarkan pada konfigurasi endpoint.

Evaluasi ini terjadi di beberapa dimensi lalu lintas jaringan, seperti port dan protokol. Jika kapasitas sumber daya yang ditargetkan terlampaui, Shield menempatkan mitigasi DDoS. Mitigasi yang ditempatkan oleh Shield akan mengurangi lalu lintas DDoS, tetapi mungkin tidak menghilangkannya. Shield juga dapat menempatkan mitigasi jika sebagian kecil dari kapasitas sumber daya terlampaui pada dimensi lalu lintas yang konsisten dengan vektor serangan DDoS yang diketahui. Shield menempatkan mitigasi ini dengan waktu terbatas untuk hidup (TTL), yang meluas selama serangan berlangsung.

catatan

Mitigasi yang ditempatkan oleh Shield akan mengurangi lalu lintas DDoS, tetapi mungkin tidak menghilangkannya. Anda dapat menambah Shield dengan solusi sepertiAWS Network Firewallatau firewall on-host sepertiiptablesuntuk mencegah aplikasi Anda memproses lalu lintas yang tidak valid untuk aplikasi Anda atau tidak dihasilkan oleh pengguna akhir yang sah.

Perlindungan Shield Advanced menambahkan hal berikut ke aktivitas deteksi Shield yang ada:

  • Ambang batas deteksi lebih rendah— Shield Lanjutan menempatkan mitigasi pada satu setengah dari kapasitas yang dihitung. Ini dapat memberikan mitigasi lebih cepat untuk serangan yang meningkatkan secara perlahan dan mitigasi serangan yang memiliki tanda tangan volumetrik yang lebih ambigu.

  • Perlindungan serangan intermiten— Shield Advanced menempatkan mitigasi dengan waktu yang meningkat secara eksponensial untuk hidup (TTL), berdasarkan frekuensi dan durasi serangan. Hal ini membuat mitigasi di tempat lebih lama ketika sumber daya sering ditargetkan dan ketika serangan terjadi dalam ledakan singkat.

  • Deteksi berbasis kesehatan— Ketika Anda mengasosiasikan pemeriksaan kesehatan Route 53 dengan sumber daya yang dilindungi Shield Advanced, status pemeriksaan kesehatan digunakan dalam logika deteksi. Selama acara yang terdeteksi, jika pemeriksaan kesehatan sehat, Shield Advanced membutuhkan kepercayaan yang lebih besar bahwa acara tersebut adalah serangan sebelum melakukan mitigasi. Jika cek kesehatan tidak sehat, Shield Advanced mungkin menempatkan mitigasi bahkan sebelum kepercayaan telah ditetapkan. Fitur ini membantu menghindari positif palsu dan memberikan reaksi lebih cepat terhadap serangan yang mempengaruhi aplikasi Anda. Untuk informasi tentang pemeriksaan kesehatan dengan Shield Advanced, lihatMengkonfigurasi deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan.