Logika deteksi untuk ancaman lapisan infrastruktur - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Logika deteksi untuk ancaman lapisan infrastruktur

Logika deteksi yang digunakan untuk melindungi AWS sumber daya yang ditargetkan terhadap serangan DDoS di lapisan infrastruktur (lapisan 3 dan lapisan 4) tergantung pada jenis sumber daya dan apakah sumber daya dilindungi. AWS Shield Advanced

Deteksi untuk Amazon CloudFront dan Amazon Route 53

Ketika Anda melayani aplikasi web Anda dengan CloudFront dan Route 53, semua paket ke aplikasi diperiksa oleh sistem mitigasi DDoS sepenuhnya inline, yang tidak memperkenalkan latensi yang dapat diamati. Serangan DDoS terhadap CloudFront distribusi dan zona host Route 53 dikurangi secara real time. Perlindungan ini berlaku terlepas dari apakah Anda menggunakannya AWS Shield Advanced.

Ikuti praktik terbaik penggunaan CloudFront dan Route 53 sebagai titik masuk aplikasi web Anda sedapat mungkin untuk deteksi dan mitigasi peristiwa DDoS tercepat.

Deteksi untuk AWS Global Accelerator dan layanan regional

Deteksi tingkat sumber daya melindungi akselerator dan sumber daya AWS Global Accelerator standar yang diluncurkan di AWS Wilayah, seperti Classic Load Balancer, Application Load Balancer, dan alamat IP Elastis (EIP). Jenis sumber daya ini dipantau untuk peningkatan lalu lintas yang mungkin menunjukkan adanya serangan DDoS yang memerlukan mitigasi. Setiap menit, lalu lintas ke setiap AWS sumber daya dievaluasi. Jika lalu lintas ke sumber daya meningkat, pemeriksaan tambahan dilakukan untuk mengukur kapasitas sumber daya.

Shield melakukan pemeriksaan standar berikut:

  • Instans Amazon Elastic Compute Cloud (Amazon EC2), EIP yang dilampirkan ke instans Amazon EC2 — Shield mengambil kapasitas dari sumber daya yang dilindungi. Kapasitas tergantung pada jenis instans target, ukuran instans, dan faktor lain seperti apakah instance menggunakan jaringan yang disempurnakan.

  • Classic Load Balancers dan Application Load Balancers — Shield mengambil kapasitas dari node load balancer yang ditargetkan.

  • EIP yang terpasang pada Network Load Balancers — Shield mengambil kapasitas dari penyeimbang beban yang ditargetkan. Kapasitas tidak tergantung pada konfigurasi grup penyeimbang beban target.

  • AWS Global Accelerator akselerator standar - Shield mengambil kapasitas, yang didasarkan pada konfigurasi titik akhir.

Evaluasi ini terjadi di berbagai dimensi lalu lintas jaringan, seperti port dan protokol. Jika kapasitas sumber daya yang ditargetkan terlampaui, Shield menempatkan mitigasi DDoS. Mitigasi yang ditempatkan oleh Shield akan mengurangi lalu lintas DDoS, tetapi mungkin tidak menghilangkannya. Shield juga dapat menempatkan mitigasi jika sebagian kecil dari kapasitas sumber daya terlampaui pada dimensi lalu lintas yang konsisten dengan vektor serangan DDoS yang diketahui. Shield menempatkan mitigasi ini dengan waktu terbatas untuk hidup (TTL), yang diperpanjang selama serangan sedang berlangsung.

catatan

Mitigasi yang ditempatkan oleh Shield akan mengurangi lalu lintas DDoS, tetapi mungkin tidak menghilangkannya. Anda dapat menambahkan Shield dengan solusi seperti AWS Network Firewall atau firewall on-host seperti iptables untuk mencegah aplikasi Anda memproses lalu lintas yang tidak valid untuk aplikasi Anda atau tidak dihasilkan oleh pengguna akhir yang sah.

Perlindungan Shield Advanced menambahkan hal berikut ke aktivitas deteksi Shield yang ada:

  • Ambang batas deteksi yang lebih rendah — Shield Advanced menempatkan mitigasi pada setengah dari kapasitas yang dihitung. Ini dapat memberikan mitigasi yang lebih cepat untuk serangan yang meningkat perlahan dan mitigasi serangan yang memiliki tanda tangan volumetrik yang lebih ambigu.

  • Perlindungan serangan intermiten — Shield Advanced menempatkan mitigasi dengan waktu hidup yang meningkat secara eksponensial (TTL), berdasarkan frekuensi dan durasi serangan. Ini membuat mitigasi di tempat lebih lama ketika sumber daya sering ditargetkan dan ketika serangan terjadi dalam ledakan singkat.

  • Deteksi berbasis kesehatan — Saat Anda mengaitkan pemeriksaan kesehatan Route 53 dengan sumber daya yang dilindungi Shield Advanced, status pemeriksaan kesehatan digunakan dalam logika deteksi. Selama peristiwa yang terdeteksi, jika pemeriksaan kesehatan sehat, Shield Advanced membutuhkan keyakinan yang lebih besar bahwa acara tersebut adalah serangan sebelum melakukan mitigasi. Jika sebaliknya pemeriksaan kesehatan tidak sehat, Shield Advanced mungkin menempatkan mitigasi bahkan sebelum kepercayaan telah ditetapkan. Fitur ini membantu menghindari kesalahan positif dan memberikan reaksi lebih cepat terhadap serangan yang memengaruhi aplikasi Anda. Untuk informasi tentang pemeriksaan kesehatan dengan Shield Advanced, lihatDeteksi berbasis kesehatan menggunakan pemeriksaan kesehatan.