AWS ShieldLogika mitigasi untuk CloudFront dan Route 53 - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS ShieldLogika mitigasi untuk CloudFront dan Route 53

Mitigasi Shield DDoS terus memeriksa lalu lintas CloudFront dan Route 53. Layanan ini beroperasi dari jaringan yang didistribusikan secara globalAWSlokasi edge yang memberi Anda akses luas ke kapasitas mitigasi DDoS Shield dan mengirimkan aplikasi Anda dari infrastruktur yang lebih dekat dengan pengguna akhir Anda.

  • CloudFront- Mitigasi Shield DDoS hanya memungkinkan lalu lintas yang berlaku untuk aplikasi web untuk diteruskan ke layanan. Ini memberikan perlindungan otomatis terhadap banyak vektor DDoS umum, seperti serangan refleksi UDP.

    CloudFront mempertahankan koneksi persisten ke asal aplikasi Anda, banjir TCP SYN secara otomatis dikurangi melalui integrasi dengan fitur proxy Shield TCP SYN, dan Transport Layer Security (TLS) diakhiri di tepi. Fitur gabungan ini memastikan bahwa asal aplikasi Anda hanya menerima permintaan web yang terbentuk dengan baik dan dilindungi dari serangan DDoS lapisan bawah, banjir koneksi, dan penyalahgunaan TLS.

    CloudFront menggunakan kombinasi arah lalu lintas DNS dan perutean anycast. Teknik-teknik ini meningkatkan ketahanan aplikasi Anda dengan mengurangi serangan yang dekat dengan sumber, memberikan isolasi kesalahan, dan memastikan akses ke kapasitas untuk mengurangi serangan terbesar yang diketahui.

  • Route 53- Mitigasi Shield hanya memungkinkan permintaan DNS yang valid untuk mencapai layanan. Shield mengurangi banjir kueri DNS menggunakan penilaian kecurigaan yang memprioritaskan kueri bagus yang diketahui dan menghilangkan prioritas kueri yang berisi atribut serangan DDoS yang mencurigakan atau diketahui.

    Route 53 menggunakan shuffle sharding untuk menyediakan satu set unik empat alamat IP resolver ke setiap zona host, untuk IPv4 dan IPv6. Setiap alamat IP sesuai dengan subset yang berbeda dari lokasi Route 53. Setiap subset lokasi terdiri dari server DNS otoritatif yang hanya sebagian tumpang tindih dengan infrastruktur di bagian lain. Hal ini memastikan bahwa jika permintaan pengguna gagal karena alasan apapun, itu akan berhasil dilayani pada percobaan ulang.

    Route 53 menggunakan perutean anycast untuk mengarahkan kueri DNS ke lokasi edge terdekat, berdasarkan kedekatan jaringan. Anycast juga penggemar lalu lintas DDoS ke banyak lokasi edge, yang mencegah serangan dari fokus pada satu lokasi.

Selain kecepatan mitigasi, CloudFront dan Route 53 menyediakan akses luas ke kapasitas Shield yang didistribusikan secara global. Untuk memanfaatkan kemampuan ini, gunakan layanan ini sebagai titik masuk aplikasi web dinamis atau statis Anda.

Untuk mempelajari selengkapnya tentang cara menggunakan CloudFront dan Route 53 untuk melindungi aplikasi web, lihatCara Membantu Melindungi Aplikasi Web Dinamis Terhadap Serangan DDoS dengan Menggunakan Amazon CloudFront Amazon Route 53. Untuk mempelajari selengkapnya tentang isolasi kesalahan pada Route 53, lihatStudi Kasus dalam Isolasi Kesalahan Global.