AWS Shield logika mitigasi untuk CloudFront dan Rute 53 - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Shield logika mitigasi untuk CloudFront dan Rute 53

Mitigasi Shield DDoS terus memeriksa lalu lintas untuk dan Route 53. CloudFront Layanan ini beroperasi dari jaringan lokasi AWS edge yang didistribusikan secara global yang memberi Anda akses luas ke kapasitas mitigasi DDoS Shield dan mengirimkan aplikasi Anda dari infrastruktur yang lebih dekat dengan pengguna akhir Anda.

  • CloudFront— Mitigasi Shield DDoS hanya memungkinkan lalu lintas yang valid untuk aplikasi web untuk melewati layanan. Ini memberikan perlindungan otomatis terhadap banyak vektor DDoS umum, seperti serangan refleksi UDP.

    CloudFront mempertahankan koneksi persisten ke asal aplikasi Anda, banjir TCP SYN secara otomatis dikurangi melalui integrasi dengan fitur proxy Shield TCP SYN, dan Transport Layer Security (TLS) dihentikan di edge. Fitur gabungan ini memastikan bahwa asal aplikasi Anda hanya menerima permintaan web yang terbentuk dengan baik dan dilindungi dari serangan DDoS lapisan bawah, banjir koneksi, dan penyalahgunaan TLS.

    CloudFront menggunakan kombinasi arah lalu lintas DNS dan perutean anycast. Teknik-teknik ini meningkatkan ketahanan aplikasi Anda dengan mengurangi serangan yang dekat dengan sumbernya, memberikan isolasi kesalahan, dan memastikan akses ke kapasitas untuk mengurangi serangan terbesar yang diketahui.

  • Route 53 — Mitigasi Shield hanya memungkinkan permintaan DNS yang valid untuk mencapai layanan. Shield mengurangi banjir kueri DNS menggunakan penilaian kecurigaan yang memprioritaskan kueri baik yang diketahui dan tidak memprioritaskan kueri yang berisi atribut serangan DDoS yang mencurigakan atau diketahui.

    Route 53 menggunakan sharding shuffle untuk menyediakan satu set unik dari empat alamat IP resolver ke setiap zona yang dihosting, untuk IPv4 dan IPv6. Setiap alamat IP sesuai dengan subset yang berbeda dari lokasi Route 53. Setiap subset lokasi terdiri dari server DNS otoritatif yang hanya sebagian tumpang tindih dengan infrastruktur di subset lainnya. Ini memastikan bahwa jika kueri pengguna gagal karena alasan apa pun, itu akan berhasil disajikan pada percobaan ulang.

    Route 53 menggunakan perutean anycast untuk mengarahkan kueri DNS ke lokasi tepi terdekat, berdasarkan kedekatan jaringan. Anycast juga menggemari lalu lintas DDoS ke banyak lokasi tepi, yang mencegah serangan berfokus pada satu lokasi.

Selain kecepatan mitigasi, CloudFront dan Route 53 menyediakan akses luas ke kapasitas Shield yang didistribusikan secara global. Untuk memanfaatkan kemampuan ini, gunakan layanan ini sebagai titik masuk aplikasi web dinamis atau statis Anda.

Untuk mempelajari lebih lanjut tentang menggunakan CloudFront dan Route 53 untuk melindungi aplikasi web, lihat Cara Membantu Melindungi Aplikasi Web Dinamis Terhadap Serangan DDoS dengan Menggunakan Amazon CloudFront dan Amazon Route 53. Untuk mempelajari lebih lanjut tentang isolasi kesalahan pada Rute 53, lihat Studi Kasus dalam Isolasi Kesalahan Global.