Contoh ketahanan DDoS untuk aplikasi TCP dan UDP - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh ketahanan DDoS untuk aplikasi TCP dan UDP

Contoh ini menunjukkan arsitektur tangguh DDoS untuk aplikasi TCP dan UDP dalamAWSWilayah yang menggunakan instans Amazon Elastic Compute Cloud (Amazon EC2) atau alamat Elastic IP (EIP).

Anda dapat mengikuti contoh umum ini untuk meningkatkan ketahanan DDoS untuk jenis aplikasi berikut:

  • Aplikasi TCP atau UDP. Misalnya, aplikasi yang digunakan untuk gaming, IoT, dan voice over IP.

  • Aplikasi web yang memerlukan alamat IP statis atau yang menggunakan protokol Amazon CloudFront tidak mendukung. Misalnya, aplikasi Anda mungkin memerlukan alamat IP yang dapat ditambahkan pengguna Anda ke daftar izin firewall mereka, dan itu tidak digunakan oleh yang lainAWSpelanggan.

Anda dapat meningkatkan ketahanan DDoS untuk jenis aplikasi ini dengan memperkenalkan Amazon Route 53 danAWS Global Accelerator. Layanan ini dapat merutekan pengguna ke aplikasi Anda dan mereka dapat menyediakan aplikasi Anda dengan alamat IP statis yang dialihkan diAWSjaringan tepi global. Akselerator standar Global Accelerator dapat meningkatkan latensi pengguna hingga 60%. Jika Anda memiliki aplikasi web, Anda dapat mendeteksi dan mengurangi banjir permintaan lapisan aplikasi web dengan menjalankan aplikasi pada Application Load Balancer, dan kemudian melindungi Application Load Balancer denganAWS WAFACL web.

Setelah membuat aplikasi, lindungi zona host Route 53, akselerator standar Global Accelerator, dan Application Load Balancers dengan Shield Advanced. Saat Anda melindungi Application Load Balancers, Anda dapat mengasosiasikanAWS WAFweb ACL dan membuat aturan berbasis tingkat untuk mereka. Anda dapat mengonfigurasi keterlibatan proaktif dengan SRT untuk akselerator standar Global Accelerator dan Application Load Balancers Anda dengan mengaitkan pemeriksaan kesehatan Route 53 yang baru atau yang sudah ada. Untuk mempelajari selengkapnya tentang opsi, lihatPerlindungan sumber dayaAWS Shield Advanced.

Diagram referensi berikut menggambarkan contoh arsitektur tangguh DDoS untuk aplikasi TCP dan UDP.


				Diagram menunjukkan pengguna terhubung ke Route 53 dan keAWS Global Accelerator. Akselerator terhubung ke ikon Elastic Load Balancing yang dilindungi olehAWS Shield AdvanceddanAWS WAF. Elastic Load Balancing sendiri terhubung ke instans Amazon EC2. Instans Elastic Load Balancing ini dan instans Amazon EC2 berada di Wilayah 1. YangAWS Global Acceleratorjuga terhubung langsung ke instans Amazon EC2 lainnya, yang tidak berada di belakang intsance Elastic Load Balancing yang dilindungi. Instans Amazon EC2 kedua ini berada di Wilayah n.

Manfaat yang diberikan pendekatan ini untuk aplikasi Anda adalah sebagai berikut:

  • Perlindungan terhadap serangan DDoS lapisan infrastruktur terbesar yang diketahui (lapisan 3 dan lapisan 4). Jika volume serangan menyebabkan kemacetan hulu dariAWS, kegagalan akan diisolasi lebih dekat ke sumbernya dan akan memiliki efek yang diminimalkan pada pengguna sah Anda.

  • Perlindungan terhadap serangan lapisan aplikasi DNS, karena Route 53 bertanggung jawab untuk melayani respons DNS otoritatif.

  • Jika Anda memiliki aplikasi web, pendekatan ini memberikan perlindungan terhadap banjir permintaan lapisan aplikasi web. Aturan berbasis tingkat yang Anda konfigurasikan diAWS WAFweb ACL memblokir IP sumber saat mereka mengirim lebih banyak permintaan daripada yang diizinkan aturan.

  • Keterlibatan proaktif dengan Tim Respons Shield (SRT), jika Anda memilih untuk mengaktifkan opsi ini untuk sumber daya yang memenuhi syarat. Ketika Shield Advanced mendeteksi peristiwa yang memengaruhi kesehatan aplikasi Anda, SRT merespons dan secara proaktif terlibat dengan tim keamanan atau operasi Anda menggunakan informasi kontak yang Anda berikan.