Elastic Load Balancing () BP6

DDoSSerangan besar dapat membanjiri kapasitas satu EC2 instans Amazon. Dengan Elastic Load Balancing (ELB), Anda dapat mengurangi risiko kelebihan beban aplikasi dengan mendistribusikan lalu lintas di banyak instance backend. Elastic Load Balancing dapat menskalakan secara otomatis, memungkinkan Anda untuk mengelola volume yang lebih besar ketika Anda memiliki lalu lintas ekstra yang tidak terduga, misalnya, karena kerumunan flash atau serangan. DDoS Untuk aplikasi yang dibangun di AmazonVPC, ada tiga jenis yang ELBs perlu dipertimbangkan, tergantung pada jenis aplikasi Anda: Application Load Balancer (ALB), Network Load Balancer () dan Classic Load Balancer NLB (). CLB

Untuk aplikasi web, Anda dapat menggunakan Application Load Balancer untuk merutekan lalu lintas berdasarkan konten dan hanya menerima permintaan web yang terbentuk dengan baik. Application Load Balancer memblokir banyak DDoS serangan umum, seperti SYN banjir atau serangan UDP refleksi, melindungi aplikasi Anda dari serangan. Application Load Balancer secara otomatis menskalakan untuk menyerap lalu lintas tambahan ketika jenis serangan ini terdeteksi. Aktivitas penskalaan akibat serangan lapisan infrastruktur transparan bagi AWS pelanggan dan tidak memengaruhi tagihan Anda.

Untuk informasi lebih lanjut tentang melindungi aplikasi web dengan Application Load Balancer, lihat Memulai dengan Application Load Balancers.

Untuk HTTPS aplikasi HTTP non-/, Anda dapat menggunakan Network Load Balancer untuk merutekan lalu lintas ke target (misalnya, EC2 instans Amazon) pada latensi sangat rendah. Salah satu pertimbangan utama dengan Network Load Balancer adalah bahwa setiap TCP SYN atau UDP lalu lintas yang mencapai penyeimbang beban pada pendengar yang valid akan diarahkan ke target Anda, tidak diserap, namun ini tidak berlaku untuk TLS -listeners yang mengakhiri koneksi. TCP Untuk Network Load Balancers dengan TCP pendengar, kami sarankan untuk menggunakan Global Accelerator untuk melindungi dari banjir. SYN

Anda dapat menggunakan Shield Advanced untuk mengonfigurasi DDoS perlindungan untuk alamat IP Elastis. Jika alamat IP Elastis ditetapkan per Availability Zone ke Network Load Balancer, Shield Advanced akan menerapkan DDoS perlindungan yang relevan untuk lalu lintas Network Load Balancer.

Untuk informasi selengkapnya tentang perlindungan TCP dan UDP aplikasi dengan Network Load Balancer, lihat Memulai dengan Network Load Balancer.

catatan

Bergantung pada konfigurasi grup keamanan, diperlukan sumber daya yang menggunakan keamanan untuk mengelompokkan untuk menggunakan pelacakan koneksi untuk melacak informasi tentang lalu lintas, ini dapat memengaruhi kemampuan penyeimbang beban untuk memproses koneksi baru, karena jumlah koneksi yang dilacak terbatas.

Konfigurasi grup keamanan yang berisi aturan masuk yang menerima lalu lintas dari alamat IP apa pun (misalnya, 0.0.0.0/0 atau::/0) tetapi tidak memiliki aturan yang sesuai untuk mengizinkan lalu lintas respons, menyebabkan grup keamanan menggunakan informasi pelacakan koneksi untuk memungkinkan lalu lintas respons dikirim. Jika terjadi DDoS serangan, jumlah maksimum koneksi yang dilacak dapat habis. Untuk meningkatkan DDoS ketahanan Application Load Balancer atau Classic Load Balancer yang menghadap publik, pastikan bahwa grup keamanan yang terkait dengan penyeimbang beban Anda dikonfigurasi untuk tidak menggunakan pelacakan koneksi (koneksi yang tidak dilacak), sehingga arus lalu lintas tidak tunduk pada batas pelacakan koneksi.

Untuk ini, konfigurasikan grup keamanan Anda dengan aturan yang memungkinkan aturan masuk untuk menerima TCP aliran dari alamat IP apa pun (0.0.0.0/0atau::/0), dan tambahkan aturan yang sesuai ke arah keluar yang memungkinkan sumber daya ini mengirim lalu lintas respons (izinkan rentang keluar untuk alamat IP apa pun 0.0.0.0/0 atau::/0) untuk semua port (0-65535), sehingga lalu lintas respons diizinkan berdasarkan aturan grup keamanan, dan bukan pada informasi pelacakan. Dengan konfigurasi ini, Classic dan Application Load Balancer tidak tunduk pada batas pelacakan koneksi knalpot yang dapat memengaruhi pembuatan koneksi baru ke node penyeimbang beban, dan memungkinkannya untuk menskalakan berdasarkan peningkatan lalu lintas jika terjadi serangan. DDoS Informasi lebih lanjut tentang koneksi yang tidak dilacak dapat ditemukan di: Pelacakan koneksi grup keamanan: Koneksi tidak terlacak.

Menghindari pelacakan koneksi grup keamanan hanya membantu dalam kasus di mana DDoS lalu lintas berasal dari sumber yang diizinkan oleh grup keamanan — DDoS lalu lintas dari sumber yang tidak diizinkan dalam grup keamanan tidak memengaruhi pelacakan koneksi. Konfigurasi ulang grup keamanan Anda untuk menghindari pelacakan koneksi tidak diperlukan dalam kasus ini, misalnya, jika daftar izin grup keamanan Anda terdiri dari rentang IP yang dengannya Anda memiliki tingkat kepercayaan yang tinggi, seperti firewall perusahaan perusahaan atau jalan keluar tepercaya atauVPN. IPs CDNs

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Amazon EC2 dengan Auto Scaling () BP7

Gunakan lokasi AWS Edge untuk skala (BP1,BP3)