Rilevamento e mitigazione

Questa sezione descrive i fattori che influenzano il rilevamento e la mitigazione degli eventi a livello di applicazione da parte di Shield Advanced.

Controlli dell'integrità

I controlli di integrità che riportano in modo accurato lo stato generale dell'applicazione forniscono a Shield Advanced informazioni sulle condizioni del traffico riscontrate dall'applicazione. Shield Advanced richiede meno informazioni che indicano un potenziale attacco quando l'applicazione segnala un malfunzionamento e richiede più prove di un attacco se l'applicazione lo segnala.

È importante configurare i controlli di integrità in modo che riportino con precisione lo stato delle applicazioni. Per ulteriori informazioni e indicazioni, vedereRilevamento basato sulla salute mediante controlli sanitari.

Linee di base del traffico

Le linee di base sul traffico forniscono a Shield Advanced informazioni sulle caratteristiche del traffico normale per l'applicazione. Shield Advanced utilizza queste linee di base per riconoscere quando l'applicazione non riceve traffico normale, in modo da poterti avvisare e, come configurato, iniziare a ideare e testare opzioni di mitigazione per contrastare un potenziale attacco. Per ulteriori informazioni su come Shield Advanced utilizza le linee di base del traffico per rilevare potenziali eventi, consulta la sezione panoramica. Logica di rilevamento per le minacce a livello di applicazione

Shield Advanced crea le proprie linee di base a partire dalle informazioni fornite dall'ACL Web associata alla risorsa protetta. L'ACL Web deve essere associato alla risorsa per almeno 24 ore e fino a 30 giorni prima che Shield Advanced possa determinare in modo affidabile le linee di base dell'applicazione. Il tempo necessario inizia quando si associa l'ACL Web, tramite Shield Advanced o tramite AWS WAF.

Per ulteriori informazioni sull'utilizzo di un ACL Web con le protezioni a livello di applicazione Shield Advanced, vedere. Regole Shield Advanced a livello applicativo, AWS WAF web ACLs e basate sulla velocità

Regole basata sulla frequenza

Le regole basate sulla frequenza possono aiutare a mitigare gli attacchi. Inoltre, possono oscurare gli attacchi, mitigandoli prima che diventino un problema abbastanza grande da comparire nelle normali linee di base del traffico o nei report sullo stato dei controlli sanitari.

Ti consigliamo di utilizzare regole basate sulla frequenza nell'ACL Web quando proteggi una risorsa applicativa con Shield Advanced. Anche se le loro mitigazioni possono nascondere un potenziale attacco, sono una preziosa prima linea di difesa, che aiuta a garantire che l'applicazione rimanga disponibile per i clienti legittimi. Il traffico rilevato dalle regole basate sulle tariffe e sul limite di velocità è visibile nelle metriche. AWS WAF

Oltre alle tue regole basate sulla frequenza, se abiliti la mitigazione automatica degli attacchi DDoS a livello di applicazione, Shield Advanced aggiunge un gruppo di regole all'ACL Web che utilizza per mitigare gli attacchi. In questo gruppo di regole, Shield Advanced utilizza sempre una regola basata sulla frequenza che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi DDoS. Le metriche per il traffico mitigato dalle regole Shield Advanced non sono disponibili per la visualizzazione.

Per ulteriori informazioni sulle regole basate sulla tariffa, consulta. Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF Per informazioni sulla regola basata sulla frequenza utilizzata da Shield Advanced per la mitigazione automatica degli attacchi DDoS a livello di applicazione, vedere. Il gruppo di regole Shield Advanced

Per ulteriori informazioni su Shield Advanced e sulle AWS WAF metriche, consultaMonitoraggio con Amazon CloudWatch.