Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
ACL AWS WAF Web Shield Advanced a livello applicativo e regole basate sulla velocità
Per proteggere una risorsa a livello di applicazione con Shield Advanced, iniziate associando un ACL AWS WAF Web alla risorsa. AWS WAF è un firewall per applicazioni Web che consente di monitorare le richieste HTTP e HTTPS inoltrate alle risorse del livello applicativo e consente di controllare l'accesso ai contenuti in base alle caratteristiche delle richieste. È possibile configurare un ACL Web per monitorare e gestire le richieste in base a fattori quali l'origine della richiesta, il contenuto delle stringhe di query e dei cookie e la frequenza delle richieste provenienti da un singolo indirizzo IP. Come minimo, la protezione Shield Advanced richiede l'associazione di un ACL web a una regola basata sulla velocità, che limita la frequenza delle richieste per ogni indirizzo IP.
Se l'ACL Web associato non ha una regola basata sulla velocità definita, Shield Advanced richiede di definirne almeno una. Le regole basate sulla tariffa bloccano automaticamente il traffico proveniente dagli IP di origine quando superano le soglie definite. Aiutano a proteggere l'applicazione dai flussi di richieste Web e possono fornire avvisi in caso di picchi improvvisi di traffico che potrebbero indicare un potenziale attacco DDoS.
Nota
Una regola basata sulla frequenza risponde molto rapidamente ai picchi del traffico monitorato dalla regola. Per questo motivo, una regola basata sulla frequenza può prevenire non solo un attacco, ma anche il rilevamento di un potenziale attacco tramite Shield Advanced detection. Questo compromesso favorisce la prevenzione rispetto alla completa visibilità dei modelli di attacco. Ti consigliamo di utilizzare una regola basata sulla frequenza come prima linea di difesa contro gli attacchi.
Una volta installato l'ACL Web, se si verifica un attacco DDoS, è possibile applicare le mitigazioni aggiungendo e gestendo regole nell'ACL Web. Puoi farlo direttamente, con l'assistenza dello Shield Response Team (SRT), o automaticamente tramite la mitigazione automatica degli attacchi DDoS a livello di applicazione.
Importante
Se utilizzi anche la mitigazione automatica degli attacchi DDoS a livello di applicazione, consulta le best practice per la gestione dell'ACL web all'indirizzo. Le migliori pratiche per l'utilizzo della mitigazione automatica
Comportamento predefinito delle regole basate sulla frequenza
Quando si utilizza una regola basata sulla tariffa con la relativa configurazione predefinita, valuta AWS WAF periodicamente il traffico per la finestra temporale precedente di 5 minuti. AWS WAF blocca le richieste provenienti da qualsiasi indirizzo IP che superi la soglia della regola fino a quando la frequenza delle richieste non scende a un livello accettabile. Quando configuri una regola basata sulla tariffa tramite Shield Advanced, configura la relativa soglia di velocità su un valore superiore alla normale velocità di traffico che ti aspetti da qualsiasi IP di origine in qualsiasi finestra temporale di cinque minuti.
Potresti voler utilizzare più di una regola basata sulla tariffa in un ACL web. Ad esempio, potresti avere una regola basata sulla tariffa per tutto il traffico con una soglia alta più una o più regole aggiuntive configurate per corrispondere a determinate parti dell'applicazione Web e con soglie inferiori. Ad esempio, è possibile associare all'URI /login.html una soglia inferiore, per mitigare gli abusi nei confronti di una pagina di accesso.
Puoi configurare una regola basata sulla frequenza per utilizzare una finestra temporale di valutazione diversa e aggregare le richieste in base a una serie di componenti della richiesta, come valori di intestazione, etichette e argomenti di query. Per ulteriori informazioni, consulta Istruzione regola basata sulla frequenza.
Per ulteriori informazioni e indicazioni, consulta il post sul blog sulla sicurezza Le tre regole più importanti basate sulla frequenza
Opzioni di configurazione estese tramite AWS WAF
La console Shield Advanced consente di aggiungere una regola basata sulla tariffa e configurarla con le impostazioni di base predefinite. È possibile definire opzioni di configurazione aggiuntive gestendo le regole basate sulla tariffa tramite. AWS WAF Ad esempio, puoi configurare la regola per aggregare le richieste in base a chiavi come un indirizzo IP inoltrato, una stringa di query e un'etichetta. Puoi anche aggiungere un'istruzione scope-down alla regola per escludere alcune richieste dalla valutazione e dalla limitazione della velocità. Per ulteriori informazioni, consulta Istruzione regola basata sulla frequenza. Per informazioni sull'utilizzo per AWS WAF gestire le regole di monitoraggio e gestione delle richieste Web, consulta. Creazione di un'ACL Web
