Come Shield Advanced gestisce la mitigazione automatica

Gli argomenti della sezione descrivono come Shield Advanced gestisce le modifiche alla configurazione per la mitigazione automatica degli attacchi DDoS a livello di applicazione e come gestisce gli attacchi DDoS quando la mitigazione automatica è abilitata.

Cosa succede quando si abilita la mitigazione automatica

Shield Advanced esegue le seguenti operazioni quando si abilita la mitigazione automatica:

• Se necessario, aggiunge un gruppo di regole per l'uso di Shield Advanced: se l'ACL AWS WAF Web associato alla risorsa non dispone già di una AWS WAF regola del gruppo di regole dedicata alla mitigazione automatica degli attacchi DDoS a livello di applicazione, Shield Advanced ne aggiunge una.

  Il nome della regola del gruppo di regole inizia con. ShieldMitigationRuleGroup Il gruppo di regole contiene sempre una regola basata sulla frequenza denominataShieldKnownOffenderIPRateBasedRule, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi DDoS. Per ulteriori dettagli sul gruppo di regole Shield Advanced e sulla regola Web ACL che vi fa riferimento, vedereIl gruppo di regole Shield Advanced.

• Inizia a rispondere agli attacchi DDoS contro la risorsa: Shield Advanced risponde automaticamente agli attacchi DDoS per la risorsa protetta. Oltre alla regola basata sulla frequenza, che è sempre presente, Shield Advanced utilizza il proprio gruppo di regole per implementare AWS WAF regole personalizzate per la mitigazione degli attacchi DDoS. Shield Advanced adatta queste regole alla tua applicazione e agli attacchi che subisce la tua applicazione e le testa rispetto al traffico storico della risorsa prima di implementarle.

Shield Advanced utilizza una singola regola del gruppo di regole in qualsiasi ACL Web utilizzato per la mitigazione automatica. Se Shield Advanced ha già aggiunto il gruppo di regole per un'altra risorsa protetta, non aggiunge un altro gruppo di regole all'ACL Web.

La mitigazione automatica degli attacchi DDoS a livello di applicazione dipende dalla presenza del gruppo di regole per mitigare gli attacchi. Se il gruppo di regole viene rimosso dall'ACL AWS WAF Web per qualsiasi motivo, la rimozione disabilita la mitigazione automatica per tutte le risorse associate all'ACL Web.

In che modo Shield Advanced risponde agli attacchi DDoS con la mitigazione automatica

Quando la mitigazione automatica è abilitata su una risorsa protetta, la regola ShieldKnownOffenderIPRateBasedRule basata sulla tariffa nel gruppo di regole Shield Advanced risponde automaticamente ai volumi di traffico elevati provenienti da fonti DDoS note. Questa limitazione della velocità viene applicata rapidamente e funge da difesa in prima linea contro gli attacchi.

Quando Shield Advanced rileva un attacco, esegue le seguenti operazioni:

1. Tenta di identificare una firma di attacco che isola il traffico di attacco dal normale traffico verso l'applicazione. L'obiettivo è produrre regole di mitigazione degli attacchi DDoS di alta qualità che, se applicate, influiscano solo sul traffico di attacco e non influiscano sul normale traffico verso l'applicazione.

2. Valuta la firma dell'attacco identificata rispetto ai modelli di traffico storici per la risorsa sotto attacco e per qualsiasi altra risorsa associata allo stesso ACL web. Shield Advanced esegue questa operazione prima di implementare qualsiasi regola in risposta all'evento.

   A seconda dei risultati della valutazione, Shield Advanced esegue una delle seguenti operazioni:

   • Se Shield Advanced determina che la firma di attacco isola solo il traffico coinvolto nell'attacco DDoS, implementa la firma nelle AWS WAF regole del gruppo di regole di mitigazione Shield Advanced nell'ACL web. Shield Advanced fornisce a queste regole l'impostazione di azione che hai configurato per la mitigazione automatica della risorsa, Count oppureBlock.

   • Altrimenti, Shield Advanced non prevede alcuna mitigazione.

Durante un attacco, Shield Advanced invia le stesse notifiche e fornisce le stesse informazioni sugli eventi delle protezioni di base a livello di applicazione Shield Advanced. Puoi visualizzare le informazioni sugli eventi e sugli attacchi DDoS e su qualsiasi mitigazione degli attacchi Shield Advanced nella console degli eventi Shield Advanced. Per informazioni, consulta Visibilità sugli eventi DDoS.

Se hai configurato la mitigazione automatica per utilizzare l'azione della Block regola e riscontri falsi positivi nelle regole di mitigazione implementate da Shield Advanced, puoi modificare l'azione della regola in. Count Per informazioni su come eseguire questa operazione, consulta. Modifica dell'azione utilizzata per la mitigazione automatica degli attacchi DDoS a livello di applicazione

In che modo Shield Advanced gestisce l'impostazione delle azioni delle regole

Puoi impostare l'azione della regola per le tue mitigazioni automatiche su Block o. Count

Quando si modifica l'impostazione dell'azione automatica delle regole di mitigazione per una risorsa protetta, Shield Advanced aggiorna tutte le impostazioni delle regole per la risorsa. Aggiorna tutte le regole attualmente in vigore per la risorsa nel gruppo di regole Shield Advanced e utilizza la nuova impostazione di azione quando crea nuove regole.

Per le risorse che utilizzano lo stesso ACL Web, se si specificano azioni diverse, Shield Advanced utilizza l'impostazione dell'Blockazione per la regola basata sulla frequenza del gruppo di regole. ShieldKnownOffenderIPRateBasedRule Shield Advanced crea e gestisce altre regole nel gruppo di regole per conto di una specifica risorsa protetta e utilizza l'impostazione di azione specificata per la risorsa. Tutte le regole del gruppo di regole Shield Advanced in un ACL Web vengono applicate al traffico Web di tutte le risorse associate.

La propagazione della modifica dell'impostazione dell'azione può richiedere alcuni secondi. Durante questo periodo, potresti vedere la vecchia impostazione in alcuni punti in cui è in uso il gruppo di regole e la nuova impostazione in altri.

È possibile modificare l'impostazione dell'azione delle regole per la configurazione di mitigazione automatica nella pagina degli eventi della console e tramite la pagina di configurazione del livello di applicazione. Per informazioni sulla pagina degli eventi, vedereRisposta agli eventi DDoS. Per informazioni sulla pagina di configurazione, vedereConfigura le protezioni DDoS a livello di applicazione.

In che modo Shield Advanced gestisce le mitigazioni quando un attacco si attenua

Quando Shield Advanced determina che le regole di mitigazione che sono state implementate per un particolare attacco non sono più necessarie, le rimuove dal gruppo di regole di mitigazione Shield Advanced.

La rimozione delle regole di mitigazione non coinciderà necessariamente con la fine di un attacco. Shield Advanced monitora i modelli di attacco che rileva sulle risorse protette. Potrebbe difendersi in modo proattivo dalla recidiva di un attacco con una firma specifica mantenendo in vigore le regole che ha implementato contro il verificarsi iniziale di quell'attacco. Se necessario, Shield Advanced aumenta il lasso di tempo necessario per mantenere le regole in vigore. In questo modo, Shield Advanced potrebbe mitigare gli attacchi ripetuti con una firma specifica prima che abbiano un impatto sulle risorse protette.

Shield Advanced non rimuove mai la regola basata sulla frequenzaShieldKnownOffenderIPRateBasedRule, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi DDoS.

Cosa succede quando si disabilita la mitigazione automatica

Shield Advanced esegue le seguenti operazioni quando si disabilita la mitigazione automatica per una risorsa:

• Interrompe la risposta automatica agli attacchi DDoS: Shield Advanced interrompe le attività di risposta automatica per la risorsa.

• Rimuove le regole non necessarie dal gruppo di regole Shield Advanced: se Shield Advanced mantiene delle regole nel proprio gruppo di regole gestito per conto della risorsa protetta, le rimuove.

• Rimuove il gruppo di regole Shield Advanced, se non è più in uso: se l'ACL Web associato alla risorsa non è associato a nessun'altra risorsa con la mitigazione automatica abilitata, Shield Advanced rimuove la regola del gruppo di regole dall'ACL Web.