Avvertenze per l'utilizzo della mitigazione automatica - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Avvertenze per l'utilizzo della mitigazione automatica

L'elenco seguente descrive gli avvertimenti della mitigazione automatica degli attacchi DDoS a livello di applicazione Shield Advanced e descrive i passaggi che potresti voler intraprendere in risposta.

  • La mitigazione automatica degli attacchi DDoS a livello di applicazione funziona solo con gli ACL Web creati utilizzando l'ultima versione di (v2). AWS WAF

  • Shield Advanced richiede tempo per stabilire una base del traffico normale e storico dell'applicazione, che sfrutta per rilevare e isolare il traffico di attacco dal traffico normale e mitigare il traffico di attacco. Il tempo necessario per stabilire una linea di base è compreso tra 24 ore e 30 giorni dal momento in cui si associa un ACL Web alla risorsa applicativa protetta. Per ulteriori informazioni sulle linee di base del traffico, vedere. Rilevamento e mitigazione

  • L'attivazione della mitigazione automatica degli attacchi DDoS a livello di applicazione aggiunge un gruppo di regole all'ACL Web che utilizza 150 unità di capacità ACL Web (WCU). Queste WCU influiscono sull'utilizzo della WCU nell'ACL web. Per ulteriori informazioni, consulta Il gruppo di regole Shield Advanced e AWS WAF unità di capacità Web ACL (WCU).

  • Il gruppo di regole Shield Advanced genera AWS WAF metriche, ma non sono disponibili per la visualizzazione. È lo stesso di qualsiasi altro gruppo di regole che utilizzi nell'ACL Web ma che non possiedi, come i gruppi di regole AWS Managed Rules. Per ulteriori informazioni sulle AWS WAF metriche, consulta. AWS WAF metriche e dimensioni Per informazioni su questa opzione di protezione Shield Advanced, vedereMitigazione DDoS automatica a livello di applicazione Shield Advanced.

  • Per gli ACL Web che proteggono più risorse, la mitigazione automatica implementa solo mitigazioni personalizzate che non hanno un impatto negativo su nessuna delle risorse protette.

  • Il tempo che intercorre tra l'inizio di un attacco DDoS e il momento in cui Shield Advanced imposta regole di mitigazione automatiche personalizzate varia a seconda dell'evento. Alcuni attacchi DDoS potrebbero terminare prima dell'implementazione delle regole personalizzate. Altri attacchi potrebbero verificarsi quando è già in atto una mitigazione e quindi potrebbero essere mitigati da tali regole sin dall'inizio dell'evento. Inoltre, le regole basate sulla frequenza nel gruppo di regole Web ACL e Shield Advanced potrebbero mitigare il traffico di attacco prima che venga rilevato come un possibile evento.

  • Per gli Application Load Balancer che ricevono traffico attraverso una rete di distribuzione dei contenuti (CDN), come Amazon CloudFront, le funzionalità di mitigazione automatica a livello di applicazione di Shield Advanced per tali risorse di Application Load Balancer saranno ridotte. Shield Advanced utilizza gli attributi del traffico client per identificare e isolare il traffico di attacco dal traffico normale verso l'applicazione e le CDN potrebbero non conservare o inoltrare gli attributi originali del traffico client. Se lo utilizzi CloudFront, ti consigliamo di abilitare la mitigazione automatica sulla distribuzione. CloudFront

  • La mitigazione automatica degli attacchi DDoS a livello di applicazione non interagisce con i gruppi di protezione. È possibile abilitare la mitigazione automatica per le risorse che si trovano nei gruppi di protezione, ma Shield Advanced non applica automaticamente le mitigazioni degli attacchi in base ai risultati dei gruppi di protezione. Shield Advanced applica mitigazioni automatiche degli attacchi per le singole risorse.