Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)
Questa pagina spiega come funziona il rilevamento degli eventi a livello di applicazione.
AWS Shield Advanced fornisce il rilevamento a livello di applicazione Web per CloudFront distribuzioni Amazon protette e Application Load Balancer. Quando proteggi questi tipi di risorse con Shield Advanced, puoi associare un AWS WAF Web ACL alla tua protezione per abilitare il rilevamento a livello di applicazione Web. Shield Advanced utilizza i dati delle richieste per il Web associato ACL e crea una linea di base del traffico per l'applicazione. Il rilevamento del livello di applicazione Web si basa sull'integrazione nativa tra Shield Advanced e AWS WAF. Per ulteriori informazioni sulle protezioni a livello di applicazione, inclusa l'associazione di un AWS WAF Web ACL a una risorsa protetta Shield Advanced, consulta. Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF
Per il rilevamento a livello di applicazione Web, Shield Advanced monitora il traffico delle applicazioni e lo confronta con le linee di base storiche alla ricerca di anomalie. Questo monitoraggio copre il volume totale e la composizione del traffico. Durante un DDoS attacco, ci aspettiamo che il volume e la composizione del traffico cambino e Shield Advanced richiede una deviazione statisticamente significativa in entrambi i casi per dichiarare un evento.
Shield Advanced esegue le sue misurazioni rispetto alle finestre temporali storiche. Questo approccio riduce le notifiche di falsi positivi derivanti da variazioni legittime del volume di traffico o da variazioni del traffico che corrispondono a uno schema previsto, ad esempio una vendita offerta ogni giorno alla stessa ora.
Nota
Evita i falsi positivi nelle tue protezioni Shield Advanced concedendo a Shield Advanced il tempo di stabilire linee di base che rappresentino modelli di traffico normali e legittimi. Shield Advanced inizia a raccogliere informazioni per la sua linea di base quando si associa un Web ACL alla risorsa protetta. Associate un sito Web ACL alla risorsa protetta almeno 24 ore prima di qualsiasi evento pianificato che potrebbe causare schemi insoliti nel traffico web. Il rilevamento del livello di applicazione Web Shield Advanced è più preciso quando ha osservato 30 giorni di traffico normale.
Il tempo impiegato da Shield Advanced per rilevare un evento è influenzato dalla variazione osservata nel volume di traffico. Per variazioni di volume inferiori, Shield Advanced osserva il traffico per un periodo più lungo, al fine di aumentare la sicurezza che si stia verificando un evento. Per variazioni di volume più elevate, Shield Advanced rileva e segnala un evento più rapidamente.
Una regola basata sulla frequenza nel tuo WebACL, aggiunta da te o dalla funzionalità di mitigazione automatica del livello di applicazione Shield Advanced, può mitigare un attacco prima che raggiunga un livello rilevabile. Per ulteriori informazioni sulla mitigazione automatica a livello di applicazione, consulta. DDoS Automatizzazione della DDoS mitigazione a livello di applicazione con Shield Advanced
Nota
È possibile progettare l'applicazione in modo che sia scalabile in risposta a traffico o carico elevati per garantire che non sia influenzata da flussi di richieste di minore entità. Con Shield Advanced, le risorse protette sono coperte dalla protezione dei costi. Questo ti aiuta a proteggerti da aumenti imprevisti della bolletta del cloud che potrebbero verificarsi a seguito di un DDoS attacco. Per ulteriori informazioni sulla protezione dei costi Shield Advanced, consultaRichiedere un credito AWS Shield Advanced dopo un attacco.
