AWS Shield logica di mitigazione per CloudFront e Route 53 - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Shield logica di mitigazione per CloudFront e Route 53

La mitigazione degli attacchi DDoS di Shield ispeziona continuamente il traffico e la Route 53 CloudFront . Questi servizi operano da una rete di AWS edge location distribuita a livello globale che offre un ampio accesso alla capacità di mitigazione degli attacchi DDoS di Shield e distribuisce l'applicazione da un'infrastruttura più vicina agli utenti finali.

  • CloudFront— Le mitigazioni DDoS Shield consentono solo al traffico valido per le applicazioni Web di passare al servizio. Ciò fornisce una protezione automatica contro molti vettori DDoS comuni, come gli attacchi di riflessione UDP.

    CloudFront mantiene connessioni persistenti all'origine dell'applicazione, i flood TCP SYN vengono automaticamente mitigati attraverso l'integrazione con la funzione proxy Shield TCP SYN e Transport Layer Security (TLS) viene terminato all'edge. Queste funzionalità combinate assicurano che l'origine dell'applicazione riceva solo richieste Web ben formate e che sia protetta da attacchi DDoS di livello inferiore, flood di connessione e abuso di TLS.

    CloudFront utilizza una combinazione di direzione del traffico DNS e routing anycast. Queste tecniche migliorano la resilienza dell'applicazione mitigando gli attacchi vicini alla fonte, fornendo l'isolamento dai guasti e garantendo l'accesso alla capacità di mitigare gli attacchi più grandi conosciuti.

  • Le mitigazioni Route 53 — Shield consentono solo a richieste DNS valide di raggiungere il servizio. Shield mitiga i flussi di query DNS utilizzando un sistema di punteggio di sospetto che dà priorità alle query note con esito positivo e riduce la priorità alle query che contengono attributi di attacco DDoS sospetti o noti.

    Route 53 utilizza lo shuffle sharding per fornire un set unico di quattro indirizzi IP resolver per ogni zona ospitata, sia per IPv4 che per IPv6. Ogni indirizzo IP corrisponde a un sottoinsieme diverso di posizioni Route 53. Ogni sottoinsieme di posizioni è costituito da server DNS autorevoli che si sovrappongono solo parzialmente all'infrastruttura di qualsiasi altro sottoinsieme. In questo modo, se una richiesta dell'utente non riesce per qualsiasi motivo, verrà inviata correttamente in caso di nuovo tentativo.

    Route 53 utilizza il routing anycast per indirizzare le query DNS alla edge location più vicina, in base alla prossimità della rete. Anycast invia inoltre il traffico DDoS verso molte edge location, impedendo agli attacchi di concentrarsi su un'unica posizione.

Oltre alla velocità di mitigazione, CloudFront Route 53 offre un ampio accesso alla capacità distribuita a livello globale di Shield. Per sfruttare queste funzionalità, utilizzate questi servizi come punto di ingresso per le vostre applicazioni web dinamiche o statiche.

Per ulteriori informazioni sull'utilizzo CloudFront di Route 53 per proteggere le applicazioni Web, consulta Come proteggere le applicazioni Web dinamiche dagli attacchi DDoS utilizzando Amazon CloudFront e Amazon Route 53. Per ulteriori informazioni sull'isolamento dei guasti su Route 53, consulta A Case Study in Global Fault Isolation.