Come AWS Shield mitigare gli eventi - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come AWS Shield mitigare gli eventi

La logica di mitigazione che protegge l'applicazione può variare a seconda dell'architettura dell'applicazione. Quando proteggi un'applicazione Web con Amazon CloudFront e Amazon Route 53, usufruisci di mitigazioni specifiche per i casi d'uso Web e DNS e che proteggono tutto il traffico per i servizi. Quando il punto di ingresso dell'applicazione è una risorsa che viene eseguita in una AWS regione, la logica di mitigazione varia a seconda del servizio, del tipo di risorsa e dell'utilizzo che ne fai. AWS Shield Advanced

AWS I sistemi di mitigazione degli attacchi DDoS sono sviluppati dagli ingegneri di Shield e sono strettamente integrati con AWS i servizi. Gli ingegneri tengono conto di aspetti dell'architettura, come la capacità e lo stato delle risorse mirate. Gli ingegneri di Shield monitorano continuamente l'efficacia e le prestazioni dei sistemi di mitigazione degli attacchi DDoS e sono in grado di rispondere rapidamente quando vengono scoperte o previste nuove minacce.

Puoi progettare la tua applicazione in modo che sia scalabile in risposta a traffico o carico elevati, per garantire che non sia influenzata da minori ondate di richieste. Se utilizzi Shield Advanced per proteggere le tue risorse, ricevi una copertura contro gli aumenti imprevisti della bolletta del cloud che potrebbero verificarsi a seguito di un attacco DDoS.

Mitigazioni dell'infrastruttura

Per gli attacchi a livello di infrastruttura, i sistemi di mitigazione AWS Shield DDoS sono presenti ai confini della AWS rete e nelle posizioni periferiche. AWS Il posizionamento di più livelli di controlli di sicurezza in tutta l' AWS infrastruttura consente di gestire defense-in-depth le applicazioni cloud.

Shield mantiene i sistemi di mitigazione degli attacchi DDoS in tutti i punti di ingresso da Internet. Quando Shield rileva un attacco DDoS, per ogni punto di ingresso, reindirizza il traffico attraverso i sistemi di mitigazione DDoS nella stessa posizione. Ciò non introduce alcuna latenza aggiuntiva osservabile e fornisce una capacità di mitigazione di oltre 100 TeraBits al secondo (Tbps) in tutte le regioni e tutte le edge location. AWS Shield protegge la disponibilità delle risorse senza reindirizzare il traffico verso centri di lavaggio esterni o remoti, il che potrebbe aumentare la latenza.

  • Ai confini della AWS rete, per qualsiasi AWS servizio o risorsa, i sistemi di mitigazione DDoS mitigano gli attacchi a livello di infrastruttura provenienti da Internet. I sistemi eseguono le loro mitigazioni quando segnalati dal rilevamento Shield o da un tecnico dello Shield Response Team (SRT).

  • Nelle sedi AWS periferiche, i sistemi di mitigazione degli attacchi DDoS ispezionano continuamente ogni pacchetto inoltrato alle distribuzioni Amazon CloudFront e alle zone ospitate di Amazon Route 53, indipendentemente dalla loro origine. Quando necessario, i sistemi applicano mitigazioni progettate specificamente per il traffico web e DNS. Un ulteriore vantaggio dell'utilizzo di Amazon CloudFront e Amazon Route 53 per proteggere le applicazioni Web è che gli attacchi DDoS vengono immediatamente mitigati, senza richiedere un segnale proveniente dal rilevamento Shield.

Mitigazioni a livello di applicazione

Shield Advanced fornisce mitigazioni a livello di applicazione Web per le CloudFront distribuzioni Amazon e gli Application Load Balancer in cui hai abilitato le protezioni Shield Advanced. Quando abiliti la protezione, associ un ACL AWS WAF web alla risorsa, per abilitare il rilevamento a livello di applicazione web. Inoltre, hai la possibilità di abilitare la mitigazione automatica a livello di applicazione, che indica a Shield Advanced di gestire le protezioni per te durante un attacco DDoS.

Shield fornisce solo mitigazioni personalizzate per gli attacchi a livello di applicazione alle risorse per le quali hai abilitato Shield Advanced e la mitigazione automatica a livello di applicazione. Con la mitigazione automatica, Shield Advanced impone la limitazione della AWS WAF velocità sulle richieste provenienti da fonti DDoS note e aggiunge e gestisce automaticamente AWS WAF protezioni personalizzate in risposta agli attacchi DDoS rilevati. Per informazioni dettagliate sulle mitigazioni di questo tipo, vedere. Come Shield Advanced gestisce la mitigazione automatica

Una regola basata sulla frequenza nell'ACL Web, aggiunta da te o aggiunta dalla funzionalità di mitigazione automatica del livello di applicazione Shield Advanced, può mitigare un attacco prima che raggiunga un livello rilevabile. Per ulteriori informazioni sul rilevamento, vedere. Logica di rilevamento per le minacce a livello di applicazione