Elastic Load Balancing () BP6

DDoSGli attacchi di grandi dimensioni possono sovraccaricare la capacità di una singola EC2 istanza Amazon. Con Elastic Load Balancing (ELB), puoi ridurre il rischio di sovraccarico dell'applicazione distribuendo il traffico su molte istanze di backend. Elastic Load Balancing è in grado di scalare automaticamente, consentendoti di gestire volumi maggiori in caso di traffico extra imprevisto, ad esempio a causa di attacchi o affollamenti improvvisi. DDoS Per le applicazioni create all'interno di AmazonVPC, ci sono tre tipi ELBs da considerare, a seconda del tipo di applicazione: Application Load Balancer (ALB), Network Load Balancer () e Classic Load Balancer NLB (). CLB

Per le applicazioni Web, è possibile utilizzare Application Load Balancer per indirizzare il traffico in base ai contenuti e accettare solo richieste Web ben formate. Application Load Balancer blocca molti DDoS attacchi comuni, come SYN floods o attacchi di UDP riflessione, proteggendo l'applicazione dagli attacchi. Application Load Balancer si ridimensiona automaticamente per assorbire il traffico aggiuntivo quando vengono rilevati questi tipi di attacchi. Le attività di scalabilità dovute agli attacchi a livello di infrastruttura sono trasparenti per AWS i clienti e non influiscono sulla bolletta.

Per ulteriori informazioni sulla protezione delle applicazioni Web con Application Load Balancer, consulta Getting Started with Application Load Balancer.

Per HTTPS le applicazioni diverse daHTTP/, puoi utilizzare Network Load Balancer per indirizzare il traffico verso obiettivi (ad esempio, EC2 istanze Amazon) con una latenza estremamente bassa. Una considerazione fondamentale di Network Load Balancer è che tutto il UDP traffico che raggiunge il load balancer su un listener valido verrà indirizzato alle destinazioni, non assorbito, tuttavia ciò non si applica ai TLS -listener che interrompono la connessione. TCP SYN TCP Per i Network Load Balancer con TCP listener, consigliamo di implementare Global Accelerator per proteggersi dalle inondazioni. SYN

È possibile utilizzare Shield Advanced per configurare DDoS la protezione per gli indirizzi IP elastici. Quando viene assegnato un indirizzo IP elastico per zona di disponibilità al Network Load Balancer, Shield Advanced applicherà DDoS le protezioni pertinenti per il traffico Network Load Balancer.

Per ulteriori informazioni sulla protezione TCP e sulle UDP applicazioni con Network Load Balancer, consulta Guida introduttiva a Network Load Balancer.

Nota

A seconda della configurazione del gruppo di sicurezza, è necessario che la risorsa che utilizza il gruppo security to group utilizzi il tracciamento delle connessioni per tenere traccia delle informazioni sul traffico. Ciò può influire sulla capacità del sistema di bilanciamento del carico di elaborare nuove connessioni, poiché il numero di connessioni tracciate è limitato.

Una configurazione del gruppo di sicurezza che contiene una regola di ingresso che accetta il traffico da qualsiasi indirizzo IP (ad esempio, 0.0.0.0/0 o::/0) ma non dispone di una regola corrispondente per consentire il traffico di risposta, fa sì che il gruppo di sicurezza utilizzi le informazioni di tracciamento della connessione per consentire l'invio del traffico di risposta. In caso di DDoS attacco, il numero massimo di connessioni tracciate può essere esaurito. Per migliorare la DDoS resilienza del tuo Application Load Balancer o Classic Load Balancer rivolto al pubblico, assicurati che il gruppo di sicurezza associato al tuo sistema di bilanciamento del carico sia configurato per non utilizzare il tracciamento delle connessioni (connessioni non tracciate), in modo che il flusso di traffico non sia soggetto ai limiti di tracciamento delle connessioni.

A tal fine, configura il tuo gruppo di sicurezza con una regola che consenta alla regola in entrata di accettare TCP flussi da qualsiasi indirizzo IP (0.0.0.0/0o::/0) e aggiungi una regola corrispondente nella direzione in uscita che consenta a questa risorsa di inviare il traffico di risposta (consenti l'intervallo in uscita per qualsiasi indirizzo IP 0.0.0.0/0 o::/0) per tutte le porte (0-65535), in modo che il traffico di risposta sia consentito in base alla regola del gruppo di sicurezza e non alle informazioni di tracciamento. Con questa configurazione, Classic e Application Load Balancer non sono soggetti ai limiti di tracciamento delle connessioni in uscita che possono influire sulla creazione di nuove connessioni ai relativi nodi di bilanciamento del carico e ne consente la scalabilità in base all'aumento del traffico in caso di attacco. DDoS Ulteriori informazioni sulle connessioni non tracciate sono disponibili all'indirizzo: Tracciamento delle connessioni del gruppo di sicurezza: connessioni non tracciate.

Evitare il tracciamento delle connessioni del gruppo di sicurezza è utile solo nei casi in cui il DDoS traffico proviene da una fonte consentita dal gruppo di sicurezza: il DDoS traffico proveniente da fonti non consentite nel gruppo di sicurezza non influisce sul tracciamento delle connessioni. La riconfigurazione dei gruppi di sicurezza per evitare il tracciamento delle connessioni non è necessaria in questi casi, ad esempio, se l'elenco dei gruppi di sicurezza consentiti è composto da intervalli di IP con i quali si ha un elevato grado di fiducia, ad esempio un firewall aziendale o un indirizzo di uscita affidabile VPN o. IPs CDNs

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Amazon EC2 con Auto Scaling () BP7

Usa le posizioni AWS Edge per la scala (BP1,BP3)