Detecção baseada em saúde usando verificações de saúde

Você pode configurar o Shield Advanced para usar a detecção baseada em integridade, o que pode melhorar a capacidade de resposta e a precisão na detecção e mitigação de ataques. Você pode usar essa opção com qualquer tipo de recurso, exceto para zonas hospedadas do Route 53.

Para configurar a detecção baseada em integridade, você define uma verificação de integridade para seu recurso no Route 53, verifica se o relatório indica integridade e, em seguida, associa-o à sua proteção Shield Advanced. Para obter informações sobre as verificações de integridade do Route 53, consulte Como o Amazon Route 53 verifica a integridade de seus recursos e Comocriar, atualizar e excluir verificações de integridade no Guia do desenvolvedor do Amazon Route 53.

nota

As verificações de integridade são necessárias para o suporte de engajamento proativo da Shield Response Team (SRT). Para obter informações sobre engajamento proativo, consulte Como configurar o engajamento proativo.

As verificações de integridade medem a integridade dos recursos com base nos requisitos definidos por você. O status da verificação de integridade fornece informações vitais para os mecanismos de detecção do Shield Advanced, proporcionando maior sensibilidade ao estado atual de seus aplicativos específicos.

Você pode usar a detecção baseada em integridade para qualquer tipo de recurso, exceto as zonas hospedadas do Route 53.

• Recursos da camada de rede e transporte (camada 3/camada 4) — A detecção baseada em integridade melhora a precisão da detecção e mitigação de eventos na camada de rede e na camada de transporte para Network Load Balancers, endereços IP elásticos e aceleradores padrão do Global Accelerator. Quando você protege esses tipos de recursos com o Shield Advanced, o Shield Advanced pode fornecer mitigações para ataques menores e mitigação mais rápida para ataques, mesmo quando o tráfego está dentro da capacidade do aplicativo.

  Ao adicionar detecção baseada em integridade, durante períodos em que a verificação de integridade associada não está íntegra, o Shield Advanced pode colocar mitigações ainda mais rapidamente e em limites ainda mais baixos.

• Recursos da camada de aplicativo (camada 7) — A detecção baseada em integridade melhora a precisão da detecção de inundação de solicitações da web para CloudFront distribuições e balanceadores de carga de aplicativos. Ao proteger esses tipos de recursos com o Shield Advanced, você recebe alertas de detecção de inundação de solicitações da web quando há um desvio estatisticamente significativo no volume de tráfego combinado com mudanças significativas nos padrões de tráfego, com base nas características da solicitação.

  Com a detecção baseada na integridade, quando a verificação de integridade do Route 53 associada revela que não há integridade, o Shield Advanced requer desvios menores para alertas e relata eventos mais rapidamente. Quando a verificação de integridade do Route 53 associada revela integridade, o Shield Advanced requer desvios maiores para alertas.

Sumário

• Práticas recomendadas para usar verificações de integridade com o Shield Advanced
• Métricas comumente usadas para verificações de integridade
  • Para monitorar a integridade do aplicativo
  • CloudWatch Métricas da Amazon para cada tipo de recurso
• Gerenciar associações de verificação de integridade
  • Como associar uma verificação de integridade ao seu recurso
  • Como desassociar uma verificação de integridade do seu recurso
  • O status da associação de verificação de integridade
• Exemplos de verificação de integridade
  • CloudFront Distribuições da Amazon
  • Balanceadores de cargas
  • Endereço IP elástico (EIP) do Amazon EC2