As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
ACLs AWS WAF da web da camada de aplicação Shield Advanced e regras baseadas em taxas
Para proteger um recurso da camada de aplicativo com o Shield Advanced, você começa associando uma ACL AWS WAF da web ao recurso. AWS WAF é um firewall de aplicativo web que permite monitorar as solicitações HTTP e HTTPS que são encaminhadas para os recursos da camada de aplicativos e permite controlar o acesso ao seu conteúdo com base nas características das solicitações. Você pode configurar uma web ACL para monitorar e gerenciar solicitações com base em fatores como a origem da solicitação, o conteúdo das sequências de caracteres de consulta e dos cookies e a taxa de solicitações provenientes de um único endereço IP. No mínimo, sua proteção Shield Advanced exige que você associe uma web ACL a uma regra baseada em intervalos, que limita a taxa de solicitações para cada endereço IP.
Se a web ACL associada não tiver uma regra baseada em intervalos definida, o Shield Advanced solicitará que você defina pelo menos uma. As regras baseadas em intervalos bloqueiam automaticamente o tráfego dos IPs de origem quando excedem os limites definidos por você. Elas ajudam a proteger seu aplicativo contra inundações de solicitações da web e podem fornecer alertas sobre picos repentinos no tráfego que podem indicar um possível ataque de DDoS.
nota
Uma regra baseada em taxas responde muito rapidamente aos picos no tráfego que a regra está monitorando. Por esse motivo, uma regra baseada em taxas pode impedir não apenas um ataque, mas também a detecção de um possível ataque pela detecção do Shield Advanced. Essa compensação favorece a prevenção em vez da visibilidade completa dos padrões de ataque. Recomendamos usar uma regra baseada em taxas como sua primeira linha de defesa contra ataques.
Com sua web ACL em vigor, se ocorrer um ataque de DDoS, você aplica mitigações adicionando e gerenciando regras na web ACL. Você pode fazer isso diretamente, com a ajuda da Shield Response Team (SRT), ou automaticamente por meio da mitigação automática de DDoS na camada de aplicação.
Importante
Se você também usa a mitigação automática de DDoS na camada de aplicação, consulte as melhores práticas para gerenciar sua ACL da web em. Práticas recomendadas para usar a mitigação automática
Comportamento padrão de regras com base em taxas
Quando você usa uma regra baseada em taxa com sua configuração padrão, avalia AWS WAF periodicamente o tráfego na janela de tempo anterior de 5 minutos. AWS WAF bloqueia solicitações de qualquer endereço IP que exceda o limite da regra até que a taxa de solicitação caia para um nível aceitável. Ao configurar uma regra baseada em taxa por meio do Shield Advanced, configure seu limite de taxa para um valor maior do que a taxa de tráfego normal que você espera de qualquer IP de origem em qualquer janela de cinco minutos.
Talvez você queira usar mais de uma regra baseada em intervalos em uma web ACL. Por exemplo, você pode ter uma regra baseada em intervalos para todo o tráfego que tenha um limite alto, além de uma ou mais regras adicionais configuradas para corresponder a partes selecionadas do seu aplicativo web e que tenham limites mais baixos. Por exemplo, você pode combinar o URI /login.html com um limite mais baixo para mitigar o abuso em uma página de login.
Você pode configurar uma regra baseada em taxa para usar uma janela de tempo de avaliação diferente e agregar solicitações por vários componentes da solicitação, como valores de cabeçalho, rótulos e argumentos de consulta. Para ter mais informações, consulte Instrução de regra baseada em intervalos.
Para obter informações e orientações adicionais, consulte a postagem do blog de segurança As três regras AWS WAF baseadas em taxas mais importantes
Opções de configuração expandidas por meio de AWS WAF
O console Shield Advanced permite que você adicione uma regra baseada em taxas e a configure com as configurações básicas padrão. Você pode definir opções de configuração adicionais gerenciando suas regras baseadas em taxas por meio de. AWS WAF Por exemplo, você pode configurar a regra para agregar solicitações com base em chaves como um endereço IP encaminhado, uma sequência de caracteres de consulta e um rótulo. Você também pode adicionar uma declaração de redução de escopo à regra para filtrar algumas solicitações de avaliação e limitação de intervalo. Para ter mais informações, consulte Instrução de regra baseada em intervalos. Para obter informações sobre como usar AWS WAF para gerenciar suas regras de monitoramento e gerenciamento de solicitações da web, consulteCriação de uma web ACL.
