Práticas recomendadas para usar a mitigação automática - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para usar a mitigação automática

Siga as orientações fornecidas nesta seção ao usar a mitigação automática.

Gerenciamento geral de proteções

Siga estas diretrizes para planejar e implementar suas proteções de mitigação automática.

  • Gerencie todas as suas proteções de mitigação automática por meio do Shield Advanced ou, se você estiver usando AWS Firewall Manager para gerenciar suas configurações de mitigação automática do Shield Advanced, por meio do Firewall Manager. Não misture o uso do Shield Advanced com o Firewall Manager para gerenciar essas proteções.

  • Gerencie recursos semelhantes usando as mesmas web ACLs e configurações de proteção e gerencie recursos diferentes usando web ACLs diferentes. Quando o Shield Advanced mitiga um ataque de DDoS em um recurso protegido, ele define regras para a web ACL associada ao recurso e, em seguida, testa as regras em relação ao tráfego de todos os recursos associados à web ACL. O Shield Advanced só aplicará as regras se elas não afetarem negativamente nenhum dos recursos associados. Para ter mais informações, consulte Como o Shield Advanced gerencia a mitigação automática.

  • Para balanceadores de carga de aplicativos que têm todo o tráfego da Internet enviado por proxy por meio de uma CloudFront distribuição da Amazon, ative apenas a mitigação automática na distribuição. CloudFront A CloudFront distribuição sempre terá o maior número de atributos de tráfego originais, que o Shield Advanced aproveita para mitigar os ataques.

Otimização de detecção e mitigação

Siga essas diretrizes para otimizar as proteções que a mitigação automática fornece aos recursos protegidos. Para obter uma visão geral da detecção e mitigação da camada de aplicação, consulte. Detecção e mitigação

  • Configure verificações de saúde para seus recursos protegidos e use-as para habilitar a detecção baseada na saúde em suas proteções Shield Advanced. Para obter orientações, consulte Detecção baseada em saúde usando verificações de saúde.

  • Ative a mitigação automática no Count modo até que o Shield Advanced estabeleça uma linha de base para o tráfego normal e histórico. O Shield Advanced precisa de 24 horas a 30 dias para estabelecer uma linha de base.

    Estabelecer uma linha de base dos padrões normais de tráfego requer o seguinte:

    • A associação de uma ACL da web com o recurso protegido. Você pode usar AWS WAF diretamente para associar sua ACL da web ou pode fazer com que o Shield Advanced a associe ao habilitar a proteção da camada de aplicação Shield Advanced e especificar uma ACL da web a ser usada.

    • Fluxo de tráfego normal para seu aplicativo protegido. Se seu aplicativo não estiver recebendo tráfego normal, como antes do lançamento do aplicativo, ou se ele não tiver tráfego de produção por longos períodos de tempo, os dados históricos não poderão ser coletados.

Gerenciamento da web ACL

Siga estas diretrizes para gerenciar as ACLs da web que você usa com mitigação automática.

  • Se você precisar substituir a Web ACL associada ao recurso protegido, faça as seguintes alterações na ordem:

    1. No Shield Advanced, desative a mitigação automática.

    2. Em AWS WAF, desassocie a ACL da web antiga e associe a nova ACL da web.

    3. No Shield Advanced, ative a mitigação automática.

    O Shield Advanced não transfere automaticamente a mitigação automática da ACL da web antiga para a nova.

  • Não exclua nenhuma regra de grupo de regras de suas web ACLs cujo nome comece com ShieldMitigationRuleGroup. Se você excluir esse grupo de regras, desabilitará as proteções fornecidas pela mitigação automática do Shield Advanced para cada recurso associado à Web ACL. Além disso, o Shield Advanced pode levar algum tempo para receber a notificação da alteração e atualizar suas configurações. Durante esse período, as páginas do console Shield Advanced fornecerão informações incorretas.

    Para obter mais informações sobre o grupo de regras, consulte O grupo de regras do Shield Advanced.

  • Não modifique o nome de uma regra do grupo de regras cujo nome comece por ShieldMitigationRuleGroup. Isso também pode interferir nas proteções fornecidas pela mitigação automática do Shield Advanced por meio da web ACL.

  • Ao criar regras e grupos de regras, não use nomes que comecem com ShieldMitigationRuleGroup. Essa sequência de caracteres é usada pelo Shield Advanced para gerenciar suas mitigações automáticas.

  • No gerenciamento de suas regras de web ACL, não atribua uma configuração de prioridade de 10.000.000. O Shield Advanced atribui essa configuração de prioridade à sua regra de grupo de regras de mitigação automática quando a adiciona.

  • Mantenha a regra ShieldMitigationRuleGroup priorizada para que ela seja executada quando você quiser em relação às outras regras em sua web ACL. O Shield Advanced adiciona a regra do grupo de regras à web ACL com prioridade 10.000.000, para ser executada após suas outras regras. Se você usar o assistente do AWS WAF console para gerenciar sua ACL da web, ajuste as configurações de prioridade conforme necessário depois de adicionar regras à ACL da web.

  • Se você usa AWS CloudFormation para gerenciar suas ACLs da web, não precisa gerenciar a ShieldMitigationRuleGroup regra do grupo de regras. Siga as orientações em Usando AWS CloudFormation com a mitigação automática de DDoS na camada de aplicativos.