AWS Shield lógica de mitigação para CloudFront e Route 53 - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Shield lógica de mitigação para CloudFront e Route 53

A mitigação de DDoS do Shield inspeciona continuamente o tráfego e o Route 53. CloudFront Esses serviços operam a partir de uma rede distribuída globalmente AWS de pontos de presença que fornecem amplo acesso à capacidade de mitigação de DDoS da Shield e entregam seu aplicativo a partir de uma infraestrutura mais próxima de seus usuários finais.

  • CloudFront— As mitigações de DDoS do Shield permitem apenas que o tráfego válido para aplicativos da web passe para o serviço. Isso fornece proteção automática contra muitos vetores comuns de DDoS, como ataques de reflexão UDP.

    CloudFront mantém conexões persistentes com a origem do aplicativo, as inundações de TCP SYN são automaticamente mitigadas por meio da integração com o recurso de proxy Shield TCP SYN e o Transport Layer Security (TLS) é encerrado na borda. Esses atributos combinados garantem que a origem do seu aplicativo receba apenas solicitações da web bem formadas e que esteja protegida contra ataques de DDoS de camada inferior, floods de conexão e abuso de TLS.

    CloudFront usa uma combinação de direção de tráfego DNS e roteamento anycast. Essas técnicas melhoram a resiliência do seu aplicativo mitigando ataques próximos à origem, fornecendo isolamento de falhas e garantindo acesso à capacidade de mitigar os maiores ataques conhecidos.

  • Route 53: as mitigações do Shield só permitem que solicitações de DNS válidas cheguem ao serviço. O Shield mitiga floods de consultas ao DNS usando a pontuação de suspeita que prioriza consultas reconhecidamente válidas e retira a prioridade das consultas que contenham atributos de ataque de DDoS suspeitos ou conhecidos.

    O Route 53 usa fragmentação aleatória para fornecer um conjunto exclusivo de quatro endereços IP do resolvedor para cada zona hospedada, tanto para IPv4 quanto para IPv6. Cada endereço IP corresponde a um subconjunto diferente de localizações do Route 53. Cada subconjunto de localização consiste em servidores DNS autoritativos que se sobrepõem apenas parcialmente à infraestrutura em qualquer outro subconjunto. Isso garante que, se uma consulta do usuário falhar por qualquer motivo, ela será atendida com sucesso em uma nova tentativa.

    O Route 53 usa o roteamento anycast para direcionar consultas ao DNS ao ponto de presença mais próximo, com base no local da borda. O Anycast também distribui o tráfego de DDoS para vários locais da borda, o que impede que os ataques se concentrem em um único local.

Além da velocidade de mitigação, CloudFront o Route 53 fornece amplo acesso à capacidade distribuída globalmente do Shield. Para aproveitar esses recursos, use esses serviços como ponto de entrada de seus aplicativos web dinâmicos ou estáticos.

Para saber mais sobre como usar o CloudFront Route 53 para proteger aplicativos web, consulte Como ajudar a proteger aplicativos web dinâmicos contra ataques de DDoS usando o Amazon CloudFront e o Amazon Route 53. Para saber mais sobre isolamento de falhas no Route 53, consulte Um estudo de caso sobre isolamento global de falhas.