Como AWS Shield atenua os eventos - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como AWS Shield atenua os eventos

A lógica de mitigação que protege seu aplicativo pode variar dependendo da arquitetura do aplicativo. Ao proteger uma aplicação web com a Amazon CloudFront e o Amazon Route 53, você se beneficia de mitigações específicas para casos de uso da web e do DNS e que protegem todo o tráfego dos serviços. Quando o ponto de entrada do seu aplicativo é um recurso executado em uma AWS região, a lógica de mitigação varia de acordo com o serviço, o tipo de recurso e o uso do. AWS Shield Advanced

AWS Os sistemas de mitigação de DDoS são desenvolvidos pelos engenheiros da Shield e estão intimamente integrados aos serviços. AWS Os engenheiros levam em consideração aspectos de sua arquitetura, como a capacidade e a integridade dos recursos alvo. Os engenheiros do Shield monitoram continuamente a eficácia e o desempenho dos sistemas de mitigação de DDoS e são capazes de responder rapidamente quando novas ameaças são descobertas ou antecipadas.

Você pode arquitetar seu aplicativo para escalar em resposta ao tráfego elevado ou à carga elevada, para ajudar a garantir que ele não seja afetado por pequenos fluxos de solicitações. Se você usa o Shield Advanced para proteger seus recursos, receberá cobertura contra aumentos inesperados em sua conta de nuvem que possam ocorrer como resultado de um ataque de DDoS.

Mitigações da infraestrutura

Para ataques na camada de infraestrutura, os sistemas de mitigação de AWS Shield DDoS estão presentes na fronteira da AWS rede e nos locais periféricos. AWS A colocação de vários níveis de controles de segurança em toda a AWS infraestrutura fornece defense-in-depth aos seus aplicativos em nuvem.

O Shield mantém sistemas de mitigação de DDoS em todos os pontos de entrada da Internet. Quando o Shield detecta um ataque de DDoS, para cada ponto de entrada ele redireciona o tráfego pelos sistemas de mitigação de DDoS no mesmo local. Isso não introduz nenhuma latência adicional observável e fornece uma capacidade de mitigação de mais de 100 TeraBits por segundo (Tbps) em todas as AWS regiões e todos os pontos de presença. O Shield protege a disponibilidade dos seus recursos sem redirecionar o tráfego para centros de depuração externos ou remotos, o que pode aumentar a latência.

  • Na fronteira da AWS rede, para qualquer AWS serviço ou recurso, os sistemas de mitigação de DDoS mitigam os ataques da camada de infraestrutura provenientes da Internet. Os sistemas realizam suas mitigações quando sinalizados pela detecção do Shield ou por um engenheiro no Shield Response Team (SRT).

  • Nos pontos AWS de presença, os sistemas de mitigação de DDoS inspecionam continuamente cada pacote que é encaminhado para as distribuições da Amazon CloudFront e para as zonas hospedadas do Amazon Route 53, independentemente de sua origem. Quando necessário, os sistemas aplicam mitigações que são projetadas especificamente para o tráfego da web e do DNS. Um benefício adicional de usar a Amazon CloudFront e o Amazon Route 53 para proteger seus aplicativos web é que os ataques de DDoS são imediatamente mitigados, sem exigir um sinal da detecção do Shield.

Mitigações da camada de aplicação

O Shield Advanced fornece mitigações na camada de aplicativos web para as CloudFront distribuições e os balanceadores de carga de aplicativos da Amazon nos quais você habilitou as proteções do Shield Advanced. Ao habilitar a proteção, você associa uma AWS WAF Web ACL ao recurso para habilitar a detecção da camada de aplicação Web. Além disso, você tem a opção de habilitar a mitigação automática para a camada da aplicação, que instrui o Shield Avançado a gerenciar as proteções para você durante um ataque de DDoS.

O Shield fornece apenas mitigações personalizadas para ataques na camada de aplicação em recursos para os quais você ativou o Shield Advanced e a mitigação automática da camada de aplicação. Com a mitigação automática, o Shield Advanced impõe a limitação AWS WAF de taxa nas solicitações de fontes conhecidas de DDoS e adiciona e gerencia automaticamente AWS WAF proteções personalizadas em resposta aos ataques de DDoS detectados. Para obter informações detalhadas sobre mitigações desse tipo, consulte Como o Shield Advanced gerencia a mitigação automática.

Uma regra baseada em taxas em sua ACL da web, seja adicionada por você ou adicionada pelo recurso de mitigação automática da camada de aplicação do Shield Advanced, pode mitigar um ataque antes que ele atinja um nível detectável. Para obter mais informações sobre detecção, consulteLógica de detecção para ameaças na camada de aplicativo.