Configure as proteções contra DDoS da camada de aplicativo (camada 7) com AWS WAF

Para proteger um recurso da camada de aplicação, o Shield Advanced usa uma AWS WAF Web ACL com uma regra baseada em taxas como ponto de partida. AWS WAF é um firewall de aplicativo web que permite monitorar as solicitações HTTP e HTTPS que são encaminhadas para os recursos da camada de aplicativos e permite controlar o acesso ao seu conteúdo com base nas características das solicitações. Uma regra baseada em intervalos limita o volume de tráfego com base nos critérios de agregação de solicitações, fornecendo proteção básica contra DDoS ao seu aplicativo. Para ter mais informações, consulte Como AWS WAF funciona e Instrução de regra baseada em intervalos.

Como opção, é possível habilitar a mitigação automática de DDoS para a camada da aplicação do Shield Avançado com a finalidade de limitar o volume de solicitações de fontes de DDoS conhecidas para o Shield Avançado e fornecer automaticamente proteções específicas de incidentes.

Importante

Se você gerencia suas proteções Shield Advanced AWS Firewall Manager usando uma política Shield Advanced, você não pode gerenciar as proteções da camada de aplicativos aqui. Você deve gerenciá-las na política do Shield Advanced do Firewall Manager.

Assinaturas e custos do Shield Advanced AWS WAF

Sua assinatura do Shield Advanced cobre os custos de uso dos AWS WAF recursos padrão dos recursos que você protege com o Shield Advanced. As AWS WAF taxas padrão cobertas pelas proteções Shield Advanced são o custo por ACL da web, o custo por regra e o preço base por milhão de solicitações para inspeção de solicitações da web, até 1.500 WCUs e até o tamanho padrão do corpo.

A ativação da mitigação automática de DDoS na camada de aplicação do Shield Advanced adiciona um grupo de regras à sua ACL da web que usa 150 unidades de capacidade da ACL da web (WCUs). Essas WCUs contam contra o uso de WCU em sua web ACL. Para obter mais informações, consulte Mitigação automática de DDoS da camada de aplicação do Shield Advanced, O grupo de regras do Shield Advanced e AWS WAF unidades de capacidade web ACL (WCUs).

Sua assinatura do Shield Advanced não cobre o uso AWS WAF de recursos que você não protege usando o Shield Advanced. Também não cobre nenhum custo adicional não padronizado AWS WAF para recursos protegidos. Exemplos de AWS WAF custos não padrão são aqueles para o Bot Control, para a ação da CAPTCHA regra, para ACLs da web que usam mais de 1.500 WCUs e para inspecionar o corpo da solicitação além do tamanho padrão. A lista completa é fornecida na página AWS WAF de preços.

Para obter informações completas e exemplos de preços, consulte Preços do Shield e Preços do AWS WAF.

Para configurar proteções contra DDoS de camada 7 para uma região

O Shield Advanced oferece a opção de configurar a mitigação de DDoS de camada 7 para cada região nas quais os recursos escolhidos estão localizados. Se você estiver adicionando proteções em várias regiões, o assistente o guiará pelo procedimento a seguir para cada região.

1. A página Configurar proteções contra DDoS da camada 7 lista cada recurso que ainda não está associado a uma web ACL. Para cada uma delas, escolha uma web ACL existente ou crie uma nova web ACL. Para qualquer recurso que já tenha uma ACL da Web associada, você pode alterar as ACLs da Web desassociando primeiro a atual. AWS WAF Para ter mais informações, consulte Associando ou desassociando uma ACL da web com um recurso AWS.

   Para web ACLs que ainda não têm uma regra baseada em intervalos, o assistente de configuração solicita que você adicione uma. Uma regra baseada em intervalos limita o tráfego de endereços IP quando eles estão enviando um grande volume de solicitações. As regras baseadas em intervalos ajudam a proteger seu aplicativo contra floods de solicitações da web, e podem fornecer alertas sobre picos repentinos no tráfego que podem indicar um possível ataque de DDoS. Adicione uma regra baseada em intervalos a uma web ACL escolhendo Adicionar regra de limite de intervalo e, em seguida, fornecendo um limite de intervalo e uma ação de regra. Você pode configurar proteções adicionais na Web ACL por meio de. AWS WAF

   Para obter informações sobre o uso de web ACLs e regras baseadas em intervalos em suas proteções do Shield Advanced, incluindo opções adicionais de configuração para regras baseadas em intervalos, consulte ACLs AWS WAF da web da camada de aplicação Shield Advanced e regras baseadas em taxas.

2. Para a mitigação automática de DDoS na camada de aplicativo, se você quiser que o Shield Advanced mitigue automaticamente os ataques de DDoS contra seus recursos da camada de aplicativo, escolha Habilitar e, em seguida, selecione a ação de AWS WAF regra que você deseja que o Shield Advanced use em suas regras personalizadas. Essa configuração se aplica a todas as web ACLs para os recursos que você gerencia nessa sessão do assistente.

   Com a mitigação automática de DDoS na camada de aplicação, o Shield Advanced mantém uma regra baseada em taxas na ACL da AWS WAF web do recurso que limita o volume de solicitações de fontes conhecidas de DDoS. Além disso, o Shield Avançado compara os padrões de tráfego atuais com as linhas de base de tráfego históricas para detectar desvios que possam indicar um ataque de DDoS. Quando o Shield Advanced detecta um ataque de DDoS, ele responde criando, avaliando e implantando regras personalizadas para responder. AWS WAF Você especifica se as regras personalizadas contam ou bloqueiam ataques em seu nome.

   nota

   A mitigação automática de DDoS na camada de aplicativo funciona somente com ACLs da web que foram criadas usando a versão mais recente do (v2). AWS WAF

   Para obter mais informações sobre a mitigação automática de DDoS na camada de aplicação Shield Advanced, incluindo advertências e melhores práticas para o uso desse recurso, consulte. Mitigação automática de DDoS da camada de aplicação do Shield Advanced

3. Escolha Próximo. O assistente do console avança para a página de detecção baseada em integridade.