AWS Shield Advanced proteções por tipo de recurso - AWS WAF, AWS Firewall Manager e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Shield Advanced proteções por tipo de recurso

O Shield Advanced protege AWS recursos nas camadas de rede e transporte (camadas 3 e 4) e na camada de aplicação (camada 7). Você pode proteger alguns recursos diretamente e outros por meio da associação com recursos protegidos. O Shield Avançado oferece suporte para IPv4, mas não oferece suporte para IPv6.

Esta seção fornece informações sobre as proteções do Shield Advanced para cada tipo de recurso.

nota

O Shield Advanced protege somente os recursos que você especificou no Shield Advanced ou por meio de uma política AWS Firewall Manager do Shield Advanced. Ele não protege automaticamente seus recursos.

Você pode usar o Shield Advanced para monitoramento e proteção avançados com os seguintes tipos de recursos:

  • CloudFront Distribuições da Amazon. Para implantação CloudFront contínua, o Shield Advanced protege qualquer distribuição temporária associada a uma distribuição primária protegida.

  • Zonas hospedadas do Amazon Route 53.

  • AWS Global Accelerator aceleradores padrão.

  • Endereços de IP elástico do Amazon EC2. O Shield Advanced protege os recursos associados aos endereços IP elásticos protegidos.

  • Instâncias do Amazon EC2, por meio de associação com endereços IP elásticos do Amazon EC2.

  • Os seguintes balanceadores de carga do Elastic Load Balancing (ELB):

    • Application Load Balancers.

    • Classic Load Balancers.

    • Network Load Balancers, por meio de associações com endereços IP elásticos do Amazon EC2.

Você não pode usar o Shield Advanced para proteger nenhum outro tipo de recurso. Por exemplo, você não pode proteger aceleradores de roteamento personalizados AWS Global Accelerator ou balanceadores de carga de gateway.

Você pode monitorar e proteger até 1.000 recursos de cada um desses tipos de recurso por Conta da AWS. Por exemplo, em uma única conta, você pode proteger 1.000 endereços IP elásticos do Amazon EC2, 1.000 CloudFront distribuições e 1.000 Application Load Balancers. Você pode solicitar um aumento no número de recursos que você pode proteger com o Shield Advanced por meio do console Service Quotas em https://console.aws.amazon.com/servicequotas/.

Protegendo instâncias do Amazon EC2 e Network Load Balancers com o Shield Advanced

Você pode proteger as instâncias do Amazon EC2 e os Network Load Balancers anexando primeiro esses recursos aos endereços IP elásticos e, em seguida, protegendo os endereços IP elásticos no Shield Advanced.

Quando você protege endereços IP elásticos, o Shield Advanced identifica e protege os recursos aos quais eles estão conectados. O Shield Advanced identifica automaticamente o tipo de recurso anexado a um endereço IP elástico e aplica as detecções e mitigações apropriadas para esse recurso. Isso inclui a configuração de network ACLs específicas para esse endereço IP elástico. Para obter mais informações sobre como usar endereços IP elásticos com seus recursos da AWS , consulte o guia apropriado: Documentação do Amazon Elastic Compute Cloud ou Documentação do Elastic Load Balancing.

Durante um ataque, o Shield Advanced implanta automaticamente suas ACLs de rede na borda da AWS rede. Quando suas ACLs de rede estão na borda da rede, o Shield Advanced pode fornecer proteção contra eventos DDoS maiores. Normalmente, ACLs de rede são aplicadas perto de suas instâncias do Amazon EC2 na sua Amazon VPC. A rede ACL pode atenuar ataques somente até a capacidade máxima de processamento da Amazon VPC e da instância. Por exemplo, se a interface de rede anexada à sua instância do Amazon EC2 puder processar até 10 Gbps, volumes com mais de 10 Gbps ficarão lentos e possivelmente bloquearão o tráfego para essa instância. Durante um ataque, o Shield Advanced promove sua network ACL para a borda da AWS , que pode processar vários terabytes de tráfego. Sua network ACL é capaz de oferecer proteção para seu recurso muito além da capacidade típica da sua rede. Para obter mais informações sobre network ACLs, consulte network ACLs.

Algumas ferramentas de escalabilidade, por exemplo AWS Elastic Beanstalk, não permitem que você anexe automaticamente um endereço IP elástico a um Network Load Balancer. Nesses casos, você precisa anexar manualmente o endereço IP elástico.