Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Exemplo de arquitetura de resiliência Shield Advanced DDo S para aplicativos web comuns

PDF
RSS
Modo de foco
Exemplo de arquitetura de resiliência Shield Advanced DDo S para aplicativos web comuns - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Esta página fornece um exemplo de arquitetura para maximizar a resiliência contra ataques DDo S com aplicativos AWS web.

Você pode criar um aplicativo web em qualquer AWS região e receber proteção DDo S automática dos recursos de detecção e mitigação AWS fornecidos na região.

Este exemplo é para arquiteturas que direcionam usuários para um aplicativo web usando recursos como Classic Load Balancers, Application Load Balancers, Network Load Balancers, soluções do Marketplace da AWS ou sua própria camada de proxy. Você pode melhorar a resiliência DDo S inserindo zonas hospedadas do Amazon Route 53, CloudFront distribuições da Amazon e AWS WAF web ACLs entre esses recursos de aplicativos web e seus usuários. Essas inserções podem ofuscar a origem do aplicativo, atender às solicitações mais perto dos usuários finais e detectar e mitigar as inundações de solicitações na camada de aplicação. Os aplicativos que fornecem conteúdo estático ou dinâmico para seus usuários com o Route 53 são protegidos por um sistema de mitigação DDo S integrado CloudFront e totalmente embutido que atenua os ataques à camada de infraestrutura em tempo real.

Com essas melhorias arquitetônicas implementadas, você pode proteger suas zonas hospedadas do Route 53 e suas CloudFront distribuições com o Shield Advanced. Quando você protege CloudFront distribuições, o Shield Advanced solicita que você associe a AWS WAF web ACLs e crie regras baseadas em taxas para elas, além de oferecer a opção de ativar a mitigação automática da camada DDo S do aplicativo ou o engajamento proativo. O engajamento proativo e a mitigação automática da camada DDo S do aplicativo usam as verificações de saúde do Route 53 que você associa ao recurso. Para saber mais sobre essas opções, consulte Proteções de recursos em AWS Shield Advanced.

O diagrama de referência a seguir mostra essa arquitetura resiliente DDo S para um aplicativo web.

O diagrama mostra um retângulo intitulado AWS cloud, com um grupo de usuários à esquerda. Dentro do retângulo da nuvem estão dois outros retângulos, lado a lado. O retângulo esquerdo é intitulado AWS Shield Advanced e o retângulo direito é intitulado VPC. O AWS Shield Advanced triângulo esquerdo contém três AWS ícones, empilhados verticalmente. De cima para baixo, os ícones são Amazon Route 53 CloudFront, Amazon AWS WAF e. O ícone de CloudFront tem setas que vão de e para o ícone de. AWS WAF O grupo de usuários tem uma seta saindo horizontalmente à direita que se divide para apontar para os ícones do Route 53 e. CloudFront À direita do retângulo Shield Advanced, o retângulo VPC contém dois ícones lado a lado. Da esquerda para a direita, esses ícones são Elastic Load Balancing e Amazon Elastic Compute Cloud. O CloudFront ícone tem uma seta saindo horizontalmente à direita que vai até o ícone do Elastic Load Balancing. O ícone do Elastic Load Balancing tem uma seta saindo horizontalmente à direita que vai até o ícone da Amazon. EC2 Portanto, as solicitações do usuário são enviadas para o Route 53 CloudFront e. CloudFront interage AWS WAF e também envia solicitações para o balanceador de carga, que por sua vez envia solicitações na Amazon. EC2

Os benefícios que essa abordagem oferece ao seu aplicativo web incluem os seguintes:

  • Proteção contra ataques da camada de infraestrutura (camada 3 e camada 4) DDo S usados com frequência, sem atraso na detecção. Além disso, se um recurso for um alvo frequente, o Shield Advanced coloca mitigações por longos períodos de tempo. O Shield Advanced também usa o contexto do aplicativo inferido de Network ACLs (NACLs) para bloquear o tráfego indesejado ainda mais acima. Isso isola as falhas mais perto de sua origem, minimizando o efeito sobre usuários legítimos.

  • Proteção contra inundações TCP SYN. Os sistemas de mitigação DDo S, integrados ao Route 53CloudFront, AWS Global Accelerator fornecem um recurso de proxy TCP SYN que desafia novas tentativas de conexão e atende apenas a usuários legítimos.

  • Proteção contra ataques à camada de aplicação de DNS, porque o Route 53 é responsável por fornecer respostas autorizadas de DNS.

  • Proteção contra inundações de solicitações na camada de aplicação da web. A regra baseada em taxa que você configura na sua AWS WAF Web ACL bloqueia a origem IPs quando eles estão enviando mais solicitações do que o permitido pela regra.

  • Mitigação automática da camada DDo S de aplicação para suas CloudFront distribuições, se você optar por ativar essa opção. Com a mitigação automática de DDo S, o Shield Advanced mantém uma regra baseada em taxas na ACL da AWS WAF web associada à distribuição que limita o volume de solicitações de fontes S conhecidas. DDo Além disso, quando o Shield Avançado detecta um evento que afeta a integridade da aplicação, ele cria, testa e gerencia automaticamente as regras de mitigação na ACL da Web.

  • Engajamento proativo com a Shield Response Team (SRT), se você optar por ativar essa opção. Quando o Shield Advanced detecta um evento que afeta a integridade do seu aplicativo, o SRT responde e interage proativamente com suas equipes de segurança ou operações usando as informações de contato fornecidas por você. O SRT analisa padrões em seu tráfego e pode atualizar suas AWS WAF regras para bloquear o ataque.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.