As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Essa página oferece um exemplo de arquitetura para maximizar a resiliência contra ataques de DDoS com aplicativos web da AWS.
Você pode criar um aplicativo web em qualquer região AWS e receber proteção automática contra DDoS a partir dos recursos de detecção e mitigação que a AWS fornece na região.
Este exemplo é para arquiteturas que direcionam usuários para um aplicativo web usando recursos como Classic Load Balancers, Application Load Balancers, Network Load Balancers, soluções do Marketplace da AWS ou sua própria camada de proxy. Você pode melhorar a resiliência de DDoS inserindo zonas hospedadas do Amazon Route 53, distribuições do Amazon CloudFront e web ACLs AWS WAF entre esses recursos de aplicativos web e seus usuários. Essas inserções podem ofuscar a origem do aplicativo, atender às solicitações mais perto dos usuários finais e detectar e mitigar as inundações de solicitações na camada de aplicação. Os aplicativos que fornecem conteúdo estático ou dinâmico para seus usuários com o CloudFront e o Route 53 são protegidos por um sistema de mitigação de DDoS integrado e totalmente em linha que mitiga os ataques na camada de infraestrutura em tempo real.
Com essas melhorias arquitetônicas implementadas, você pode proteger suas zonas hospedadas do Route 53 e suas distribuições do CloudFront com o Shield Advanced. Quando você protege as distribuições do CloudFront, o Shield Advanced solicita que você associe web ACLs do AWS WAF e crie regras baseadas em intervalos para elas, além de oferecer a opção de ativar a mitigação automática de DDoS na camada de aplicação ou o engajamento proativo. O engajamento proativo e a mitigação automática de DDoS na camada de aplicação usam as verificações de integridade do Route 53 que você associa ao recurso. Para saber mais sobre essas opções, consulte Proteções de recursos no AWS Shield Advanced.
O diagrama de referência a seguir mostra essa arquitetura resiliente a DDoS para um aplicativo web.
Os benefícios que essa abordagem oferece ao seu aplicativo web incluem os seguintes:
-
Proteção contra ataques de DDoS na camada de infraestrutura (camada 3 e camada 4) usada com frequência, sem atraso na detecção. Além disso, se um recurso for um alvo frequente, o Shield Advanced coloca mitigações por longos períodos de tempo. O Shield Advanced também usa o contexto do aplicativo inferido de Network ACLs (NACLs) para bloquear o tráfego indesejado ainda mais acima. Isso isola as falhas mais perto de sua origem, minimizando o efeito sobre usuários legítimos.
-
Proteção contra inundações TCP SYN. Os sistemas de mitigação de DDoS que são integrados ao CloudFront, Route 53 e AWS Global Accelerator fornecem um recurso de proxy TCP SYN que desafia novas tentativas de conexão e atende apenas a usuários legítimos.
-
Proteção contra ataques à camada de aplicação de DNS, porque o Route 53 é responsável por fornecer respostas autorizadas de DNS.
-
Proteção contra inundações de solicitações na camada de aplicação da web. A regra baseada em intervalos que você configura na sua web ACL do AWS WAF bloqueia os IPs de origem quando eles estão enviando mais solicitações do que o permitido pela regra.
-
Mitigação automática de DDoS na camada de aplicação para suas distribuições do CloudFront, se você optar por ativar essa opção. Com a mitigação automática de DDoS, o Shield Avançado mantém uma regra baseada em intervalos na ACL da Web do AWS WAF que está associada à distribuição e limita o volume de solicitações de fontes de DDoS conhecidas. Além disso, quando o Shield Avançado detecta um evento que afeta a integridade da aplicação, ele cria, testa e gerencia automaticamente as regras de mitigação na ACL da Web.
-
Engajamento proativo com a Shield Response Team (SRT), se você optar por ativar essa opção. Quando o Shield Advanced detecta um evento que afeta a integridade do seu aplicativo, o SRT responde e interage proativamente com suas equipes de segurança ou operações usando as informações de contato fornecidas por você. O SRT analisa padrões em seu tráfego e pode atualizar suas regras de AWS WAF para bloquear o ataque.