Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Exemplo de arquitetura de resiliência a DDoS do Shield Advanced para aplicativos comuns da Web

Modo de foco
Exemplo de arquitetura de resiliência a DDoS do Shield Advanced para aplicativos comuns da Web - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Essa página oferece um exemplo de arquitetura para maximizar a resiliência contra ataques de DDoS com aplicativos web da AWS.

Você pode criar um aplicativo web em qualquer região AWS e receber proteção automática contra DDoS a partir dos recursos de detecção e mitigação que a AWS fornece na região.

Este exemplo é para arquiteturas que direcionam usuários para um aplicativo web usando recursos como Classic Load Balancers, Application Load Balancers, Network Load Balancers, soluções do Marketplace da AWS ou sua própria camada de proxy. Você pode melhorar a resiliência de DDoS inserindo zonas hospedadas do Amazon Route 53, distribuições do Amazon CloudFront e web ACLs AWS WAF entre esses recursos de aplicativos web e seus usuários. Essas inserções podem ofuscar a origem do aplicativo, atender às solicitações mais perto dos usuários finais e detectar e mitigar as inundações de solicitações na camada de aplicação. Os aplicativos que fornecem conteúdo estático ou dinâmico para seus usuários com o CloudFront e o Route 53 são protegidos por um sistema de mitigação de DDoS integrado e totalmente em linha que mitiga os ataques na camada de infraestrutura em tempo real.

Com essas melhorias arquitetônicas implementadas, você pode proteger suas zonas hospedadas do Route 53 e suas distribuições do CloudFront com o Shield Advanced. Quando você protege as distribuições do CloudFront, o Shield Advanced solicita que você associe web ACLs do AWS WAF e crie regras baseadas em intervalos para elas, além de oferecer a opção de ativar a mitigação automática de DDoS na camada de aplicação ou o engajamento proativo. O engajamento proativo e a mitigação automática de DDoS na camada de aplicação usam as verificações de integridade do Route 53 que você associa ao recurso. Para saber mais sobre essas opções, consulte Proteções de recursos no AWS Shield Advanced.

O diagrama de referência a seguir mostra essa arquitetura resiliente a DDoS para um aplicativo web.

O diagrama mostra um retângulo intitulado AWS cloud, com um grupo de usuários à esquerda. Dentro do retângulo da nuvem estão dois outros retângulos, lado a lado. O retângulo esquerdo é intitulado AWS Shield Advanced e o retângulo direito é intitulado VPC. O triângulo esquerdo AWS Shield Advanced contém três ícones da AWS, empilhados verticalmente. De cima para baixo, os ícones são Amazon Route 53, Amazon CloudFront e AWS WAF. O ícone do CloudFront tem setas que vão de e para o ícone do AWS WAF. O grupo de usuários tem uma seta saindo horizontalmente à direita que se divide para apontar para os ícones do Route 53 e do CloudFront. À direita do retângulo Shield Advanced, o retângulo VPC contém dois ícones lado a lado. Da esquerda para a direita, esses ícones são Elastic Load Balancing e Amazon Elastic Compute Cloud. O ícone do CloudFront tem uma seta saindo horizontalmente à direita que vai até o ícone do Elastic Load Balancing. O ícone do Elastic Load Balancing tem uma seta saindo horizontalmente à direita que vai até o ícone do Amazon EC2. Portanto, as solicitações dos usuários são enviadas para o Route 53 e o CloudFront. O CloudFront interage com o AWS WAF e também envia solicitações para o balanceador de carga, que por sua vez envia solicitações no Amazon EC2.

Os benefícios que essa abordagem oferece ao seu aplicativo web incluem os seguintes:

  • Proteção contra ataques de DDoS na camada de infraestrutura (camada 3 e camada 4) usada com frequência, sem atraso na detecção. Além disso, se um recurso for um alvo frequente, o Shield Advanced coloca mitigações por longos períodos de tempo. O Shield Advanced também usa o contexto do aplicativo inferido de Network ACLs (NACLs) para bloquear o tráfego indesejado ainda mais acima. Isso isola as falhas mais perto de sua origem, minimizando o efeito sobre usuários legítimos.

  • Proteção contra inundações TCP SYN. Os sistemas de mitigação de DDoS que são integrados ao CloudFront, Route 53 e AWS Global Accelerator fornecem um recurso de proxy TCP SYN que desafia novas tentativas de conexão e atende apenas a usuários legítimos.

  • Proteção contra ataques à camada de aplicação de DNS, porque o Route 53 é responsável por fornecer respostas autorizadas de DNS.

  • Proteção contra inundações de solicitações na camada de aplicação da web. A regra baseada em intervalos que você configura na sua web ACL do AWS WAF bloqueia os IPs de origem quando eles estão enviando mais solicitações do que o permitido pela regra.

  • Mitigação automática de DDoS na camada de aplicação para suas distribuições do CloudFront, se você optar por ativar essa opção. Com a mitigação automática de DDoS, o Shield Avançado mantém uma regra baseada em intervalos na ACL da Web do AWS WAF que está associada à distribuição e limita o volume de solicitações de fontes de DDoS conhecidas. Além disso, quando o Shield Avançado detecta um evento que afeta a integridade da aplicação, ele cria, testa e gerencia automaticamente as regras de mitigação na ACL da Web.

  • Engajamento proativo com a Shield Response Team (SRT), se você optar por ativar essa opção. Quando o Shield Advanced detecta um evento que afeta a integridade do seu aplicativo, o SRT responde e interage proativamente com suas equipes de segurança ou operações usando as informações de contato fornecidas por você. O SRT analisa padrões em seu tráfego e pode atualizar suas regras de AWS WAF para bloquear o ataque.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.