Resposta a eventos de DDoS

AWS mitiga automaticamente os ataques de negação de serviço distribuído (DDoS) na rede e na camada de transporte (camada 3 e camada 4). Se você usa o Shield Advanced para proteger suas instâncias do Amazon EC2, durante um ataque, o Shield Advanced implanta automaticamente suas ACLs de rede Amazon VPC na borda da rede AWS . Isso permite que o Shield Advanced forneça proteção contra eventos maiores de DDoS. Para obter mais informações sobre network ACLs, consulte network ACLs.

Para ataques de DDoS na camada de aplicação (camada 7), AWS tentativas de detectar e notificar AWS Shield Advanced os clientes por meio de CloudWatch alarmes. Por padrão, ele não aplica mitigações automaticamente para evitar o bloqueio inadvertido do tráfego válido de usuários.

Para recursos da camada de aplicação (camada 7), você tem as seguintes opções disponíveis para responder a um ataque.

• Fornecer suas próprias mitigações: você pode investigar e mitigar o ataque sozinho. Para mais informações, consulte Mitigação manual de um ataque de DDoS na camada de aplicação.

• Entrar em contato com o suporte: se você é cliente do Shield Advanced, pode entrar em contato com o Centro AWS Support para obter ajuda com as mitigações. Casos críticos e urgentes são encaminhados diretamente a especialistas em DDoS. Para mais informações, consulte Entrando em contato com o centro de suporte durante um ataque de DDoS na camada de aplicação.

Além disso, antes que um ataque ocorra, você pode ativar proativamente as seguintes opções de mitigação:

• Mitigações automáticas nas CloudFront distribuições da Amazon — Com essa opção, o Shield Advanced define e gerencia regras de mitigação para você em sua ACL web. Para obter informações sobre a mitigação automática da camada de aplicação, consulte Mitigação automática de DDoS da camada de aplicação do Shield Advanced.

• Engajamento proativo — Quando AWS Shield Advanced detecta um grande ataque na camada de aplicativos contra um de seus aplicativos, o SRT pode entrar em contato com você de forma proativa. O SRT faz a triagem do incidente de DDoS e cria mitigações do AWS WAF . O SRT entra em contato com você e, com seu consentimento, pode aplicar as regras AWS WAF . Para obter mais informações sobre essa opção, consulte Como configurar o engajamento proativo.

Entrando em contato com o centro de suporte durante um ataque de DDoS na camada de aplicação

Se você for um AWS Shield Advanced cliente, entre em contato com o AWS Support Centro para obter ajuda com as mitigações. Casos críticos e urgentes são encaminhados diretamente a especialistas em DDoS. Com isso AWS Shield Advanced, casos complexos podem ser encaminhados para a AWS Shield Response Team (SRT), que tem profunda experiência em proteger AWS a Amazon.com e suas subsidiárias. Para obter mais informações sobre o SRT, consulte Suporte do Shield Response Team (SRT).

Para obter suporte do Shield Response Team (SRT), entre em contato com a Central AWS Support. O tempo de resposta para seu caso dependerá da gravidade selecionada e dos tempos de resposta, que são documentados na página Plano de suporte da AWS Support.

Selecione as seguintes opções:

• Tipo de caso: suporte técnico

• Serviço: negação de serviço distribuída (DDoS)

• Categoria: Entrada para AWS

• Gravidade: escolha uma opção apropriada

Ao conversar com nosso representante, explique que você é um AWS Shield Advanced cliente que está enfrentando um possível ataque de DDoS. Nosso representante encaminhará sua chamada aos especialistas em DDoS. Se você abrir um caso na Central AWS Support usando o tipo de serviço Distributed Denial of Service (DDoS), poderá falar diretamente com um especialista em DDoS por chat ou telefone. Os engenheiros de suporte de DDoS podem ajudá-lo a identificar ataques, recomendar melhorias em sua AWS arquitetura e fornecer orientação sobre o uso de AWS serviços para mitigação de ataques de DDoS.

Para ataques na camada de aplicação, o SRT pode ajudá-lo a analisar a atividade suspeita. Se você tiver a mitigação automática ativada para seu recurso, o SRT poderá analisar as mitigações que o Shield Advanced está aplicando automaticamente contra o ataque. Em qualquer caso, o SRT pode ajudá-lo a analisar e mitigar o problema. As mitigações recomendadas pelo SRT geralmente exigem que o SRT crie ou atualize listas de controle de acesso à AWS WAF web (ACLs da web) em sua conta. O SRT precisará de sua permissão para fazer esse trabalho.

Importante

Recomendamos que, como parte da habilitação AWS Shield Advanced, você siga as etapas Como configurar o acesso para o Shield Response Team (SRT) para fornecer proativamente ao SRT as permissões necessárias para ajudá-lo durante um ataque. Fornecer a permissão antecipadamente ajuda a evitar atrasos no caso de um ataque real.

O SRT ajuda você a fazer a triagem do ataque DDoS para identificar assinaturas e padrões de ataques. Com seu consentimento, o SRT cria e implanta AWS WAF regras para mitigar o ataque.

Você também pode entrar em contato com o SRT antes ou durante um possível ataque para desenvolver e implantar mitigações personalizadas. Por exemplo, se você estiver executando um aplicativo web e precisar apenas das portas 80 e 443 abertas, você pode trabalhar com o SRT para pré-configurar uma web ACL para “permitir” apenas as portas 80 e 443.

Você autoriza e entra em contato com o SRT no nível de conta. Ou seja, se você usar o Shield Advanced em uma política do Firewall Manager Shield Advanced, o proprietário da conta, e não o administrador do Firewall Manager, deverá entrar em contato com o SRT para obter suporte. O administrador do Firewall Manager poderá autorizar o SRT apenas para contas pertencentes a ele.

Mitigação manual de um ataque de DDoS na camada de aplicação

Se você determinar que a atividade na página de eventos do seu recurso representa um ataque de DDoS, você pode criar suas próprias AWS WAF regras em sua ACL da web para mitigar o ataque. Essa é a única opção disponível se você não for cliente do Shield Advanced. AWS WAF está incluído sem AWS Shield Advanced custo adicional. Para obter mais informações sobre como criar regras na sua web ACL, consulte AWS WAF listas de controle de acesso à web (ACLs da web).

Se você usa AWS Firewall Manager, você pode adicionar suas AWS WAF regras a uma AWS WAF política do Firewall Manager.

Para mitigar manualmente um potencial ataque de DDoS na camada de aplicação

1. Crie declarações de regras em sua web ACL com critérios que correspondam ao comportamento incomum. Para começar, configure-os para contar as solicitações correspondentes. Para obter informações sobre como configurar sua web ACL e declarações de regras, consulte Avaliação de regras da web ACL e do grupo de regras e Testando e ajustando suas AWS WAF proteções.

   nota

   Sempre teste suas regras primeiro usando inicialmente a ação de regra Count em vez de Block. Assim que estiver certo de que suas novas regras estão identificando as solicitações corretas, você poderá modificá-las para bloquear essas solicitações.

2. Monitore as contagens de solicitações para determinar se você deseja bloquear as solicitações correspondentes. Se o volume de solicitações continuar incomumente alto e você tiver certeza de que suas regras estão capturando as solicitações que estão causando o alto volume, altere as regras em sua web ACL para bloquear as solicitações.

3. Continue monitorando a página de eventos para garantir que seu tráfego seja tratado como você deseja.

AWS fornece modelos pré-configurados para você começar rapidamente. Os modelos incluem um conjunto de AWS WAF regras que você pode personalizar e usar para bloquear ataques comuns baseados na web. Para obter mais informações, consulte Automações de segurança do AWS WAF.