Elastic Load Balancing () BP6 - AWS Melhores práticas para DDoS resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Elastic Load Balancing () BP6

Grandes DDoS ataques podem sobrecarregar a capacidade de uma única EC2 instância da Amazon. Com o Elastic Load Balancing (ELB), você pode reduzir o risco de sobrecarregar seu aplicativo distribuindo o tráfego em várias instâncias de back-end. O Elastic Load Balancing pode ser escalado automaticamente, permitindo que você gerencie volumes maiores quando você tem tráfego extra imprevisto, por exemplo, devido a multidões ou ataques. DDoS Para aplicativos criados em uma AmazonVPC, há três tipos ELBs a serem considerados, dependendo do tipo de aplicativo: Application Load Balancer (ALB), Network Load Balancer () e Classic Load Balancer NLB (). CLB

Para aplicativos da web, você pode usar o Application Load Balancer para rotear o tráfego com base no conteúdo e aceitar somente solicitações da web bem formadas. O Application Load Balancer bloqueia muitos DDoS ataques comuns, como SYN inundações ou ataques de UDP reflexão, protegendo seu aplicativo do ataque. O Application Load Balancer é escalado automaticamente para absorver o tráfego adicional quando esses tipos de ataques são detectados. As atividades de escalonamento devido a ataques na camada de infraestrutura são transparentes para AWS os clientes e não afetam sua fatura.

Para obter mais informações sobre a proteção de aplicativos web com o Application Load Balancer, consulte Getting Started with Application Load Balancers.

Para HTTPS aplicativos que não HTTP sejam//, você pode usar o Network Load Balancer para rotear o tráfego para destinos (por exemplo, EC2 instâncias da Amazon) com latência ultrabaixa. Uma consideração importante com o Network Load Balancer é que qualquer TCP SYN UDP tráfego que chegue ao balanceador de carga em um ouvinte válido será roteado para seus destinos, não absorvido. No entanto, isso não se aplica aos TLS -listeners que encerram a conexão. TCP Para balanceadores de carga de rede com TCP ouvintes, recomendamos a implantação do Global Accelerator para se proteger contra inundações. SYN

Você pode usar o Shield Advanced para configurar a DDoS proteção para endereços IP elásticos. Quando um endereço IP elástico é atribuído por zona de disponibilidade ao Network Load Balancer, o Shield Advanced aplicará DDoS as proteções relevantes para o tráfego do Network Load Balancer.

Para obter mais informações sobre proteção TCP e UDP aplicativos com o Network Load Balancer, consulte Introdução aos Network Load Balancers.

nota

Dependendo da configuração do grupo de segurança, é necessário que o recurso que usa o grupo de segurança use o rastreamento de conexão para rastrear informações sobre o tráfego. Isso pode afetar a capacidade do balanceador de carga de processar novas conexões, pois o número de conexões rastreadas é limitado. 

Uma configuração de grupo de segurança que contém uma regra de entrada que aceita tráfego de qualquer endereço IP (por exemplo, 0.0.0.0/0 ou::/0), mas não tem uma regra correspondente para permitir o tráfego de resposta, faz com que o grupo de segurança use informações de rastreamento de conexão para permitir que o tráfego de resposta seja enviado. No caso de um DDoS ataque, o número máximo de conexões rastreadas pode ser esgotado. Para melhorar a DDoS resiliência do seu Application Load Balancer ou Classic Load Balancer voltado para o público, certifique-se de que o grupo de segurança associado ao seu balanceador de carga esteja configurado para não usar rastreamento de conexão (conexões não rastreadas), para que o fluxo de tráfego não esteja sujeito aos limites de rastreamento de conexão. 

Para isso, configure seu grupo de segurança com uma regra que permita que a regra de entrada aceite TCP fluxos de qualquer endereço IP (0.0.0.0/0ou::/0) e adicione uma regra correspondente na direção de saída, permitindo que esse recurso envie o tráfego de resposta (permita intervalo de saída para qualquer endereço IP 0.0.0.0/0 ou::/0) para todas as portas (0-65535), para que o tráfego de resposta seja permitido com base na regra do grupo de segurança e não nas informações de rastreamento. Com essa configuração, o Classic e o Application Load Balancer não estão sujeitos a limites de rastreamento de conexão de exaustão que podem afetar o estabelecimento de novas conexões com seus nós de balanceador de carga e permitem que ele seja escalado com base no aumento do tráfego no caso de um ataque. DDoS Mais informações sobre conexões não rastreadas podem ser encontradas em: Rastreamento de conexões de grupos de segurança: conexões não rastreadas.

Evitar o rastreamento de conexão do grupo de segurança só ajuda nos casos em que o DDoS tráfego se origina de uma fonte permitida pelo grupo de segurança — o DDoS tráfego de fontes que não são permitidas no grupo de segurança não afeta o rastreamento da conexão. Não é necessário reconfigurar seus grupos de segurança para evitar o rastreamento de conexão nesses casos, por exemplo, se sua lista de permissões de grupos de segurança consistir em intervalos de IP com os quais você tem um alto grau de confiança, como um firewall corporativo da empresa ou uma VPN saída IPs confiável ou. CDNs