Defesa da camada de infraestrutura (BP1BP3,,BP6,BP7) - AWS Melhores práticas para DDoS resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Defesa da camada de infraestrutura (BP1BP3,,BP6,BP7)

Em um ambiente de datacenter tradicional, você pode mitigar DDoS ataques na camada de infraestrutura usando técnicas como superprovisionamento de capacidade, implantação de sistemas de mitigação ou eliminação de tráfego com a ajuda de serviços de DDoS mitigação. DDoS AWS Ativado, os recursos de DDoS mitigação são fornecidos automaticamente; mas você pode otimizar a DDoS resiliência do seu aplicativo fazendo escolhas de arquitetura que melhor aproveitem esses recursos e também permitam a escalabilidade para o excesso de tráfego.

As principais considerações para ajudar a mitigar DDoS ataques volumétricos incluem garantir que capacidade e diversidade de trânsito suficientes estejam disponíveis e proteger recursos AWS , como EC2 instâncias da Amazon, contra tráfego de ataques.

Alguns tipos de EC2 instância da Amazon oferecem suporte a recursos que podem lidar mais facilmente com grandes volumes de tráfego, por exemplo, interfaces de largura de banda de rede de até 100 Gbps e redes aprimoradas. Isso ajuda a evitar o congestionamento da interface para o tráfego que chegou à EC2 instância da Amazon. As instâncias que oferecem suporte a redes aprimoradas oferecem maior desempenho de entrada/saída (E/S), maior largura de banda e menor CPU utilização em comparação com as implementações tradicionais. Isso melhora a capacidade da instância de lidar com grandes volumes de tráfego e, em última análise, a torna altamente resiliente à carga de pacotes por segundo (pps).

Para permitir esse alto nível de resiliência, AWS recomenda o uso de instâncias EC2 dedicadas da Amazon ou EC2 instâncias da Amazon com maior taxa de transferência de rede que tenham um sufixo N "" e suporte para redes aprimoradas com até 100 Gbps de largura de banda de rede, por exemplo, c6gn.16xlarge c5n.18xlarge e/ou instâncias metálicas (como). c5n.metal

Para obter mais informações sobre EC2 instâncias da Amazon que oferecem suporte a interfaces de rede de 100 Gigabit e redes aprimoradas, consulte Tipos de EC2instância da Amazon.

O módulo necessário para redes aprimoradas e o conjunto de enaSupport atributos necessário estão incluídos no Amazon Linux 2 e nas versões mais recentes do Amazon LinuxAMI. Portanto, se você iniciar uma instância com uma versão de máquina virtual de hardware (HVM) do Amazon Linux em um tipo de instância compatível, a rede aprimorada já estará habilitada para sua instância. Para obter mais informações, consulte Testar se a rede avançada está habilitada e Rede aprimorada no Linux.