As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Técnicas de mitigação
Algumas formas de DDoS mitigação são incluídas automaticamente nos serviços. AWS DDoSa resiliência pode ser aprimorada ainda mais usando uma AWS arquitetura com serviços específicos, abordados nas seções a seguir, e implementando práticas recomendadas adicionais para cada parte do fluxo de rede entre os usuários e seu aplicativo.
Você pode usar AWS serviços que operam em pontos de presença, como Amazon CloudFront, AWS Global Accelerator e Amazon Route 53 para criar uma proteção de disponibilidade abrangente contra todos os ataques conhecidos na camada de infraestrutura. Esses serviços fazem parte da AWS Global Edge Network
Os benefícios de usar o Amazon CloudFront, o Global Accelerator e o Amazon Route 53 incluem:
-
Acesso à internet e capacidade de DDoS mitigação em toda a AWS Global Edge Network. Isso é útil para mitigar ataques volumétricos maiores, que podem atingir a escala de terabits.
-
AWS Shield DDoSos sistemas de mitigação são integrados aos serviços de AWS ponta, reduzindo time-to-mitigate de minutos para menos de um segundo.
-
A mitigação de SYN inundação sem estado verifica as conexões de entrada usando SYN cookies antes de passá-las para o serviço protegido. Isso garante que somente conexões válidas cheguem ao seu aplicativo e, ao mesmo tempo, proteja seus usuários finais legítimos contra quedas de falsos positivos.
-
Sistemas automáticos de engenharia de tráfego que dispersam ou isolam o impacto de grandes ataques volumétricosDDoS. Todos esses serviços isolam os ataques na origem antes que eles cheguem à sua origem, o que significa menos impacto nos sistemas protegidos por esses serviços.
-
A defesa da camada de aplicativos, CloudFront quando combinada com AWS WAF
isso, não exige a alteração da arquitetura atual do aplicativo (por exemplo, em um data center Região da AWS ou local).
Não há cobrança pela transferência de dados de entrada AWS e você não paga pelo tráfego de DDoS ataque que é mitigado por. AWS Shield O diagrama de arquitetura a seguir inclui os serviços da AWS Global Edge Network.
DDoS-arquitetura de referência resiliente
Essa arquitetura inclui vários AWS serviços que podem ajudá-lo a melhorar a resiliência do seu aplicativo web contra DDoS ataques. A tabela a seguir fornece um resumo desses serviços e dos recursos que eles podem fornecer. AWS marcou cada serviço com um indicador de melhores práticas (BP1,BP2) para facilitar a referência neste documento. Por exemplo, uma próxima seção discute os recursos fornecidos pela Amazon CloudFront e pelo Global Accelerator que incluem o indicador de melhores práticas. BP1
Tabela 2 - Resumo das melhores práticas
| AWS Edge | Região da AWS | |||||
|---|---|---|---|---|---|---|
| Usando a Amazon CloudFront (BP1) com AWS WAF (BP2) | Usando o Global Accelerator () BP1 |
Usando o Amazon Route 53 (BP3) |
Usando o Elastic Load Balancing (BP6) com AWS WAF () BP2 |
Usando grupos de segurança e rede ACLs na Amazon VPC (BP5) |
Usando o Amazon Elastic Compute Cloud (AmazonEC2) Auto BP7 Scaling |
|
|
Mitigação de ataques na camada 3 (por exemplo, UDP reflexão) |
✔ | ✔ |
✔ |
✔ |
✔ |
✔ |
| Mitigação de ataques de camada 4 (por exemplo, SYN inundação) | ✔ | ✔ |
✔ |
✔ |
||
| Mitigação de ataques na camada 6 (por exemploTLS) | ✔ | ✔ |
✔ |
✔ |
||
| Reduza a superfície de ataque | ✔ | ✔ |
✔ |
✔ |
✔ |
|
| Dimensione para absorver o tráfego da camada de aplicação | ✔ | ✔ |
✔ |
✔ |
✔ |
✔ |
| Mitigação de ataques na camada 7 (camada de aplicação) | ✔ | ✔(*) |
✔ |
✔ |
✔(*) |
✔(*) |
|
Isolamento geográfico e dispersão do excesso de tráfego e ataques maiores DDoS |
✔ | ✔ |
✔ |
|||
✔ (*): Se usado AWS WAF com o Application Load Balancer
Outra forma de melhorar sua prontidão para responder e mitigar DDoS ataques é assinando. AWS Shield Advanced Os benefícios do uso AWS Shield Advanced incluem:
-
Acesso ao suporte especializado 24 horas por dia, 7 dias por semana, da Equipe de AWS Shield Resposta (AWS SRT) para assistência na mitigação de DDoS ataques que afetam a disponibilidade dos aplicativos, incluindo um recurso opcional de engajamento proativo
-
Limites de detecção confidenciais que direcionam o tráfego para o sistema de DDoS mitigação mais cedo e podem melhorar os ataques time-to-mitigate contra a Amazon EC2 (incluindo o Elastic Load Balancer) ou o Network Load Balancer, quando usados com um endereço IP elástico
-
Detecção personalizada de camada 7 com base nos padrões de tráfego básicos do seu aplicativo quando usado com AWS WAF
-
DDoSMitigação automática da camada de aplicativos, na qual o Shield Advanced responde aos DDoS ataques detectados criando, avaliando e implantando regras personalizadas AWS WAF
-
Acesso sem AWS WAF custo adicional para a mitigação de DDoS ataques na camada de aplicação (quando usado com a Amazon CloudFront ou o Application Load Balancer)
-
Gerenciamento centralizado de políticas de segurança sem AWS Firewall Manager
custo adicional. -
Proteção de custos que permite que você solicite um reembolso limitado dos custos relacionados à escalabilidade resultantes de um DDoS ataque.
-
Contrato de nível de serviço aprimorado que é específico para AWS Shield Advanced os clientes.
-
Grupos de proteção que permitem agrupar recursos, fornecendo uma forma de autoatendimento de personalizar o escopo de detecção e mitigação do seu aplicativo, tratando vários recursos como uma única unidade. Para obter informações sobre grupos de proteção, consulte os grupos de proteção Shield Advanced.
-
DDoSvisibilidade do ataque usando as AWS Management Console CloudWatch
métricas API e alarmes da Amazon e,
Esse serviço opcional de DDoS mitigação ajuda a proteger aplicativos hospedados em qualquer um. Região da AWS O serviço está disponível globalmente para CloudFront Route 53 e Global Accelerator. Regionalmente, você pode proteger os endereços Application Load Balancer, Classic Load Balancer e Elastic IP, o que permite proteger instâncias do Network Load Balancer () ou da Amazon. NLBs EC2
Para obter uma lista completa de AWS Shield Advanced recursos e obter mais informações sobre AWS Shield, consulte Como AWS Shield funciona.
