Uso de la mitigación automática de DDoS en la capa de aplicación con las políticas de Shield Avanzado de Firewall Manager - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Configuración de mitigación automáticaSustituya las ACL web AWS WAF Classic por la versión 2 de ACL web

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Uso de la mitigación automática de DDoS en la capa de aplicación con las políticas de Shield Avanzado de Firewall Manager

En esta página, se explica cómo funciona la mitigación automática de DDoS en la capa de aplicación con Firewall Manager.

Al aplicar una política de Shield Advanced a las distribuciones de Amazon CloudFront o a los equilibradores de carga de aplicación, tiene la opción de configurar la mitigación automática de DDoS en la capa de aplicación de Shield Advanced en la política.

Para obtener información sobre la mitigación automática de Shield Advanced, consulte Automatización de la mitigación de DDoS en la capa de aplicación con Shield Avanzado .

La mitigación automática de DDoS en la capa de aplicación de Shield Advanced tiene los siguientes requisitos:

  • La mitigación automática de DDoS en la capa de aplicación solo funciona con distribuciones de Amazon CloudFront y equilibradores de carga de aplicación.

    Si aplica su política Shield Advanced a distribuciones de Amazon CloudFront, puede elegir esta opción para las políticas de Shield Advanced que cree para la Región Global. Si aplica protecciones a los equilibradores de carga de aplicación, puede aplicar la política a cualquier región que admita Firewall Manager.

  • La mitigación automática de DDoS en la capa de aplicación solo funciona con los paquetes de protección (ACL web) que se crearon con la última versión de AWS WAF (v2).

    Por este motivo, si tiene una política que utiliza las ACL web AWS WAF Classic, debe sustituir la política por una política nueva, que utilizará automáticamente la última versión de AWS WAF, o bien hacer que Firewall Manager cree una nueva versión de las ACL web para su política actual y pase a utilizarlas. Para obtener más información sobre las opciones, consulte Sustituya las ACL web AWS WAF Classic por la última versión de ACL web.

Configuración de mitigación automática

La opción de mitigación automática de DDoS en la capa de aplicación para las políticas de Firewall Manager Shield Advanced aplica la funcionalidad de mitigación automática de Shield Advanced a las cuentas y recursos incluidos en el alcance de su política. Para obtener información detallada sobre esta característica de Shield Advanced, consulte Automatización de la mitigación de DDoS en la capa de aplicación con Shield Avanzado .

Puede elegir que Firewall Manager active o desactive la mitigación automática para las distribuciones de CloudFront o los equilibradores de carga de aplicación que estén dentro del alcance de la política, o puede elegir que la política ignore la configuración de mitigación automática de Shield Advanced:

  • Activar: si decide activar la mitigación automática, también debe especificar si las reglas de mitigación de Shield Advanced deben contar o bloquear las solicitudes web coincidentes. Firewall Manager marcará los recursos dentro del alcance como no compatibles si no tienen activada la mitigación automática o si utilizan una acción de regla que no coincide con la que especificó para la política. Si configura la política para la corrección automática, Firewall Manager actualiza los recursos no compatibles según sea necesario.

  • Desactivar: si decide desactivar la mitigación automática, Firewall Manager marcará los recursos dentro del alcance como no compatibles si tienen la mitigación automática activada. Si configura la política para la corrección automática, Firewall Manager actualiza los recursos no compatibles según sea necesario.

  • Ignorar: si decide ignorar la mitigación automática, Firewall Manager no tendrá en cuenta ninguna de las configuraciones de mitigación automática de su política Shield cuando lleve a cabo actividades de corrección para la política. Esta configuración le permite controlar la mitigación automática a través de Shield Advanced, sin que Firewall Manager sobrescriba esa configuración. Esta configuración no se aplica a ningún recurso de equilibrador de carga clásico o IP elástica administrado a través de Shield Advanced, ya que Shield Advanced actualmente no admite la mitigación automática de nivel 7 para esos recursos.

Sustituya las ACL web AWS WAF Classic por la última versión de ACL web

La mitigación automática de DDoS en la capa de aplicación solo funciona con los paquetes de protección (ACL web) que se crearon con la última versión de AWS WAF (v2).

Para determinar la versión de ACL web de su política Shield Advanced, consulte Determinar la versión de AWS WAF que se utiliza en una política de Shield Advanced.

Si desea utilizar la mitigación automática en su política de Shield Advanced y su política utiliza actualmente las ACL web AWS WAF Classic, puede crear una nueva política de Shield Advanced para reemplazar la actual o puede utilizar las opciones descritas en esta sección para sustituir las ACL web de versiones anteriores por las ACL web nuevas (v2) incluidas en su política de Shield Advanced actual. Las nuevas políticas siempre crean las ACL web con la última versión de. AWS WAF Si reemplaza la política completa, al eliminarla, puede hacer que Firewall Manager elimine también todas las ACL web de las versiones anteriores. En el resto de esta sección, se describen las opciones para reemplazar las ACL web incluidas en su política actual.

Al modificar una política Shield Advanced existente para los recursos de Amazon CloudFront, Firewall Manager puede crear automáticamente una nueva ACL web AWS WAF (v2) vacía para la política, en cualquier cuenta dentro del alcance que aún no tenga una ACL web v2. Cuando Firewall Manager crea una nueva ACL web, si la política ya tiene una ACL web AWS WAF Classic en la misma cuenta, Firewall Manager configura la nueva versión de la ACL web con la misma configuración de acción predeterminada que la ACL web existente. Si no existe una ACL web AWS WAF Classic, Firewall Manager establece la acción predeterminada Allow en la nueva ACL web. Después de que Firewall Manager cree una nueva ACL web, puede personalizarla según sea necesario a través de la consola AWS WAF.

Al elegir cualquiera de las siguientes opciones de configuración de políticas, Firewall Manager crea nuevas ACL web (v2) para las cuentas dentro del alcance que aún no las tienen:

  • Al activar o desactivar la mitigación automática de DDoS en la capa de aplicación. Esta elección por sí sola solo hace que Firewall Manager cree las nuevas ACL web y no sustituya ninguna asociación de ACL web AWS WAF Classic existente en los recursos dentro del alcance de la política.

  • Al elegir la acción política de corrección automática y elegir la opción de reemplazar las ACL web AWS WAF Classic por las ACL web AWS WAF (v2). Puede optar por sustituir las ACL web de versiones anteriores independientemente de sus opciones de configuración para la mitigación automática de DDoS en la capa de aplicación.

    Al elegir la opción de reemplazo, Firewall Manager crea las ACL web de la nueva versión según sea necesario y luego hace lo siguiente para los recursos dentro del alcance de la política:

    • Si un recurso está asociado a una ACL web desde cualquier otra política activa del Firewall Manager, el Firewall Manager deja la asociación intacta.

    • En cualquier otro caso, Firewall Manager elimina cualquier asociación con una ACL web AWS WAF Classic y asocia el recurso con la ACL web AWS WAF (v2) de la política.

Puede elegir que Firewall Manager sustituya las ACL web de la versión anterior por las ACL web de la nueva versión cuando lo desee. Si ya ha personalizado las ACL web AWS WAF Classic de la política, puede actualizar las ACL web de la nueva versión a una configuración comparable antes de elegir que Firewall Manager realice el paso de sustitución.

Puede acceder a cualquier versión de la ACL web para obtener una política a través de la consola de la misma versión para AWS WAF o AWS WAF Classic.

Firewall Manager no elimina ninguna ACL web AWS WAF Classic sustituida hasta que usted elimine la política en sí. Una vez que la política ya no utilice las ACL web de AWS WAF Classic, puede eliminarlas si lo desea.