Protection de la couche applicative (couche 7) avec AWS Shield Advanced et AWS WAF

Cette page explique comment Shield Advanced et Shield AWS WAF travaillent ensemble pour protéger les ressources au niveau de la couche application (couche 7).

Pour protéger les ressources de la couche application avec Shield Advanced, vous devez commencer par associer une ACL AWS WAF Web à la ressource et y ajouter une ou plusieurs règles basées sur le débit. Vous pouvez également activer l'atténuation automatique de la couche d'application DDo S, ce qui permet à Shield Advanced de créer et de gérer automatiquement des règles ACL Web en votre nom en réponse aux attaques DDo S.

Lorsque vous protégez une ressource de la couche d'application avec Shield Advanced, Shield Advanced analyse le trafic au fil du temps afin d'établir et de maintenir des bases de référence. Shield Advanced utilise ces lignes de base pour détecter les anomalies dans les modèles de trafic susceptibles d'indiquer une attaque DDo S. Le moment auquel Shield Advanced détecte une attaque dépend du trafic que Shield Advanced a pu observer avant l'attaque et de l'architecture que vous utilisez pour vos applications Web. Les variations architecturales qui peuvent affecter le comportement de Shield Advanced incluent le type d'instance que vous utilisez, la taille de votre instance et si le type d'instance prend en charge la mise en réseau améliorée. Vous pouvez également configurer Shield Advanced pour mettre automatiquement en place des mesures d'atténuation en cas d'attaques au niveau de la couche applicative.

Abonnements et AWS WAF coûts de Shield Advanced

Votre abonnement Shield Advanced couvre les coûts liés à l'utilisation des AWS WAF fonctionnalités standard pour les ressources que vous protégez avec Shield Advanced. Les AWS WAF frais standard couverts par vos protections Shield Advanced sont le coût par pack de protection ou ACL Web, le coût par règle et le prix de base par million de demandes d'inspection de requêtes Web, jusqu'à 1 500 WCUs et jusqu'à la taille corporelle par défaut.

L'activation de l'atténuation automatique de la couche d'application DDo S de Shield Advanced ajoute un groupe de règles à votre pack de protection ou à votre ACL Web qui utilise 150 unités de capacité ACL Web (WCUs). Ils sont WCUs pris en compte dans l'utilisation de la WCU dans votre pack de protection ou votre ACL Web. Pour plus d’informations, consultez Automatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced , Protection de la couche applicative avec le groupe de règles Shield Advanced et Unités de capacité Web ACL (WCUs) en AWS WAF.

Votre abonnement à Shield Advanced ne couvre pas l'utilisation de AWS WAF ressources que vous ne protégez pas à l'aide de Shield Advanced. Il ne couvre pas non plus les AWS WAF coûts non standard supplémentaires liés aux ressources protégées. Des exemples de AWS WAF coûts non standard sont ceux liés au contrôle des robots, à l'action des CAPTCHA règles, aux sites Web ACLs qui en utilisent plus de 1 500 WCUs et à l'inspection du corps de la demande au-delà de la taille par défaut. La liste complète est disponible sur la page de AWS WAF tarification. Votre abonnement à Shield Advanced inclut l'accès au groupe Layer 7 Anti- DDo S Amazon Managed Rule. Dans le cadre de votre abonnement, vous recevrez jusqu'à 50 milliards de demandes adressées aux AWS WAF ressources protégées de Shield Advanced au cours d'un mois civil. Les demandes supérieures à 50 milliards seront facturées conformément à la page de AWS Shield Advanced tarification.

Pour obtenir des informations complètes et des exemples de tarification, consultez Shield Pricing and AWS WAF Pricing.