**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Creazione di architetture resilienti DDo S di base con Shield Advanced
<a name="ddos-resiliency"></a>

Questa pagina spiega la resilienza Distributed Denial of Service (DDoS) e introduce due architetture di esempio.

DDoLa resilienza S è la capacità dell'architettura dell'applicazione di resistere agli attacchi DDo S continuando a servire utenti finali legittimi. Un'applicazione altamente resiliente può rimanere disponibile durante un attacco con un impatto minimo sui parametri prestazionali come errori o latenza. Questa sezione mostra alcune architetture di esempio comuni e descrive come utilizzare le funzionalità di rilevamento e mitigazione DDo S fornite da AWS Shield Advanced per aumentarne DDo la resilienza S. 

Le architetture di esempio in questa sezione evidenziano i AWS servizi che offrono i maggiori vantaggi in termini di resilienza DDo S per le applicazioni distribuite. I vantaggi dei servizi evidenziati includono quanto segue:
+ **Accesso alla capacità di rete distribuita a livello globale**: i servizi Amazon CloudFront e Amazon Route 53 forniscono l'accesso a Internet e alla capacità di mitigazione DDo S attraverso la rete AWS perimetrale globale. AWS Global Accelerator Ciò è utile per mitigare attacchi volumetrici di grandi dimensioni, che possono raggiungere i terabit di scala. È possibile eseguire l'applicazione in qualsiasi AWS regione e utilizzare questi servizi per proteggere la disponibilità e ottimizzare le prestazioni per gli utenti legittimi.
+ **Protezione dai vettori di attacco di livello DDo S delle applicazioni Web**: il modo migliore per mitigare gli attacchi di livello DDo S delle applicazioni Web è utilizzando una combinazione di scalabilità delle applicazioni e un firewall per applicazioni Web (WAF). Shield Advanced utilizza i registri di ispezione delle richieste Web AWS WAF per rilevare anomalie che possono essere mitigate automaticamente o tramite il coinvolgimento dello AWS Shield Response Team (SRT). La mitigazione automatica è disponibile tramite regole AWS WAF basate sulla frequenza implementate e anche tramite la mitigazione automatica del livello S di applicazione Shield Advanced. DDo

[Oltre a esaminare questi esempi, esamina e segui le migliori pratiche applicabili in Best Practices for S AWS Resiliency. DDo](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)

**Topics**
+ [Esempio di architettura di resilienza Shield Advanced DDo S per applicazioni Web comuni](ddos-resiliency-example-web.md)
+ [Esempio di architettura di resilienza Shield Advanced DDo S per applicazioni TCP e UDP](ddos-resiliency-example-tcp-udp.md)

# Esempio di architettura di resilienza Shield Advanced DDo S per applicazioni Web comuni
<a name="ddos-resiliency-example-web"></a>

Questa pagina fornisce un'architettura di esempio per massimizzare la resilienza contro gli attacchi DDo S con applicazioni web. AWS 

È possibile creare un'applicazione Web in qualsiasi AWS regione e ricevere la protezione DDo S automatica grazie alle funzionalità di rilevamento e mitigazione AWS fornite nella regione. 

Questo esempio riguarda le architetture che indirizzano gli utenti a un'applicazione Web utilizzando risorse come Classic Load Balancers, Application Load Balancers, Network Load Balancers, soluzioni AWS Marketplace o il proprio livello proxy. Puoi migliorare la resilienza DDo S inserendo zone ospitate Amazon Route 53, CloudFront distribuzioni Amazon e AWS WAF Web ACLs tra queste risorse di applicazioni Web e i tuoi utenti. Questi inserimenti possono offuscare l'origine dell'applicazione, servire le richieste più vicino agli utenti finali e rilevare e mitigare i flussi di richieste a livello di applicazione. Le applicazioni che forniscono contenuti statici o dinamici agli utenti con Route 53 sono protette da un sistema di mitigazione DDo S integrato CloudFront e completamente in linea che mitiga gli attacchi a livello di infrastruttura in tempo reale.

Con questi miglioramenti architetturali, puoi quindi proteggere le tue zone ospitate su Route 53 e le tue CloudFront distribuzioni con Shield Advanced. Quando proteggi CloudFront le distribuzioni, Shield Advanced ti richiede di associare il AWS WAF web ACLs e di creare regole basate sulla tariffa per esse, e ti offre la possibilità di abilitare la mitigazione automatica del livello DDo S delle applicazioni o l'impegno proattivo. Il coinvolgimento proattivo e la mitigazione automatica del livello di applicazione DDo S utilizzano i controlli di integrità di Route 53 associati alla risorsa. Per ulteriori informazioni su queste opzioni, consulta [Protezione delle risorse in AWS Shield Advanced](ddos-resource-protections.md). 

Il seguente diagramma di riferimento illustra questa architettura resiliente DDo S per un'applicazione web.

![\[Il diagramma mostra un rettangolo intitolatoAWS cloud, con un gruppo di utenti alla sua sinistra. All'interno del rettangolo a forma di nuvola ci sono altri due rettangoli, affiancati. Il rettangolo sinistro è intitolato AWS Shield Advanced e il rettangolo destro è intitolato. VPC Il AWS Shield Advanced triangolo sinistro contiene tre AWS icone, impilate verticalmente. Dall'alto verso il basso, le icone sono Amazon Route 53 CloudFront, Amazon e AWS WAF. L'icona di CloudFront presenta delle frecce che vanno da e verso l'icona per AWS WAF. Il gruppo di utenti ha una freccia che esce orizzontalmente a destra e che si divide per puntare alle icone di Route 53 e. CloudFront A destra del rettangolo Shield Advanced, il rettangolo VPC contiene due icone affiancate. Da sinistra a destra, queste icone sono Elastic Load Balancing e Amazon Elastic Compute Cloud. L' CloudFront icona ha una freccia che esce orizzontalmente a destra che va all'icona Elastic Load Balancing. L'icona Elastic Load Balancing presenta una freccia che esce orizzontalmente a destra che porta all'icona Amazon EC2. Quindi le richieste degli utenti vengono inviate a Route 53 e. CloudFront CloudFront interagisce AWS WAF e invia richieste al sistema di bilanciamento del carico, che a sua volta invia richieste su Amazon EC2.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-resilient-web-app-arch.png)


I vantaggi che questo approccio offre alla tua applicazione web includono i seguenti:
+ Protezione dagli attacchi DDo S a livello di infrastruttura (livello 3 e livello 4) utilizzati di frequente, senza ritardi nel rilevamento. Inoltre, se una risorsa viene spesso presa di mira, Shield Advanced applica misure di mitigazione per periodi di tempo più lunghi. Shield Advanced utilizza anche il contesto dell'applicazione dedotto da Network ACLs (NACLs) per bloccare il traffico indesiderato più a monte. In questo modo i guasti vengono isolati più vicino alla fonte, riducendo al minimo l'effetto sugli utenti legittimi. 
+ Protezione contro le inondazioni TCP SYN. I sistemi di mitigazione DDo S integrati con CloudFront Route 53 AWS Global Accelerator forniscono una funzionalità proxy TCP SYN che sfida i nuovi tentativi di connessione e serve solo utenti legittimi.
+ Protezione dagli attacchi a livello di applicazione DNS, poiché Route 53 è responsabile della fornitura di risposte DNS autorevoli. 
+ Protezione contro i flussi di richieste a livello di applicazione Web. La regola basata sulla frequenza configurata nell'ACL AWS WAF Web blocca i sorgenti IPs quando inviano più richieste di quelle consentite dalla regola. 
+ Attenuazione automatica del livello DDo S delle applicazioni per le CloudFront distribuzioni, se scegli di abilitare questa opzione. Con la mitigazione DDo S automatica, Shield Advanced mantiene una regola basata sulla frequenza nell'ACL AWS WAF web associato alla distribuzione che limita il volume di richieste da fonti S note. DDo Inoltre, quando Shield Advanced rileva un evento che influisce sullo stato dell'applicazione, crea, verifica e gestisce automaticamente le regole di mitigazione nell'ACL Web. 
+ Interazione proattiva con lo Shield Response Team (SRT), se scegli di abilitare questa opzione. Quando Shield Advanced rileva un evento che influisce sullo stato dell'applicazione, SRT risponde e interagisce in modo proattivo con i team di sicurezza o operativi utilizzando le informazioni di contatto fornite dall'utente. L'SRT analizza i modelli del traffico e può aggiornare le regole per bloccare l'attacco. AWS WAF 

# Esempio di architettura di resilienza Shield Advanced DDo S per applicazioni TCP e UDP
<a name="ddos-resiliency-example-tcp-udp"></a>

Questo esempio mostra un'architettura resiliente DDo S per applicazioni TCP e UDP in una AWS regione che utilizza istanze Amazon Elastic Compute Cloud (Amazon EC2) o indirizzi Elastic IP (EIP). 

Puoi seguire questo esempio generale per migliorare la resilienza DDo S per i seguenti tipi di applicazioni: 
+ Applicazioni TCP o UDP. Ad esempio, applicazioni utilizzate per giochi, IoT e voice over IP.
+ Applicazioni Web che richiedono indirizzi IP statici o che utilizzano protocolli CloudFront non supportati da Amazon. Ad esempio, l'applicazione potrebbe richiedere indirizzi IP che gli utenti possono aggiungere agli elenchi di indirizzi consentiti dal firewall e che non vengono utilizzati da altri AWS clienti.

Puoi migliorare la resilienza DDo S per questi tipi di applicazioni introducendo Amazon Route 53 e AWS Global Accelerator. Questi servizi possono indirizzare gli utenti verso la tua applicazione e possono fornire all'applicazione indirizzi IP statici che vengono instradati in modalità anycast attraverso la rete edge AWS globale. Gli acceleratori standard Global Accelerator possono migliorare la latenza degli utenti fino al 60%. Se disponi di un'applicazione Web, puoi rilevare e mitigare i flood di richieste a livello di applicazione Web eseguendo l'applicazione su un Application Load Balancer e quindi proteggendo l'Application Load Balancer con un ACL Web. AWS WAF 

Dopo aver creato l'applicazione, proteggi le zone ospitate di Route 53, gli acceleratori standard Global Accelerator e tutti gli Application Load Balancer con Shield Advanced. Quando proteggi i tuoi Application Load Balancer, puoi associare il AWS WAF web ACLs e creare relative regole basate sulla velocità. Puoi configurare un coinvolgimento proattivo con SRT sia per gli acceleratori standard Global Accelerator che per gli Application Load Balancer associando controlli di integrità Route 53 nuovi o esistenti. Per ulteriori informazioni sulle opzioni, consulta. [Protezione delle risorse in AWS Shield Advanced](ddos-resource-protections.md) 

Il seguente diagramma di riferimento illustra un esempio di architettura resiliente DDo S per applicazioni TCP e UDP.

![\[Il diagramma mostra gli utenti connessi a Route 53 e a un. AWS Global Accelerator L'acceleratore è collegato a un'icona Elastic Load Balancing protetta da AWS Shield Advanced e. AWS WAF L'Elastic Load Balancing è a sua volta connesso a un'istanza Amazon EC2. Questa istanza Elastic Load Balancing e l'istanza Amazon EC2 si trovano nella regione 1. AWS Global Accelerator È inoltre collegato direttamente a un'altra istanza Amazon EC2, che non è protetta da un'istanza Elastic Load Balancing protetta. Questa seconda istanza di Amazon EC2 si trova nella regione n.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-resilient-tcp-udp-app-arch.png)


I vantaggi che questo approccio offre alla tua applicazione includono i seguenti:
+ Protezione contro gli attacchi DDo S più estesi conosciuti a livello di infrastruttura (livello 3 e livello 4). Se il volume di un attacco causa congestione a monte AWS, l'errore verrà isolato più vicino alla fonte e avrà un effetto minimo sugli utenti legittimi.
+ Protezione dagli attacchi a livello di applicazione DNS, poiché Route 53 è responsabile della fornitura di risposte DNS autorevoli. 
+ Se disponi di un'applicazione Web, questo approccio fornisce protezione contro i flussi di richieste a livello di applicazione Web. La regola basata sulla frequenza configurata nell'ACL AWS WAF Web blocca i sorgenti IPs durante l'invio di un numero di richieste superiore a quello consentito dalla regola. 
+ Interazione proattiva con lo Shield Response Team (SRT), se scegli di abilitare questa opzione per le risorse idonee. Quando Shield Advanced rileva un evento che influisce sullo stato dell'applicazione, SRT risponde e interagisce in modo proattivo con i team di sicurezza o operativi utilizzando le informazioni di contatto fornite.