**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risposta DDo agli eventi S gestita con supporto Shield Response Team (SRT)
Questa pagina descrive la funzione dello Shield Response Team (SRT).
L'SRT fornisce un supporto aggiuntivo per i clienti Shield Advanced. Gli SRT sono ingegneri della sicurezza specializzati nella risposta DDo agli eventi S. Come ulteriore livello di supporto al vostro Supporto AWS piano, potete lavorare direttamente con l'SRT, sfruttando la loro esperienza come parte del flusso di lavoro di risposta agli eventi. Per informazioni sulle opzioni e per indicazioni sulla configurazione, consultate gli argomenti seguenti.
**Nota**
Per utilizzare i servizi dello Shield Response Team (SRT), è necessario essere abbonati al piano Business [Support o al piano](https://aws.amazon.com/premiumsupport/business-support/) Enterprise [Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
Shield Response Team (SRT) fornisce servizi nelle regioni in cui è disponibile Shield Advanced e per i clienti nelle GovCloud regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali).
**Attività di supporto SRT**
L'obiettivo principale di una collaborazione con SRT è proteggere la disponibilità e le prestazioni dell'applicazione. A seconda del tipo di evento DDo S e dell'architettura dell'applicazione, l'SRT può eseguire una o più delle seguenti azioni:
+ **AWS WAF analisi e regole dei log**: per le risorse che utilizzano un ACL AWS WAF web, SRT può analizzare AWS WAF i log per identificare le caratteristiche di attacco nelle richieste web dell'applicazione. Con la vostra approvazione durante l'attivazione, l'SRT può applicare modifiche all'ACL web per bloccare gli attacchi che ha identificato.
+ **Crea mitigazioni di rete personalizzate**: l'SRT può scrivere mitigazioni personalizzate per gli attacchi a livello di infrastruttura. L'SRT può collaborare con voi per comprendere il traffico previsto per la vostra applicazione, bloccare il traffico imprevisto e ottimizzare i limiti di frequenza dei pacchetti al secondo. Per ulteriori informazioni, consulta [Configurazione di mitigazioni personalizzate contro gli attacchi DDo S con SRT](ddos-srt-custom-mitigations.md).
+ **Ingegneria del traffico di rete**: SRT collabora a stretto contatto con i team AWS di rete per proteggere i clienti di Shield Advanced. Se necessario, AWS può modificare il modo in cui il traffico Internet arriva sulla AWS rete per allocare una maggiore capacità di mitigazione all'applicazione.
+ **Raccomandazioni sull'architettura**: l'SRT può stabilire che la migliore mitigazione di un attacco richieda modifiche all'architettura per allinearsi meglio alle AWS migliori pratiche e contribuirà a supportare l'implementazione di queste pratiche. Per informazioni, consulta [AWS Best Practices for DDo](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency) S Resiliency.
Le seguenti sezioni forniscono istruzioni per interagire con l'SRT
**Topics**
+ [Concessione dell'accesso all'SRT](ddos-srt-access.md)
+ [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md)
+ [Contattare l'SRT per ricevere assistenza in caso di sospetto evento DDo S](ddos-srt-contacting.md)
+ [Configurazione di mitigazioni personalizzate contro gli attacchi DDo S con SRT](ddos-srt-custom-mitigations.md)
# Concessione dell'accesso all'SRT
Questa pagina fornisce istruzioni per concedere l'autorizzazione all'SRT di agire per vostro conto, in modo che possa accedere ai vostri AWS WAF registri ed effettuare chiamate e gestire le AWS Shield Advanced protezioni. AWS WAF APIs
Durante gli eventi del livello di applicazione DDo S, l'SRT può monitorare AWS WAF le richieste per identificare il traffico anomalo e aiutare a creare regole personalizzate AWS WAF per mitigare le fonti di traffico pericolose.
Inoltre, puoi concedere all'SRT l'accesso ad altri dati che hai archiviato nei bucket Amazon S3, come acquisizioni di pacchetti o log da un Application Load Balancer, CloudFront Amazon o da fonti di terze parti.
**Nota**
Per utilizzare i servizi dello Shield Response Team (SRT), è necessario essere abbonati al piano Business [Support o al piano](https://aws.amazon.com/premiumsupport/business-support/) Enterprise [Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
**Per gestire le autorizzazioni per l'SRT**
1. Nella pagina **Panoramica** della AWS Shield console, in **Configura supporto AWS SRT**, scegli **Modifica** accesso SRT. **Viene visualizzata la pagina di accesso Edit AWS Shield Response Team (SRT)**.
1. Per l'**impostazione dell'accesso SRT**, selezionate una delle opzioni:
+ **Non concedere a SRT l'accesso al mio account**: Shield rimuove tutte le autorizzazioni che hai precedentemente concesso all'SRT per accedere al tuo account e alle tue risorse.
+ **Crea un nuovo ruolo per l'SRT per accedere al mio account**: Shield crea un ruolo che si fida del responsabile del servizio`drt.shield.amazonaws.com`, che rappresenta l'SRT, e gli allega la policy gestita. `AWSShieldDRTAccessPolicy` La policy gestita consente all'SRT di effettuare chiamate AWS WAF API per vostro conto AWS Shield Advanced e di accedere ai vostri log. AWS WAF Per ulteriori informazioni sulla policy gestita, consulta [AWS politica gestita: AWSShield DRTAccess politica](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy).
+ **Scegli un ruolo esistente per l'SRT per accedere ai miei account**: per questa opzione, devi modificare la configurazione del ruolo in AWS Identity and Access Management (IAM) come segue:
+ Collegare la policy gestita `AWSShieldDRTAccessPolicy` al ruolo. Questa politica gestita consente all'SRT di effettuare AWS Shield Advanced chiamate AWS WAF API per vostro conto e di accedere ai vostri AWS WAF log. Per ulteriori informazioni sulla policy gestita, consulta [AWS politica gestita: AWSShield DRTAccess politica](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Per informazioni su come allegare la policy gestita al tuo ruolo, consulta [Allegare e scollegare](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) le politiche IAM.
+ Modificare il ruolo per considerare attendibile il principale del servizio `drt.shield.amazonaws.com`. Questo è il servizio principale che rappresenta l'SRT. Per ulteriori informazioni, consulta [Elementi della policy JSON di IAM: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
1. Per **(Facoltativo): concedi l'accesso SRT a un bucket Amazon S3**, se devi condividere dati che non si trovano nei AWS WAF tuoi log ACL Web, configuralo. Ad esempio, i log di accesso di Application Load Balancer, i log di Amazon o CloudFront i log provenienti da fonti di terze parti.
**Nota**
Non è necessario eseguire questa operazione per i log ACL Web AWS WAF . L'SRT ottiene l'accesso a questi dati quando concedi l'accesso al tuo account.
1. Configura i bucket Amazon S3 in base alle seguenti linee guida:
+ Le posizioni dei bucket devono essere le Account AWS stesse a cui hai concesso l'accesso generale all'SRT, nel passaggio precedente per l'accesso allo **AWS Shield Response Team (SRT**).
+ I bucket possono essere in testo semplice o crittografati con SSE-S3. Per ulteriori informazioni sulla crittografia SSE-S3 di Amazon S3, consulta [Protezione dei dati utilizzando la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) nella Guida per l'utente di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html).
L'SRT non può visualizzare o elaborare i log archiviati in bucket crittografati con chiavi archiviate in (). AWS Key Management Service AWS KMS
1. **Nella sezione Shield Advanced **(opzionale): concedi l'accesso SRT a un bucket Amazon S3**, per ogni bucket Amazon S3 in cui sono archiviati i dati o i log, inserisci il nome del bucket e scegli Aggiungi bucket.** È possibile aggiungere fino a 10 bucket.
Ciò concede all'SRT le seguenti autorizzazioni per ogni bucket:, e. `s3:GetBucketLocation` `s3:GetObject` `s3:ListBucket`
Se desideri concedere all'SRT l'autorizzazione ad accedere a più di 10 bucket, puoi farlo modificando le politiche aggiuntive del bucket e concedendo manualmente le autorizzazioni elencate qui per l'SRT.
Di seguito viene mostrato un elenco di politiche di esempio.
```
{
"Sid": "AWSDDoSResponseTeamAccessS3Bucket",
"Effect": "Allow",
"Principal": {
"Service": "drt.shield.amazonaws.com"
},
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
```
1. Scegli **Salva** per salvare le modifiche.
[È inoltre possibile autorizzare l'SRT tramite l'API creando un ruolo IAM, allegandovi la policy AWSShield DRTAccess Policy e quindi passando il ruolo all'operazione Associate. DRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html)
# Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente
Questa pagina fornisce istruzioni per impostare un coinvolgimento proattivo con l'SRT.
Con un coinvolgimento proattivo, l'SRT contatta direttamente l'utente quando la disponibilità o le prestazioni dell'applicazione sono compromesse da un possibile attacco. Consigliamo questo modello di coinvolgimento perché fornisce la risposta SRT più rapida e consente all'SRT di iniziare la risoluzione dei problemi anche prima di stabilire un contatto con voi.
L'engagement proattivo è disponibile per gli eventi a livello di rete e trasporto su indirizzi IP elastici e acceleratori AWS Global Accelerator standard e per i flussi di richieste Web sulle distribuzioni Amazon e sugli Application Load Balancer. CloudFront Il coinvolgimento proattivo è disponibile solo per le protezioni delle risorse Shield Advanced a cui è associato un controllo dello stato di Amazon Route 53. Per informazioni sulla gestione e l'utilizzo dei controlli sanitari, consulta. [Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md)
Durante un evento rilevato da Shield Advanced, l'SRT utilizza lo stato dei controlli sullo stato di salute per determinare se l'evento è idoneo per un coinvolgimento proattivo. In tal caso, l'SRT vi contatterà in base alle indicazioni di contatto fornite nella configurazione del coinvolgimento proattivo.
Puoi configurare fino a dieci contatti per un coinvolgimento proattivo e puoi fornire note per aiutare l'SRT a contattarti. I vostri contatti proattivi dovrebbero essere disponibili per interagire con l'SRT durante gli eventi. Se non disponi di un centro operativo aperto 24 ore su 24, 7 giorni su 7, puoi fornire un contatto tramite cercapersone e indicare questa preferenza di contatto nelle tue note di contatto.
Il coinvolgimento proattivo richiede che tu faccia quanto segue:
+ È necessario essere abbonati al piano [Business Support o al piano](https://aws.amazon.com/premiumsupport/business-support/) [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
+ Devi associare un controllo dello stato di Amazon Route 53 a qualsiasi risorsa che desideri proteggere con un coinvolgimento proattivo. L'SRT utilizza lo stato dei controlli sanitari per determinare se un evento richiede un coinvolgimento proattivo, quindi è importante che i controlli sanitari riflettano accuratamente lo stato delle risorse protette. Per ulteriori informazioni e indicazioni, vedere. [Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md)
+ Per una risorsa a cui è associato un ACL AWS WAF Web, è necessario creare l'ACL Web utilizzando AWS WAF (v2), che è la versione più recente di. AWS WAF
+ È necessario fornire almeno un contatto affinché l'SRT possa utilizzare per un coinvolgimento proattivo durante un evento. Mantieni le tue informazioni di contatto complete e aggiornate.
**Per consentire un coinvolgimento proattivo SRT**
1. **Nella pagina **Panoramica** della AWS Shield console, in **Coinvolgimento proattivo e contatti**, nell'area contatti, scegli Modifica.**
Nella pagina **Modifica contatti**, fornisci le informazioni di contatto per le persone che desideri che SRT contatti per un coinvolgimento proattivo.
Se fornisci più di un contatto, nelle **Note**, indica le circostanze in cui ogni contatto deve essere utilizzato. Includi le designazioni dei contatti principali e secondari e fornisci gli orari di disponibilità e i fusi orari di ogni contatto.
Note di contatto di esempio:
+ Questa è una hotline con personale 24 ore su 24, 7 giorni su 7, 365 giorni l'anno. Collabora con l'analista incaricato della risposta e troverà la persona appropriata per la chiamata.
+ Contattatemi se la hotline non risponde entro 5 minuti.
1. Scegli **Save** (Salva).
La pagina **Panoramica riporta** le informazioni di contatto aggiornate.
1. Scegli **Modifica la funzione di coinvolgimento proattivo**, scegli **Abilita**, quindi scegli **Salva** per abilitare il coinvolgimento proattivo.
# Contattare l'SRT per ricevere assistenza in caso di sospetto evento DDo S
È possibile contattare l'SRT in uno dei seguenti modi:
**Caso di supporto**
Puoi aprire una custodia **AWS Shield**nella console del **AWS Support Center**.
Per indicazioni sulla creazione di una richiesta di assistenza, consulta il [Supporto AWS Centro](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
Seleziona la gravità appropriata alla tua situazione e fornisci i tuoi dati di contatto. Nella descrizione, fornisci quanti più dettagli possibile. Fornisci informazioni su eventuali risorse protette che ritieni possano essere interessate e sullo stato attuale dell'esperienza dell'utente finale. Ad esempio, se l'esperienza dell'utente è compromessa o parti dell'applicazione non sono attualmente disponibili, fornire tali informazioni.
+ **Per sospetti attacchi DDo S**: se la disponibilità o le prestazioni dell'applicazione sono attualmente influenzate da un possibile attacco DDo S, scegliete le seguenti opzioni di gravità e contatto:
+ Per quanto riguarda la gravità, scegli la gravità più alta disponibile per il tuo piano di supporto:
+ Per il supporto aziendale, si tratta di un **sistema di produzione inattivo: < 1 ora**.
+ Per il supporto Enterprise, si tratta di un **sistema business-critical inattivo: < 15 minuti**.
+ Per l'opzione di contatto, seleziona **Telefono** o **Chat** e fornisci i tuoi dati. L'utilizzo di un metodo di contatto dal vivo fornisce la risposta più rapida.
**Coinvolgimento proattivo**
Con un coinvolgimento AWS Shield Advanced proattivo, SRT ti contatta direttamente se il controllo dello stato di Amazon Route 53 associato alla tua risorsa protetta non funziona correttamente durante un evento rilevato. Per ulteriori informazioni su questa opzione, consulta [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md).
# Configurazione di mitigazioni personalizzate contro gli attacchi DDo S con SRT
Questa pagina fornisce istruzioni per lavorare con l'SRT per creare mitigazioni personalizzate contro gli attacchi S. DDo
Per Elastic IPs (EIPs) e i tuoi acceleratori AWS Global Accelerator standard, puoi utilizzare SRT per configurare mitigazioni personalizzate. Ciò è utile nel caso in cui si conosca una logica specifica da applicare quando viene effettuata una mitigazione. Ad esempio, potresti voler consentire solo il traffico proveniente da determinati paesi, imporre limiti di velocità specifici, configurare convalide opzionali, non consentire frammenti o consentire solo il traffico che corrisponde a uno schema specifico nel payload dei pacchetti.
Di seguito sono riportati alcuni esempi di mitigazioni personalizzate comuni:
+ **Pattern matching**: se gestisci un servizio che interagisce con applicazioni lato client, puoi scegliere di eseguire la corrispondenza su modelli noti che sono unici per tali applicazioni. Ad esempio, puoi gestire un servizio di gioco o di comunicazione che richiede all'utente finale l'installazione di un software specifico che distribuisci. Puoi includere un numero magico in ogni pacchetto inviato dall'applicazione al tuo servizio. È possibile eseguire la corrispondenza su un massimo di 128 byte (separati o contigui) di un payload e delle intestazioni di un pacchetto TCP o UDP non frammentati. La corrispondenza può essere espressa in notazione esadecimale come offset specifico dall'inizio del payload del pacchetto o offset dinamico dopo un valore noto. Ad esempio, la mitigazione può cercare il byte e quindi aspettarsi i quattro byte `0x01` successivi. `0x12345678`
+ **DNS specifico**: se gestisci il tuo servizio DNS autoritativo utilizzando servizi come Global Accelerator o Amazon Elastic Compute Cloud (Amazon EC2), puoi richiedere una mitigazione personalizzata che convalida i pacchetti per garantire che siano query DNS valide e applicare un punteggio di sospetto che valuti gli attributi specifici del traffico DNS.
Per informazioni sulla collaborazione con SRT per creare mitigazioni personalizzate, crea una richiesta di supporto qui sotto. AWS Shield Per ulteriori informazioni sulla creazione di Supporto AWS casi, consulta [Guida introduttiva](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Supporto AWS