Como o Shield Advanced gerencia a mitigação automática - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Durante um ataque DDoSComo o Shield Avançado gerencia a configuração de açãoQuando um ataque diminuiQuando você desativa a mitigação automática

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como o Shield Advanced gerencia a mitigação automática

Os tópicos dessa seção descrevem como o Shield Advanced lida com suas alterações de configuração para mitigação automática de DDoS na camada de aplicativo e como ele lida com ataques de DDoS quando a mitigação automática está ativada.

Como o Shield Advanced responde aos ataques de DDoS com mitigação automática

Quando você tem a mitigação automática habilitada em um recurso protegido, a regra baseada em intervalos ShieldKnownOffenderIPRateBasedRule no grupo de regras do Shield Avançado responde automaticamente a volumes elevados de tráfego provenientes de fontes de DDoS conhecidas. Essa limitação de volume é aplicada rapidamente e atua como uma defesa de linha de frente contra os ataques.

Quando o Shield Avançado detecta um ataque, ele faz o seguinte:

  1. Tenta identificar uma assinatura de ataque que isole o tráfego de ataque do tráfego normal para seu aplicativo. O objetivo é produzir regras de mitigação de DDoS de alta qualidade que, quando implementadas, afetem somente o tráfego de ataque e não afetem o tráfego normal do seu aplicativo.

  2. Avalia a assinatura de ataque identificada em relação aos padrões históricos de tráfego do recurso que está sob ataque, bem como de qualquer outro recurso associado à mesma web ACL. O Shield Advanced faz isso antes de implantar qualquer regra em resposta ao evento.

    Dependendo dos resultados da avaliação, o Shield Advanced executará um dos seguintes procedimentos:

    • Se o Shield Avançado determinar que a assinatura do ataque isola somente o tráfego envolvido no ataque de DDoS, ele implementará a assinatura nas regras do AWS WAF no grupo de regras de mitigação do Shield Avançado na ACL da Web. O Shield Advanced fornece a essas regras a configuração de ação que você configurou para a mitigação automática do recurso - Count ou Block.

    • Caso contrário, o Shield Advanced não coloca uma mitigação.

Durante um ataque, o Shield Advanced envia as mesmas notificações e fornece as mesmas informações de eventos das proteções básicas da camada de aplicação do Shield Advanced. Você pode ver as informações sobre eventos e ataques de DDoS e sobre qualquer mitigação de ataques do Shield Advanced no console de eventos do Shield Advanced. Para mais informações, consulte Visibilidade de eventos de DDoS com o Shield Advanced.

Se você configurou a mitigação automática para usar a ação da regra Block e detectou falsos positivos nas regras de mitigação implantadas pelo Shield Advanced, você pode alterar a ação da regra para Count. Para obter informações sobre como fazer isso, consulte Como alterar a ação usada para mitigação automática de DDoS na camada de aplicação.

Como o Shield Avançado gerencia a configuração de ação de regra

É possível definir a ação de regra para suas mitigações automáticas como Block ou Count.

Quando você altera a configuração de ação da regra de mitigação automática para um recurso protegido, o Shield Advanced atualiza todas as configurações de regra do recurso. Ele atualiza todas as regras atualmente em vigor para o recurso no grupo de regras do Shield Avançado e usa a nova configuração de ação ao criar novas regras.

Para os recursos que usam a mesma ACL da Web, se você especificar ações diferentes, o Shield Avançado usará a configuração de ação Block para a regra baseada em intervalos ShieldKnownOffenderIPRateBasedRule do grupo de regras. O Shield Avançado cria e gerencia outras regras no grupo de regras em nome de um recurso protegido específico e usa a configuração de ação que você especificou para o recurso. Todas as regras do grupo de regras do Shield Avançado em uma ACL da Web são aplicadas ao tráfego da Web de todos os recursos associados.

A alteração da configuração de ação pode levar alguns segundos para ser propagada. Durante esse período, você pode ver a configuração antiga em alguns lugares onde o grupo de regras está em uso, e a nova configuração em outros lugares.

Você pode alterar a configuração da ação da regra para sua configuração de mitigação automática na página de eventos do console e por meio da página de configuração da camada de aplicação. Para obter mais informações sobre eventos, consulte o Como responder a eventos de DDoS no AWS. Para obter mais informações sobre a página de configuração, consulte Configurar as proteções contra DDoS na camada de aplicação.

Como o Shield Advanced gerencia as mitigações quando um ataque diminui

Quando o Shield Advanced determina que as regras de mitigação que foram implantadas para um ataque específico não são mais necessárias, ele as remove do grupo de regras de mitigação do Shield Advanced.

A remoção das regras de mitigação não coincidirá necessariamente com o fim de um ataque. O Shield Advanced monitora os padrões de ataque que ele detecta em seus recursos protegidos. Ele pode se defender proativamente contra a recorrência de um ataque com uma assinatura específica, mantendo em vigor as regras que implantou contra a ocorrência inicial desse ataque. Conforme necessário, o Shield Advanced aumenta a janela de tempo em que mantém as regras em vigor. Dessa forma, o Shield Advanced pode mitigar ataques repetidos com uma assinatura específica antes que eles afetem seus recursos protegidos.

O Shield Avançado nunca remove a regra baseada em intervalos ShieldKnownOffenderIPRateBasedRule, que limita o volume de solicitações de endereços IP conhecidos por serem fontes de ataques de DDoS.

O que acontece quando você desativa a mitigação automática

O Shield Advanced faz o seguinte quando você desativa a mitigação automática para um recurso:

  • Para de responder automaticamente aos ataques de DDoS — o Shield Advanced interrompe suas atividades de resposta automática para o recurso.

  • Remove regras desnecessárias do grupo de regras do Shield Advanced — Se o Shield Advanced estiver mantendo alguma regra em seu grupo de regras gerenciadas em nome do recurso protegido, ele as removerá.

  • Remove o grupo de regras Shield Advanced, se ele não estiver mais em uso — Se a web ACL que você associou ao recurso não estiver associada a nenhum outro recurso com a mitigação automática ativada, o Shield Advanced removerá sua regra de grupo de regras da web ACL.