Lógica de detecção do AWS Shield para ameaças na camada de infraestrutura (camada 3 e camada 4) - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Lógica de detecção do AWS Shield para ameaças na camada de infraestrutura (camada 3 e camada 4)

Esta página explica como a detecção de eventos funciona nas camadas de infraestrutura (rede e transporte).

A lógica de detecção usada para proteger os recursos-alvo da AWS contra ataques de DDoS nas camadas de infraestrutura (camada 3 e camada 4) depende do tipo de recurso e se o recurso está protegido com o AWS Shield Advanced.

Detecção para Amazon CloudFront e Amazon Route 53

Quando você serve seu aplicativo da web com o CloudFront e o Route 53, todos os pacotes para o aplicativo são inspecionados por um sistema de mitigação de DDoS totalmente em linha, que não introduz nenhuma latência observável. Os ataques de DDoS contra distribuições do CloudFront e zonas hospedadas do Route 53 são mitigados em tempo real. Essas proteções se aplicam independentemente de você usar o AWS Shield Advanced.

Siga as práticas recomendadas de uso do CloudFront e do Route 53 como ponto de entrada do seu aplicativo da web sempre que possível para a detecção e mitigação mais rápidas de eventos de DDoS.

Detecção para AWS Global Accelerator e serviços regionais

A detecção em nível de recurso protege aceleradores e recursos padrão do AWS Global Accelerator que são lançados em regiões da AWS, como Classic Load Balancers, Application Load Balancers e endereços IP elásticos (EIPs). Esses tipos de recursos são monitorados em busca de elevações de tráfego que podem indicar a presença de um ataque de DDoS que exija mitigação. A cada minuto, o tráfego de cada recurso da AWS é avaliado. Se o tráfego para um recurso for elevado, verificações adicionais serão realizadas para medir a capacidade do recurso.

O Shield executa as seguintes verificações padrão:

  • Instâncias do Amazon Elastic Compute Cloud (Amazon EC2), EIPs anexados às instâncias do Amazon EC2: o Shield recupera a capacidade do recurso protegido. A capacidade depende do tipo de instância do alvo, do tamanho da instância e de outros fatores, como se a instância está usando redes avançadas.

  • Classic Load Balancers e Application Load Balancers: o Shield recupera a capacidade do nó do balanceador de carga alvo.

  • EIPs conectados a Network Load Balancers: o Shield recupera a capacidade do balanceador de carga alvo. A capacidade é independente da configuração do grupo do balanceador de carga alvo.

  • Aceleradores padrão do AWS Global Accelerator: o Shield recupera a capacidade, que é baseada na configuração do endpoint.

Essas avaliações ocorrem em várias dimensões do tráfego de rede, como porta e protocolo. Se a capacidade do recurso-alvo for excedida, a Shield coloca uma mitigação de DDoS. As mitigações impostas pelo Shield reduzirão o tráfego de DDoS, mas talvez não o eliminem. O Shield também pode oferecer uma mitigação se uma fração da capacidade do recurso for excedida em uma dimensão de tráfego consistente com os vetores de ataque de DDoS conhecidos. A Shield coloca essa mitigação em um tempo de vida limitado (TTL), que se estende enquanto o ataque estiver em andamento.

nota

As mitigações impostas pelo Shield reduzirão o tráfego de DDoS, mas talvez não o eliminem. Você pode aumentar o Shield com soluções como AWS Network Firewall ou um firewall no host como iptables para impedir que seu aplicativo processe tráfego que não é válido para seu aplicativo ou que não foi gerado por usuários finais legítimos.

As proteções do Shield Advanced adicionam o seguinte às atividades existentes de detecção do Shield:

  • Limites de detecção mais baixos: o Shield Advanced coloca as mitigações em metade da capacidade calculada. Isso pode fornecer mitigações mais rápidas para ataques que aumentam lentamente e mitigação de ataques que têm uma assinatura volumétrica mais ambígua.

  • Proteção contra ataques intermitentes: o Shield Advanced coloca mitigações com um aumento exponencial do tempo de vida (TTL), com base na frequência e duração dos ataques. Isso mantém as mitigações em vigor por mais tempo quando um recurso é atacado com frequência e quando um ataque ocorre em intervalos curtos.

  • Detecção baseada em integridade: quando você associa uma verificação de integridade do Route 53 a um recurso protegido do Shield Advanced, o status da verificação de saúde é usado na lógica de detecção. Durante um evento detectado, se a verificação de integridade estiver íntegra, o Shield Advanced exige mais confiança de que o evento é um ataque antes de fazer uma mitigação. Se, em vez disso, a verificação de integridade não estiver íntegra, o Shield Advanced poderá fazer uma mitigação antes mesmo que a confiança seja estabelecida. Esse atributo ajuda a evitar falsos positivos e fornece reações mais rápidas aos ataques que afetam seu aplicativo. Para obter informações sobre verificações de integridade com o Shield Advanced, consulte Detecção baseada em integridade usando verificações de integridade com o Shield Advanced e o Route 53.