Lógica de mitigação AWS Shield para regiões AWS - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Lógica de mitigação AWS Shield para regiões AWS

Esta página explica como a lógica de mitigação de eventos do Shield funciona em regiões da AWS.

Os recursos lançados nas regiões AWS são protegidos por sistemas de mitigação de DDoS AWS Shield colocados pela detecção em nível de recurso do Shield. Os recursos regionais incluem IPs elásticos (EIPs), Classic Load Balancers e Application Load Balancers.

Antes de fazer uma mitigação, o Shield identifica o recurso alvo e sua capacidade. O Shield usa a capacidade de determinar o tráfego total máximo que suas mitigações devem permitir que seja encaminhado para o recurso. As listas de controle de acesso (ACLs) e outros shapers dentro da mitigação podem diminuir os volumes permitidos para algum tráfego, por exemplo, tráfego que corresponda a vetores de ataque de DDoS conhecidos ou que não se espera que venha em grande volume. Isso limita ainda mais a quantidade de tráfego que as mitigações permitem para ataques de reflexão UDP ou para tráfego TCP que possuem sinalizadores TCP SYN ou FIN.

O Shield determina a capacidade e coloca as mitigações de forma diferente para cada tipo de recurso.

  • Para uma instância do Amazon EC2 ou um EIP anexado a uma instância do Amazon EC2, o Shield calcula a capacidade com base no tipo de instância e em outros atributos da instância, como se a instância tivesse uma rede aprimorada habilitada.

  • Para um Application Load Balancer ou Classic Load Balancer, o Shield calcula a capacidade individualmente para cada nó de destino do balanceador de carga. As mitigações de ataques de DDoS para esses recursos são fornecidas por uma combinação de mitigações de DDoS Shield e escalonamento automático pelo balanceador de carga. Quando o Shield Response Team (SRT) está envolvido em um ataque contra um recurso do Application Load Balancer ou do Classic Load Balancer, ele pode acelerar o escalonamento como uma medida adicional de proteção.

  • O Shield calcula a capacidade de alguns recursos AWS com base na capacidade disponível da infraestrutura AWS subjacente. Esses tipos de recursos incluem Network Load Balancers (NLBs) e recursos que roteiam o tráfego por meio de balanceadores de carga de gateway ou AWS Network Firewall.

nota

Proteja seus Network Load Balancers anexando EIPs protegidos pelo Shield Advanced. Você pode trabalhar com o SRT para criar mitigações personalizadas com base no tráfego e na capacidade esperados do aplicativo subjacente.

Quando o Shield coloca uma mitigação, os limites de taxa iniciais que o Shield define na lógica de mitigação são aplicados igualmente a cada sistema de mitigação de DDoS do Shield. Por exemplo, se o Shield colocar uma mitigação com um limite de 100.000 pacotes por segundo (pps), ele inicialmente permitirá 100.000 pps em cada local. Em seguida, o Shield agrega continuamente métricas de mitigação para determinar a proporção real de tráfego e usa a proporção para adaptar o limite de taxa para cada local. Isso evita falsos positivos e garante que as mitigações não sejam excessivamente permissivas.