Como o AWS Shield mitiga eventos - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como o AWS Shield mitiga eventos

Esta página apresenta como funciona a mitigação de eventos do AWS Shield.

A lógica de mitigação que protege seu aplicativo pode variar dependendo da arquitetura do aplicativo. Ao proteger uma aplicação web com o Amazon CloudFront e o Amazon Route 53, você se beneficia de mitigações específicas para casos de uso da web e do DNS e que protegem todo o tráfego dos serviços. Quando o ponto de entrada do seu aplicativo é um recurso executado em uma região AWS, a lógica de mitigação varia de acordo com o serviço, o tipo de recurso e o uso do AWS Shield Advanced.

Os sistemas AWS de mitigação de DDoS são desenvolvidos pelos engenheiros do Shield e estão estreitamente integrados aos serviços AWS. Os engenheiros levam em consideração aspectos de sua arquitetura, como a capacidade e a integridade dos recursos alvo. Os engenheiros do Shield monitoram continuamente a eficácia e o desempenho dos sistemas de mitigação de DDoS e são capazes de responder rapidamente quando novas ameaças são descobertas ou antecipadas.

Você pode arquitetar seu aplicativo para escalar em resposta ao tráfego elevado ou à carga elevada, para ajudar a garantir que ele não seja afetado por pequenos fluxos de solicitações. Se você usa o Shield Advanced para proteger seus recursos, receberá cobertura contra aumentos inesperados em sua conta de nuvem que possam ocorrer como resultado de um ataque de DDoS.

Mitigações da infraestrutura

Para ataques na camada de infraestrutura, os sistemas AWS Shield de mitigação de DDoS estão presentes na fronteira da rede AWS e nos locais da borda AWS. A colocação de vários níveis de controles de segurança em toda a infraestrutura AWS fornece uma defesa aprofundada para seus aplicativos em nuvem.

O Shield mantém sistemas de mitigação de DDoS em todos os pontos de entrada da Internet. Quando o Shield detecta um ataque de DDoS, para cada ponto de entrada ele redireciona o tráfego pelos sistemas de mitigação de DDoS no mesmo local. Isso não introduz nenhuma latência adicional observável, e fornece uma capacidade de mitigação de mais de 100 terabits por segundo (Tbps) em todas as regiões AWS e em todos os locais da borda. O Shield protege a disponibilidade dos seus recursos sem redirecionar o tráfego para centros de depuração externos ou remotos, o que pode aumentar a latência.

  • Na fronteira da rede AWS, para qualquer serviço AWS ou recurso, os sistemas de mitigação de DDoS mitigam os ataques da camada de infraestrutura provenientes da Internet. Os sistemas realizam suas mitigações quando sinalizados pela detecção do Shield ou por um engenheiro no Shield Response Team (SRT).

  • Nos locais da borda AWS, os sistemas de mitigação de DDoS inspecionam continuamente cada pacote que é encaminhado para as distribuições do Amazon CloudFront e para as zonas hospedadas do Amazon Route 53, independentemente de sua origem. Quando necessário, os sistemas aplicam mitigações que são projetadas especificamente para o tráfego da web e do DNS. Um benefício adicional de usar o Amazon CloudFront e o Amazon Route 53 para proteger seus aplicativos web é que os ataques de DDoS são imediatamente mitigados, sem exigir um sinal da detecção do Shield.

Mitigações da camada de aplicação

O Shield Advanced fornece mitigações na camada de aplicação web para as distribuições do Amazon CloudFront e os Application Load Balancers, onde você habilitou as proteções do Shield Advanced. Ao habilitar a proteção, você associa uma web ACL AWS WAF ao recurso para habilitar a detecção da camada de aplicação web. Além disso, você tem a opção de habilitar a mitigação automática para a camada da aplicação, que instrui o Shield Avançado a gerenciar as proteções para você durante um ataque de DDoS.

O Shield fornece apenas mitigações personalizadas para ataques na camada de aplicativo em recursos para os quais você habilitou o Shield Advanced e a mitigação automática da camada de aplicativo. Com a mitigação automática, o Shield Avançado aplica a limitação de volume do AWS WAF em solicitações provenientes de fontes de DDoS conhecidas, e adiciona e gerencia automaticamente as proteções personalizadas do AWS WAF em resposta aos ataques de DDoS detectados. Para obter informações detalhadas sobre mitigações desse tipo, consulte Como o Shield Advanced gerencia a mitigação automática.

Uma regra baseada em intervalos em sua ACL da Web, seja adicionada por você ou adicionada pelo atributo de mitigação automática da camada de aplicativo do Shield Advanced, pode mitigar um ataque antes que ele atinja um nível detectável. Para obter mais informações sobre a detecção, consulte Lógica de detecção do Shield Advanced para ameaças na camada de aplicativo (camada 7).

Tópicos