Como configurar as proteções contra DDoS da camada de aplicativo (camada 7) com o AWS WAF - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como configurar as proteções contra DDoS da camada de aplicativo (camada 7) com o AWS WAF

Esta página fornece instruções para configurar as proteções da camada de aplicativo com ACLs da Web do AWS WAF.

Para proteger um recurso da camada de aplicação, o Shield Advanced usa uma web ACL AWS WAF com uma regra baseada em intervalos como ponto de partida. O AWS WAF é um firewall para aplicativos Web que permite monitorar as solicitações HTTP e HTTPS que são encaminhadas aos recursos da camada de aplicação e controlar quem pode acessar seu conteúdo com base nas características das solicitações. Uma regra baseada em intervalos limita o volume de tráfego com base nos critérios de agregação de solicitações, fornecendo proteção básica contra DDoS ao seu aplicativo. Para obter mais informações, consulte Como funciona o AWS WAF e Como usar instruções de regras baseadas em intervalos no AWS WAF.

Como opção, é possível habilitar a mitigação automática de DDoS para a camada da aplicação do Shield Avançado com a finalidade de limitar o volume de solicitações de fontes de DDoS conhecidas para o Shield Avançado e fornecer automaticamente proteções específicas de incidentes.

Importante

Se você gerenciar as proteções do Shield Advanced por meio do AWS Firewall Manager usando uma política do Shield Advanced, não poderá gerenciar as proteções da camada de aplicação aqui. Você deve gerenciá-las na política do Shield Advanced do Firewall Manager.

Assinaturas do Shield Advanced e custos do AWS WAF

A assinatura do Shield Advanced cobre os custos de uso de recursos padrão do AWS WAF para funcionalidades que você protege com o Shield Advanced. As tarifas padrão do AWS WAF cobertas pelas proteções do Shield Advanced incluem o custo por pacote de proteção (ACL da Web), o custo por regra e o preço básico por milhão de solicitações para inspeção de solicitações da Web, até 1.500 WCUs e até o tamanho padrão de corpo.

A habilitação da mitigação automática de DDoS na camada da aplicação do Shield Advanced adiciona um grupo de regras ao pacote de proteção (ACL da Web) que usa 150 unidades de capacidade de ACL da Web (WCUs). Essas WCUs contam para o uso de WCUs no pacote de proteção (ACL da Web). Para ter mais informações, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced , Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced e Unidades de capacidade da ACL da Web (WCU) no AWS WAF.

A assinatura do Shield Avançado não cobre o uso do AWS WAF para recursos que você não protege usando o Shield Avançado. Além disso, a assinatura não cobre quaisquer custos adicionais que não correspondem ao padrão do AWS WAF para recursos protegidos. Exemplos de custos que não correspondem ao padrão do AWS WAF são aqueles para o Controle de Bots, para a ação da regra CAPTCHA, para as ACLs da Web que usam mais de 1.500 WCUs e para a inspeção do corpo de solicitações que ultrapassam o tamanho padrão do corpo. A lista completa é fornecida na página de preços do AWS WAF. Sua assinatura do Shield Advanced inclui acesso ao grupo de regras gerenciadas do Amazon Anti-DDoS na camada 7. Com sua assinatura, você receberá até 50 bilhões de solicitações de recursos do AWS WAF protegidos pelo Shield Advanced em um mês civil. Solicitações acima de 50 bilhões serão cobradas de acordo com a página de preços do AWS Shield Advanced.

Para obter informações completas e exemplos de preços, consulte Preços do Shield e Preços do AWS WAF.

Para configurar proteções contra DDoS de camada 7 para uma região

O Shield Advanced oferece a opção de configurar a mitigação de DDoS de camada 7 para cada região nas quais os recursos escolhidos estão localizados. Se você estiver adicionando proteções em várias regiões, o assistente o guiará pelo procedimento a seguir para cada região.

  1. A página Configurar proteções contra DDoS da camada 7 lista cada recurso que ainda não está associado a uma web ACL. Para cada uma delas, escolha uma web ACL existente ou crie uma nova web ACL. Para qualquer recurso que já tenha uma web ACL associada, você pode alterar as web ACLs desassociando primeiro a atual por meio do AWS WAF. Para obter mais informações, consulte Associar ou desassociar um pacote de proteção a um recurso da AWS.

    Para web ACLs que ainda não têm uma regra baseada em intervalos, o assistente de configuração solicita que você adicione uma. Uma regra baseada em intervalos limita o tráfego de endereços IP quando eles estão enviando um grande volume de solicitações. As regras baseadas em intervalos ajudam a proteger seu aplicativo contra floods de solicitações da web, e podem fornecer alertas sobre picos repentinos no tráfego que podem indicar um possível ataque de DDoS. Adicione uma regra baseada em intervalos a uma web ACL escolhendo Adicionar regra de limite de intervalo e, em seguida, fornecendo um limite de intervalo e uma ação de regra. Você pode configurar proteções adicionais na web ACL por meio de AWS WAF.

    Para obter informações sobre o uso de web ACLs e regras baseadas em intervalos em suas proteções do Shield Advanced, incluindo opções adicionais de configuração para regras baseadas em intervalos, consulte Como proteger a camada de aplicativos com ACLs da Web do AWS WAF e Shield Advanced.

  2. Para a mitigação automática de DDoS na camada de aplicativo, se você quiser que o Shield Advanced mitigue automaticamente os ataques de DDoS contra seus recursos da camada de aplicativo, escolha Habilitar e, em seguida, selecione a ação de regra AWS WAF que você deseja que o Shield Advanced use em suas regras personalizadas. Essa configuração se aplica a todas as web ACLs para os recursos que você gerencia nessa sessão do assistente.

    Com a mitigação automática de DDoS para a camada da aplicação, o Shield Avançado mantém uma regra baseada em intervalos na ACL da Web do recurso do AWS WAF que limita o volume de solicitações de fontes de DDoS conhecidas. Além disso, o Shield Avançado compara os padrões de tráfego atuais com as linhas de base de tráfego históricas para detectar desvios que possam indicar um ataque de DDoS. Quando o Shield Avançado detecta um ataque de DDoS, ele responde com a criação, a avaliação e a implantação de regras personalizadas do AWS WAF. Você especifica se as regras personalizadas contam ou bloqueiam ataques em seu nome.

    nota

    A mitigação automática de DDoS na camada de aplicação funciona somente com pacotes de proteção (ACLs da Web) criados com a versão mais nova do AWS WAF (v2).

    Para obter mais informações sobre a mitigação automática de DDoS da camada de aplicativo do Shield Advanced, incluindo advertências e práticas recomendadas para o uso desse atributo, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced .

  3. Escolha Próximo. O assistente do console avança para a página de detecção baseada em integridade.