Exemplo de arquitetura de resiliência a DDoS do Shield Advanced para aplicativos TCP e UDP - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Exemplo de arquitetura de resiliência a DDoS do Shield Advanced para aplicativos TCP e UDP

Este exemplo mostra uma arquitetura resiliente a DDoS para aplicativos TCP e UDP em uma região AWS que usa instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou endereços IP elásticos (EIP).

Você pode seguir esse exemplo geral para melhorar a resiliência de DDoS para os seguintes tipos de aplicativos:

  • Aplicativos TCP ou UDP. Por exemplo, aplicativos usados para jogos, IoT e voz sobre IP.

  • Aplicativos web que exigem endereços IP estáticos ou que usam protocolos que o Amazon CloudFront não suporta. Por exemplo, seu aplicativo pode exigir endereços IP que seus usuários possam adicionar às listas de permissões de firewall e que não sejam usados por nenhum outro cliente AWS.

Você pode melhorar a resiliência a DDoS para esses tipos de aplicativos introduzindo o Amazon Route 53 e o AWS Global Accelerator. Esses serviços podem direcionar os usuários para o seu aplicativo e fornecer ao seu aplicativo endereços IP estáticos que são anycast de qualquer forma pela rede de borda global da AWS. Os aceleradores padrão do Global Accelerator podem melhorar a latência do usuário em até 60%. Se você tiver uma aplicativo da web, poderá detectar e mitigar as inundações de solicitações da camada da aplicação da web executando a aplicação em um Application Load Balancer e, em seguida, protegendo o Application Load Balancer com uma web ACL do AWS WAF.

Depois de criar seu aplicativo, proteja suas zonas hospedadas do Route 53, os aceleradores padrão do Global Accelerator e quaisquer Application Load Balancers de carga de aplicativos com o Shield Advanced. Ao proteger seus Application Load Balancers, você pode associar web ACLs AWS WAF e criar regras baseadas em intervalos para elas. Você pode configurar o engajamento proativo com o SRT tanto para seus aceleradores padrão do Global Accelerator quanto para seus Application Load Balancers associando verificações de integridade novas ou existentes do Route 53. Para saber mais sobre as opções, consulte Proteções de recursos no AWS Shield Advanced.

O diagrama de referência a seguir mostra essa arquitetura resiliente a DDoS para aplicativos TCP e UDP.

O diagrama mostra os usuários conectados ao Route 53 e a um AWS Global Accelerator. O acelerador está conectado a um ícone do Elastic Load Balancing que é protegido por AWS Shield Advanced e AWS WAF. O próprio Elastic Load Balancing está conectado a uma instância do Amazon EC2. Essa instância do Elastic Load Balancing e a instância do Amazon EC2 estão na Região 1. O AWS Global Accelerator também está diretamente conectado a outra instância do Amazon EC2, que não está por trás de uma instância protegida do Elastic Load Balancing. Essa segunda instância do Amazon EC2 está na Região n.

Os benefícios que essa abordagem oferece ao seu aplicativo incluem o seguinte:

  • Proteção contra os maiores ataques de DDoS conhecidos na camada de infraestrutura (camada 3 e camada 4). Se o volume de um ataque causar congestionamento a montante do AWS, a falha será isolada mais perto de sua origem e terá um efeito minimizado em seus usuários legítimos.

  • Proteção contra ataques à camada de aplicação de DNS, porque o Route 53 é responsável por fornecer respostas autorizadas de DNS.

  • Se você tiver um aplicativo web, essa abordagem fornece proteção contra inundações de solicitações na camada de aplicação web. A regra baseada em intervalos que você configura na sua web ACL do AWS WAF bloqueia os IPs de origem enquanto eles estão enviando mais solicitações do que o permitido pela regra.

  • Engajamento proativo com a Shield Response Team (SRT), se você optar por ativar essa opção para os recursos elegíveis. Quando o Shield Advanced detecta um evento que afeta a integridade do seu aplicativo, o SRT responde e interage proativamente com suas equipes operaiconais ou de segurança usando as informações de contato fornecidas por você.