Como usar a mitigação automática de DDoS da camada de aplicativo com as políticas de Firewall Manager do Shield Advanced - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Configuração de mitigação automáticaSubstitua as web ACLs AWS WAF Classic pelas web ACLs v2

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como usar a mitigação automática de DDoS da camada de aplicativo com as políticas de Firewall Manager do Shield Advanced

Esta página explica como a mitigação automática de DDoS na camada de aplicativo funciona com o Firewall Manager.

Ao aplicar uma política do Shield Advanced às distribuições do Amazon CloudFront ou aos Application Load Balancers, você tem a opção de configurar a mitigação automática de DDoS da camada de aplicativo do Shield Advanced na política.

Para obter informações sobre a mitigação automática do Shield Advanced, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced .

A mitigação automática de DDoS da camada de aplicativo Shield Advanced apresenta os seguintes requisitos:

  • A mitigação automática de DDoS na camada de aplicativo funciona somente com distribuições do Amazon CloudFront e Application Load Balancers.

    Se aplicar sua política Shield Advanced às distribuições do Amazon CloudFront, você pode escolher essa opção para as políticas do Shield Advanced que você cria para a região Global. Ao aplicar proteções aos Application Load Balancers, você pode aplicar a política a qualquer região compatível com o Firewall Manager.

  • A mitigação automática de DDoS na camada de aplicação funciona somente com pacotes de proteção (ACLs da Web) criados com a versão mais nova do AWS WAF (v2).

    Por isso, se você tiver uma política que usa web ACLs AWS WAF Classic, você precisa substituir a política por uma nova política, que usará automaticamente a versão mais recente da AWS WAF, ou fará com que o Firewall Manager crie uma nova versão de web ACLs para sua política existente e passe a usá-las. Para obter mais informações sobre essas opções, consulte Substitua as web ACLs AWS WAF Classic pelas web ACLs da versão mais recente.

Configuração de mitigação automática

A opção de mitigação automática de DDoS na camada de aplicativo para as políticas Shield Advanced do Firewall Manager aplica a funcionalidade de mitigação automática do Shield Advanced às contas e recursos dentro do escopo de sua política. Para obter informações sobre esse atributo do Shield Advanced, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced .

Você pode optar por habilitar ou desabilitar a mitigação automática do Firewall Manager para as distribuições do CloudFront ou dos Application Load Balancers que estão no escopo da política, ou você pode optar por fazer com que a política ignore as configurações de mitigação automática do Shield Advanced:

  • Habilitar: se você optar por habilitar a mitigação automática, você também especifica se as regras de mitigação do Shield Advanced devem contar ou bloquear as solicitações da web correspondentes. O Firewall Manager marcará os recursos dentro do escopo como não compatíveis se eles não tiverem a mitigação automática habilitada ou estiverem usando uma ação de regra que não corresponda à especificada para a política. Se você configurar a política para remediação automática, o Firewall Manager atualizará os recursos não compatíveis conforme o necessário.

  • Desabilitar: se você optar por desabilitar a mitigação automática, o Firewall Manager marcará os recursos dentro do escopo como não compatíveis se eles tiverem a mitigação automática habilitada. Se você configurar a política para remediação automática, o Firewall Manager atualizará os recursos não compatíveis conforme o necessário.

  • Ignorar: se você optar por ignorar a mitigação automática, o Firewall Manager não considerará nenhuma das configurações de mitigação automática em sua política Shield ao realizar atividades de remediação da política. Essa configuração permite controlar a mitigação automática por meio do Shield Advanced, sem que essas configurações sejam substituídas pelo Firewall Manager. Essa configuração não se aplica a nenhum recurso de Classic Load Balancers ou IPs elásticos gerenciados pelo Shield Advanced, porque o Shield Advanced atualmente não oferece suporte à mitigação automática L7 para esses recursos.

Substitua as web ACLs AWS WAF Classic pelas web ACLs da versão mais recente

A mitigação automática de DDoS na camada de aplicação funciona somente com pacotes de proteção (ACLs da Web) criados com a versão mais nova do AWS WAF (v2).

Para determinar a versão da web ACL para sua política Shield Advanced, consulte Determinar a versão de AWS WAF que é usada por uma política do Shield Advanced.

Se você quiser usar a mitigação automática em sua política Shield Advanced e sua política atualmente usa web ACLs AWS WAF Classic, você pode criar uma nova política Shield Advanced para substituir a atual ou usar as opções descritas nesta seção para substituir web ACLs de versões anteriores por novas web ACLs (v2) dentro da política atual do Shield Advanced. Novas políticas sempre criam web ACLs usando a versão mais recente do AWS WAF. Se você substituir a política inteira, ao excluí-la, você também poderá fazer com que o Firewall Manager exclua todas as web ACLs da versão anterior. O restante desta seção descreve suas opções para substituir as web ACLs dentro de sua política existente.

Quando você modifica uma política existente do Shield Advanced para recursos do Amazon CloudFront, o Firewall Manager pode criar automaticamente uma nova web ACL AWS WAF vazia (v2) para a política, em qualquer conta dentro do escopo que ainda não tenha uma web ACL v2. Quando o Firewall Manager cria uma nova web ACL, se a política já tiver uma web ACL AWS WAF Classic na mesma conta, o Firewall Manager configura a nova versão da web ACL com a mesma configuração de ação padrão da web ACL existente. Se não houver nenhuma web ACL AWS WAF Classic existente, o Firewall Manager define a ação padrão como Allow na nova web ACL. Depois que o Firewall Manager criar uma nova web ACL, você poderá personalizá-la conforme necessário por meio do console do AWS WAF.

Quando você escolhe qualquer uma das seguintes opções de configuração de política, o Firewall Manager cria novas web ACLs (v2) para contas dentro do escopo que ainda não as têm:

  • Quando você habilita ou desabilita a mitigação automática de DDoS na camada de aplicativo. Somente essa opção faz com que o Firewall Manager crie as novas web ACLs e não substitua nenhuma associação existente de web ACL AWS WAF Classic nos recursos dentro do escopo da política.

  • Quando você escolhe a ação política de remediação automática e escolhe a opção de substituir web ACLs AWS WAF Classic por web ACLs AWS WAF (v2). Você pode optar por substituir as web ACLs de versões anteriores, independentemente de suas opções de configuração para mitigação automática de DDoS na camada de aplicativo.

    Quando você escolhe a opção de substituição, o Firewall Manager cria a nova versão das web ACLs conforme necessário e, em seguida, faz o seguinte para os recursos dentro do escopo da política:

    • Se um recurso estiver associado a uma web ACL de qualquer outra política ativa do Firewall Manager, o Firewall Manager deixará a associação de lado.

    • Em qualquer outro caso, o Firewall Manager remove qualquer associação com uma web ACL AWS WAF Classic e associa o recurso à web ACL da política AWS WAF (v2).

Você pode optar por fazer com que o Firewall Manager substitua as web ACLs da versão anterior pela nova versão das web ACLs quando quiser. Se você já personalizou as web ACLs AWS WAF Classic da política, você pode atualizar a nova versão das web ACLs para configurações comparáveis antes de escolher que o Firewall Manager execute a etapa de substituição.

Você pode acessar qualquer versão da web ACL para uma política por meio do console da mesma versão AWS WAF ou AWS WAF Classic.

O Firewall Manager não exclui nenhuma web ACL AWS WAF Classic substituída até que você exclua a política em si. Depois que as web ACLs AWS WAF Classic não forem mais usadas pela política, você poderá excluí-las se quiser.