Comment me défendre contre les attaques DDoS avec Shield Standard ?
Je souhaite protéger mon application contre les attaques Distributed Denial of Service (DDoS) avec AWS Shield Standard.
Brève description
AWS Shield Standard est un service géré de protection contre les menaces qui protège le périmètre de votre application. Shield Standard assure une protection automatique contre les menaces sans frais supplémentaires. Vous pouvez utiliser Shield Standard pour protéger votre application à la périphérie du réseau AWS au moyen d'Amazon CloudFront, d'AWS Global Accelerator et d'Amazon Route 53. Ces services AWS sont protégés contre toutes les attaques connues sur le réseau et la couche de transport. Pour vous défendre contre les attaques DDoS de couche 7, vous pouvez utiliser AWS WAF.
Pour protéger votre application contre les attaques DDoS avec Shield Standard, il est recommandé de suivre les directives suivantes sur l'architecture de votre application :
- Réduisez la surface d'attaque
- Soyez prêt à mettre à l’échelle et à absorber l'attaque
- Protégez les ressources exposées
- Surveillez le comportement des applications
- Élaborez un plan pour les attaques
Résolution
Réduisez la surface d'attaque
- Pour vous assurer que seul le trafic prévu atteint votre application, utilisez des listes de contrôle d'accès réseau (ACL réseau) et des groupes de sécurité.
- Utilisez la liste de préfixes gérés par AWS pour CloudFront. Vous pouvez limiter le trafic HTTP ou HTTPS entrant vers vos origines uniquement à partir des adresses IP des serveurs CloudFront orientés vers les origines.
- Déployez les ressources dorsales hébergeant votre application dans des sous-réseaux privés.
- Pour réduire les risques d’attaques visant directement votre application, évitez d'attribuer des adresses IP Elastic à vos ressources dorsales.
Pour plus d'informations, consultez la section Réduction de la surface d'attaque.
Soyez prêt à mettre à l’échelle et à absorber l'attaque DDoS
- Protégez votre application à la périphérie du réseau AWS au moyen de CloudFront, Global Accelerator et Route 53.
- Absorbez et répartissez le trafic excédentaire grâce à Elastic Load Balancing.
- Évoluez horizontalement à la demande au moyen du service AWS Auto Scaling.
- Effectuez une mise à l'échelle verticale en utilisant les types d'instances Amazon Elastic Compute Cloud (Amazon EC2) les mieux adaptés à votre application.
- Activez la mise en réseau améliorée sur vos instances Amazon EC2.
- Activez la mise en cache des API pour améliorer la réactivité.
- Optimisez la mise en cache sur CloudFront.
- Utilisez CloudFront Origin Shield pour réduire encore les demandes de mise en cache du contenu vers l'origine.
Pour plus d'informations, consultez la section Techniques d'atténuation.
Protégez les ressources exposées
- Configurez AWS WAF avec une règle basée sur le taux en mode bloc pour vous protéger contre les attaques par flux de requêtes.
Remarque : CloudFront, Amazon API Gateway, Application Load Balancer ou AWS AppSync doivent être configurés pour utiliser AWS WAF. - Utilisez les restrictions géographiques de CloudFront pour bloquer les utilisateurs provenant de pays auxquels vous désirez interdire l’accès à votre contenu.
- Utilisez des limites de débordement pour chaque méthode avec vos API REST Amazon API Gateway afin d'éviter que le point de terminaison de votre API ne soit submergé de demandes.
- Utilisez l'identité d'accès d'origine (OAI) avec vos compartiments Amazon Simple Storage Service (Amazon S3).
- Configurez la clé d'API comme en-tête X-API-key de chaque demande entrante afin de protéger votre Amazon API Gateway contre tout accès direct.
Surveillez le comportement des applications
- Créez des tableaux de bord Amazon CloudWatch pour établir une base de référence des indicateurs clés de votre application tels que modèles de trafic et utilisation des ressources.
- Améliorez la visibilité de vos journaux CloudWatch grâce à la solution de journalisation centralisée.
- Configurez les alarmes CloudWatch pour mettre à l’échelle automatiquement l'application à la suite d’une attaque DDoS.
- Créez des surveillances de l'état de Route 53 pour surveiller l'état de votre application et gérer le basculement du trafic pour votre application suite à une attaque DDoS.
Pour plus d'informations, consultez la section Surveillance d'AWS Application Auto Scaling.
Créez un plan pour les attaques DDoS
- Développez un runbook permettant de répondre aux attaques DDoS de manière efficace et rapide. Pour obtenir des conseils sur la création d'un runbook, consultez le guide de réponse aux incidents de sécurité AWS. Vous pouvez également consulter cet exemple de runbook.
- Utilisez le script aws-lambda-shield-engagement pour enregistrer rapidement un ticket auprès d'AWS Support lors d'une attaque DDoS importante.
- Shield Standard offre une protection contre les attaques DDoS basées sur l'infrastructure visant les couches 3 et 4 du modèle OSI. Pour vous défendre contre les attaques DDoS de couche 7, vous pouvez utiliser AWS WAF.
Pour plus d'informations sur la manière de protéger votre application contre les attaques DDoS, consultez les meilleures pratiques d'AWS en matière de résilience DDoS.
Informations connexes
Tester et ajuster vos protections AWS WAF
Comment simuler une attaque DDoS pour tester Shield Advanced ?
Contenus pertinents
- demandé il y a un an
- demandé il y a 10 mois
- demandé il y a 10 mois
- demandé il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a un an