Como posso me defender contra ataques de DDoS com o Shield Básico?

Breve descrição

O AWS Shield Básico está ativo por padrão em sua conta da AWS sem custo adicional. Os seguintes serviços têm mitigações padrão Shield "sempre ativas" contra ataques comuns à rede e às camadas de transporte:

• Amazon CloudFront para workloads de chamadas de procedimentos remotos HTTP e gRPC
• Amazon Route 53 para DNS

Resolução

Para proteger sua aplicação contra ataques de DDoS com o Shield Básico, é uma prática recomendada seguir estas diretrizes na arquitetura da sua aplicação:

• Use serviços projetados para escalar.
• Reduza a área da superfície de ataque.
• Detecte e filtre tráfego malicioso.
• Monitore o comportamento da aplicação.
• Crie um plano para ataques de DDoS.

Use serviços projetados para escalar

Projete para tráfego em grande escala com as seguintes práticas recomendadas:

• Proteja sua aplicação na borda da rede da AWS usando o CloudFront, o Global Accelerator e o Route 53.
• Distribua o tráfego com o Elastic Load Balancing e, para o Application Load Balancer, reserve uma capacidade mínima com [reservas de capacidade] (http://Reservas de capacidade para seu Application Load Balancer).
• Escale horizontal ou verticalmente sob demanda com o ajuste de escala automático de aplicações, que se integra a vários serviços.

Reduza a área da superfície de ataque

Reduza a área da superfície de ataque com as seguintes práticas recomendadas:

• Restrinja o acesso às origens do CloudFront. Em uma origem do Amazon S3, use o Origin Access Control (OAC). Em uma origem que seja uma instância do Elastic Load Balancer, Network Load Balancer ou EC2, use origens da VPC. Se você atualmente usa uma lista de prefixos gerenciada pelo CloudFront sem origens de VPC, implemente origens de VPC.
• Para garantir que somente o tráfego esperado chegue à sua aplicação, use listas de controle de acesso à rede (ACLs da rede) e grupos de segurança.
• Para reduzir a probabilidade de tráfego malicioso em sua aplicação, não aloque endereços IP elásticos públicos aos seus recursos de backend.

Para obter mais informações, consulte Redução da superfície de ataque.

Detecte e filtre tráfego malicioso

Detecte e filtre tráfego malicioso com as seguintes práticas recomendadas:

• Use as Práticas recomendadas do AWS WAF descritas em DDoS Resilience - Using AWS WAF to protect against DDoS Botnets (Resiliência contra DDoS - Usando o AWS WAF para se proteger contra botnets de DDoS).
  Observação: você deve usar o Amazon CloudFront, o Amazon API Gateway, o Application Load Balancer, o AWS AppSync ou o Amazon Cognito para usar o AWS WAF.
• Use o cache da CDN CloudFront para reduzir as solicitações armazenáveis em cache para sua origem - consulte DDoS Resilience - the unbelievable importance of HTTP caching (Resiliência contra DDoS - a incrível importância do cache HTTP).
• Ative o armazenamento de API em cache no API Gateway quando apropriado e use limites de expansão em cada método com suas APIs REST do Amazon API Gateway.

Para obter mais informações, consulte Técnicas de mitigação.

Monitore o comportamento da aplicação

Monitore o comportamento da aplicação com as seguintes práticas recomendadas:

• Crie painéis do Amazon CloudWatch para estabelecer uma linha de base das principais métricas da sua aplicação, como padrões de tráfego e uso de recursos.
• Melhore a visibilidade dos seus CloudWatch Logs com a [solução de registro em log centralizado](http:// https//docs.aws.amazon.com/solutions/latest/centralized-logging-with-opensearch/solution-overview.html).
• Configure os alarmes do CloudWatch para escalar automaticamente a aplicação em resposta a um ataque de DDoS.

Para obter mais informações, consulte Monitorar o ajuste de escala automático de aplicações.

Crie um plano para ataques de DDoS

Desenvolva um runbook com antecedência para que seja possível responder aos ataques de DDoS de maneira eficiente e oportuna. Para obter orientações sobre como criar um runbook, consulte Guia de resposta a incidentes de segurança da AWS.

Para obter mais informações sobre como proteger sua aplicação contra ataques de DDoS, consulte AWS best practices for DDoS resiliency (Práticas recomendadas AWS para resiliência DDoS).

Informações relacionadas

How to help protect dynamic web applications against DDoS attacks by using CloudFront and Route 53 (Como ajudar a proteger aplicações web dinâmicas contra ataques de DDoS usando o CloudFront e o Route 53)

How to protect your web application against DDoS attacks by using Route 53 and an external content delivery network (Como proteger sua aplicação web contra ataques de DDoS usando o Route 53 e uma rede externa de entrega de conteúdo)

How to protect a self-managed DNS service against DDoS attacks using AWS Global Accelerator and AWS Shield Advanced (Como proteger um serviço de DNS autogerenciado contra ataques de DDoS usando o AWS Global Accelerator e o AWS Shield Avançado)

Testar e ajustar suas proteções do AWS WAF