Como posso me defender contra ataques de DDoS com o Shield Básico?
Quero proteger meu aplicativo contra ataques de negação de serviço distribuídos (DDoS) com o AWS Shield Básico.
Breve descrição
O AWS Shield Básico é um serviço gerenciado de proteção contra ameaças que protege o perímetro do seu aplicativo. O Shield Básico oferece proteção automática contra ameaças sem custo adicional. Você pode usar o Shield Básico para proteger seu aplicativo na borda da rede da AWS usando o Amazon CloudFront, o AWS Global Accelerator e o Amazon Route 53. Esses serviços da AWS recebem proteção contra todos os ataques conhecidos contra camadas de rede e transporte. Para se defender contra ataques de DDoS de camada 7, você pode usar o AWS WAF.
Para proteger seu aplicativo contra ataques de DDoS com o Shield Básico, é uma prática recomendada seguir estas diretrizes para sua arquitetura de aplicativos:
- Reduza a superfície da área de ataque
- Esteja pronto para ajustar a escala e absorver o ataque
- Proteja os recursos expostos
- Monitore o comportamento dos aplicativos
- Crie um plano para ataques
Resolução
Reduza a superfície da área de ataque
- Para garantir que somente o tráfego esperado chegue ao seu aplicativo, use listas de controle de acesso à rede (ACLs da rede) e grupos de segurança.
- Use a lista de prefixos gerenciados pela AWS para o CloudFront. Você pode limitar o tráfego HTTP ou HTTPS de entrada às suas origens a partir somente dos endereços IP que pertencem aos servidores voltados para a origem do CloudFront.
- Implante os recursos de back-end que hospedam seu aplicativo em sub-redes privadas.
- Para reduzir a probabilidade de tráfego malicioso atingir diretamente seu aplicativo, evite alocar endereços IP elásticos para seus recursos de back-end.
Para mais informações, consulte Redução da superfície de ataque.
Esteja pronto para ajustar a escala e absorver o ataque de DDoS
- Proteja seu aplicativo na borda da rede da AWS usando o CloudFront, o Global Accelerator e o Route 53.
- Absorva e distribua o excesso de tráfego com o Elastic Load Balancing.
- Ajuste a escala horizontalmente sob demanda com o AWS Auto Scaling.
- Ajuste a escala verticalmente usando os tipos de instância ideais do Amazon Elastic Compute Cloud (Amazon EC2) para seu aplicativo.
- Ative a rede aprimorada em suas instâncias do Amazon EC2.
- Ative o armazenamento em cache da API para melhorar a capacidade de resposta.
- Otimize o armazenamento em cache no CloudFront.
- Use o CloudFront Origin Shield para reduzir ainda mais as solicitações de armazenamento de conteúdo em cache na origem.
Para mais informações, consulte Técnicas de mitigação.
Proteja os recursos expostos
- Configure o AWS WAF com uma regra baseada em taxas no modo de bloqueio para se defender contra ataques de inundação de solicitações.
Observação: você deve ter o CloudFront, o Amazon API Gateway, o Application Load Balancer ou o AWS AppSync configurados para usar o AWS WAF. - Use as restrições geográficas do CloudFront para evitar que usuários originários de certos países acessem seu conteúdo.
- Use limites de expansão para cada método com suas APIs REST do Amazon API Gateway para proteger seu endpoint de API contra sobrecarga de solicitações.
- Use a identidade de acesso de origem (OAI) com seus buckets do Amazon Simple Storage Service (Amazon S3).
- Configure a chave de API como o cabeçalho X-API-Key de cada solicitação recebida para proteger seu Amazon API Gateway contra acesso direto.
Monitore o comportamento dos aplicativos
- Crie painéis do Amazon CloudWatch para estabelecer uma linha de base das principais métricas do seu aplicativo, como padrões de tráfego e uso de recursos.
- Melhore a visibilidade dos seus logs do CloudWatch com a solução Centralized Logging.
- Configure os alarmes do CloudWatch para ajustar a escala automaticamente do aplicativo em resposta a um ataque de DDoS.
- Crie verificações de integridade do Route 53 para monitorar a integridade do seu aplicativo e gerenciar o failover de tráfego do seu aplicativo em resposta a um ataque de DDoS.
Para mais informações, consulte Monitoramento do AWS Application Auto Scaling.
Crie um plano para ataques de DDoS
- Desenvolva um runbook com antecedência para que você possa responder aos ataques de DDoS de maneira eficiente e oportuna. Para obter orientação sobre como criar um runbook, consulte o guia de resposta a incidentes de segurança da AWS. Você também pode consultar este exemplo de runbook.
- Use o script aws-lambda-shield-engagement para registrar rapidamente um log no AWS Support durante um ataque de DDoS impactante.
- O Shield Básico oferece proteção contra ataques de DDoS baseados em infraestrutura que ocorrem nas camadas 3 e 4 do modelo OSI. Para se defender contra ataques de DDoS de camada 7, você pode usar o AWS WAF.
Para mais informações sobre como proteger seu aplicativo contra ataques de DDoS, consulte as práticas recomendadas da AWS para resiliência de DDoS.
Informações relacionadas
Teste e ajuste das proteções do AWS WAF
Como posso simular um ataque de DDoS para testar o Shield Avançado?
Conteúdo relevante
- feita há 22 diaslg...
- feita há 8 diaslg...
- Resposta aceitafeita há 6 diaslg...
- feita há 8 diaslg...
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 4 anos