View a markdown version of this page

Exemple d'architecture de résilience DDoS Shield Advanced pour les applications Web courantes - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, et AWS Shield directeur de la sécurité réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section Utilisation de la console.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple d'architecture de résilience DDoS Shield Advanced pour les applications Web courantes

Cette page fournit un exemple d'architecture pour optimiser la résilience contre les attaques DDoS avec AWS des applications Web.

Vous pouvez créer une application Web dans n'importe quelle AWS région et bénéficier d'une protection automatique contre les attaques DDoS grâce aux fonctionnalités de détection et d'atténuation AWS proposées dans la région.

Cet exemple concerne les architectures qui acheminent les utilisateurs vers une application Web à l'aide de ressources telles que les Classic Load Balancers, les Application Load Balancers, les Network Load Balancers, les solutions AWS Marketplace ou votre propre couche proxy. Vous pouvez améliorer la résilience DDoS en insérant des zones hébergées Amazon Route 53, des distributions CloudFront Amazon AWS WAF et des ACL Web entre ces ressources d'applications Web et vos utilisateurs. Ces insertions peuvent masquer l'origine de l'application, traiter les demandes au plus près de vos utilisateurs finaux et détecter et atténuer les inondations de demandes au niveau de la couche application. Les applications qui diffusent du contenu statique ou dynamique à vos utilisateurs avec Route 53 sont protégées par un système d'atténuation des attaques DDoS intégré CloudFront et entièrement intégré qui atténue les attaques au niveau de l'infrastructure en temps réel.

Une fois ces améliorations architecturales mises en place, vous pouvez protéger vos zones hébergées par Route 53 et vos CloudFront distributions avec Shield Advanced. Lorsque vous protégez CloudFront des distributions, Shield Advanced vous invite à associer des ACL AWS WAF Web et à créer des règles basées sur le taux pour celles-ci, et vous donne la possibilité d'activer l'atténuation automatique des attaques DDoS au niveau de la couche application ou un engagement proactif. L'engagement proactif et l'atténuation automatique des attaques DDoS au niveau de l'application utilisent les contrôles de santé Route 53 que vous associez à la ressource. Pour en savoir plus sur ces options, consultez Protection des ressources dans AWS Shield Advanced.

Le schéma de référence suivant décrit cette architecture résiliente aux attaques DDoS pour une application Web.

Le diagramme montre un rectangle intituléAWS cloud, avec un groupe d'utilisateurs à sa gauche. À l'intérieur du rectangle du nuage se trouvent deux autres rectangles, côte à côte. Le rectangle de gauche est intitulé AWS Shield Advanced et le rectangle de droite est titréVPC. Le AWS Shield Advanced triangle de gauche contient trois AWS icônes empilées verticalement. De haut en bas, les icônes sont Amazon Route 53 CloudFront, Amazon et AWS WAF. L'icône pour CloudFront comporte des flèches qui pointent vers et depuis l'icône pour AWS WAF. Le groupe d'utilisateurs a une flèche qui sort horizontalement vers sa droite et qui se divise pour pointer vers les icônes de Route 53 et CloudFront. À droite du rectangle Shield Advanced, le rectangle VPC contient deux icônes situées côte à côte. De gauche à droite, ces icônes sont Elastic Load Balancing et Amazon Elastic Compute Cloud. L' CloudFront icône comporte une flèche qui sort horizontalement vers sa droite et qui mène à l'icône Elastic Load Balancing. L'icône Elastic Load Balancing possède une flèche qui sort horizontalement vers sa droite et qui mène à l'icône Amazon EC2. Les demandes des utilisateurs sont donc envoyées à Route 53 et CloudFront. CloudFront interagit avec l'équilibreur de charge AWS WAF et lui envoie également des demandes, qui à son tour envoie des demandes sur l'Amazon EC2.

Les avantages que cette approche apporte à votre application Web sont les suivants :

  • Protection contre les attaques DDoS fréquemment utilisées au niveau de l'infrastructure (couche 3 et couche 4), sans délai de détection. En outre, si une ressource est fréquemment ciblée, Shield Advanced applique des mesures d'atténuation pendant de plus longues périodes. Shield Advanced utilise également le contexte d'application déduit des ACL réseau (NACL) pour bloquer le trafic indésirable en amont. Cela permet d'isoler les défaillances au plus près de leur source, minimisant ainsi l'effet sur les utilisateurs légitimes.

  • Protection contre les inondations TCP SYN. Les systèmes d'atténuation des attaques DDoS qui sont intégrés à CloudFront Route 53 et AWS Global Accelerator fournissent une fonctionnalité de proxy TCP SYN qui défie les nouvelles tentatives de connexion et ne sert que les utilisateurs légitimes.

  • Protection contre les attaques de la couche applicative du DNS, car Route 53 est chargée de fournir des réponses DNS faisant autorité.

  • Protection contre les inondations de demandes au niveau de la couche applicative Web. La règle basée sur le débit que vous configurez dans votre ACL AWS WAF Web bloque les adresses IP sources lorsqu'elles envoient plus de demandes que ce que la règle autorise.

  • Atténuation automatique des attaques DDoS au niveau de la couche application pour vos CloudFront distributions, si vous choisissez d'activer cette option. Grâce à l'atténuation automatique des attaques DDoS, Shield Advanced maintient une règle basée sur le taux dans l'ACL AWS WAF Web associée à la distribution, qui limite le volume de demandes provenant de sources DDoS connues. En outre, lorsque Shield Advanced détecte un événement qui affecte l'état de votre application, il crée, teste et gère automatiquement des règles d'atténuation dans l'ACL Web.

  • Engagement proactif avec la Shield Response Team (SRT), si vous choisissez d'activer cette option. Lorsque Shield Advanced détecte un événement qui affecte l'état de santé de votre application, le SRT répond et communique de manière proactive avec vos équipes chargées de la sécurité ou des opérations en utilisant les informations de contact que vous fournissez. Le SRT analyse les tendances de votre trafic et peut mettre à jour vos AWS WAF règles pour bloquer l'attaque.