Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Défense de la couche applicative (BP1,BP2)
La plupart des techniques abordées jusqu'ici dans ce paper sont efficaces pour atténuer l'impact des DDoS attaques de la couche d'infrastructure sur la disponibilité de votre application. Pour également vous défendre contre les attaques de la couche applicative, vous devez mettre en œuvre une architecture qui vous permet de détecter, de dimensionner pour absorber et de bloquer spécifiquement les demandes malveillantes. Il s'agit d'une considération importante car les systèmes DDoS d'atténuation basés sur le réseau sont généralement inefficaces pour atténuer les attaques complexes au niveau de la couche applicative.
# Détectez et filtrez les requêtes Web malveillantes (BP1,BP2)
Lorsque votre application s'exécute AWS, vous pouvez tirer parti d'Amazon CloudFront (et de sa capacité de HTTP mise en cache) et de Shield Advanced Automatic Application Layer Protection pour empêcher que des demandes inutiles n'atteignent votre source lors d'DDoSattaques contre la couche application. AWS WAF
# Amazon CloudFront
Amazon CloudFront peut contribuer à réduire la charge du serveur en empêchant le trafic non Web d'atteindre votre point d'origine. Pour envoyer une demande à une CloudFront application, la connexion doit être établie avec une adresse IP valide par le biais d'une TCP poignée de main complète, qui ne peut pas être falsifiée. En outre, il CloudFront peut fermer automatiquement les connexions en cas d'attaques à lecture lente ou à écriture lente (par exemple, [Slowloris](https://en.wikipedia.org/wiki/Slowloris_(computer_security))).
## Mise en cache CDN
CloudFront vous permet de diffuser à la fois du contenu dynamique et du contenu statique à partir d'emplacements AWS périphériques. En diffusant du contenu pouvant être mis en cache par proxy à partir du CDN cache, vous empêchez les demandes d'atteindre votre origine à partir d'un nœud de cache périphérique donné pendant toute la durée de la mise en cacheTTL. En conjonction avec le regroupement des [demandes pour](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) du contenu expiré mais pouvant être mis en cache, même les demandes très courtes TTL signifient qu'un nombre négligeable de demandes parviendront à votre origine lors d'un afflux de demandes pour ce contenu. En outre, l'activation de fonctionnalités telles qu'[CloudFront Origin Shield](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) peut contribuer à réduire encore la charge de travail sur votre ordinateur d'origine. Tout ce que vous pouvez faire pour [améliorer le taux de réussite de votre cache](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html) peut faire la différence entre une attaque de type « request flood » ayant un impact et une attaque sans impact.
# AWS WAF
À l'aide de AWS WAF, vous pouvez configurer des listes de contrôle d'accès Web (WebACLs) sur vos CloudFront distributions mondiales ou vos ressources régionales pour filtrer, surveiller et bloquer les demandes en fonction des signatures de demande. Pour déterminer s'il convient d'autoriser ou de bloquer les demandes, vous pouvez prendre en compte des facteurs tels que l'adresse IP ou le pays d'origine, certaines chaînes ou modèles de la demande, la taille de certaines parties de la demande et la présence de SQL code ou de script malveillants. Vous pouvez également lancer CAPTCHA des puzzles et des défis de session client silencieux en réponse à des demandes.
Les deux AWS WAF vous permettent CloudFront également de définir des restrictions géographiques pour bloquer ou autoriser les demandes provenant de pays sélectionnés. Cela peut aider à bloquer ou à limiter le taux d'attaques provenant de zones géographiques où vous ne vous attendez pas à desservir les utilisateurs. Grâce à des règles de correspondance géographique précises AWS WAF, vous pouvez contrôler l'accès jusqu'au niveau de la région.
Vous pouvez utiliser les [instructions Scope-down](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) pour réduire la portée des demandes évaluées par la règle afin de réduire les coûts et les [« étiquettes » sur les requêtes Web](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) pour permettre à une règle correspondant à la demande de communiquer les résultats du match aux règles évaluées ultérieurement sur le même site Web. ACL Choisissez cette option pour réutiliser la même logique dans plusieurs règles.
Vous pouvez également définir une réponse personnalisée complète, avec le code de réponse, les en-têtes et le corps.
Pour identifier les demandes malveillantes, consultez les journaux de votre serveur Web ou utilisez AWS WAF la journalisation et l'échantillonnage des demandes. En activant la AWS WAF journalisation, vous obtenez des informations détaillées sur le trafic analysé par le Web. ACL AWS WAF prend en charge le filtrage des journaux, ce qui vous permet de spécifier quelles requêtes Web sont enregistrées et quelles demandes sont supprimées du journal après l'inspection.
Les informations enregistrées dans les journaux incluent l'heure à laquelle la demande AWS WAF a été reçue de votre AWS ressource, des informations détaillées sur la demande et l'action correspondante pour chaque règle demandée.
Les exemples de demandes fournissent des informations sur les demandes effectuées au cours des trois dernières heures qui correspondaient à l'une de vos AWS WAF règles. Vous pouvez utiliser ces informations pour identifier les signatures de trafic potentiellement malveillantes et créer une nouvelle règle pour refuser ces demandes. Si plusieurs demandes comportent une chaîne de requête aléatoire, veillez à n'autoriser que les paramètres de chaîne de requête pertinents pour le cache de votre application. Cette technique est utile pour atténuer une attaque de piratage du cache dirigée contre votre ordinateur d'origine.
# AWS WAF — Règles basées sur les taux
AWS recommande vivement de se protéger contre les inondations de HTTP demandes en utilisant les règles basées sur le débit AWS WAF pour bloquer automatiquement les adresses IP des acteurs malveillants lorsque le nombre de demandes reçues dans une fenêtre glissante de 5 minutes dépasse un seuil que vous définissez. Les adresses IP des clients incriminées recevront une réponse interdite 403 (ou une réponse d'erreur de blocage configurée) et resteront bloquées jusqu'à ce que le taux de demandes tombe en dessous du seuil.
Il est recommandé de superposer des règles basées sur le taux afin de fournir une protection améliorée afin que vous puissiez :
+ Une règle générale basée sur les taux pour protéger votre demande contre HTTP les grandes inondations.
+ Une ou plusieurs règles basées sur les taux pour protéger des taux spécifiques URIs plus restrictifs que la règle basée sur les taux généraux.
Par exemple, vous pouvez choisir une règle basée sur un taux global (aucune déclaration de portée réduite) avec une limite de 500 demandes sur une période de 5 minutes, puis créer une ou plusieurs des règles basées sur les taux suivantes avec des limites inférieures à 500 (100 demandes sur une période de 5 minutes) à l'aide d'instructions de portée réduite :
+ Protégez vos **pages Web** à l'aide d'une instruction de portée réduite telle que `if NOT uri_path contains '.'` « » afin de mieux protéger les demandes de ressources sans extension de fichier. Cela protège également votre page d'accueil (`/`), qui est un URI chemin fréquemment ciblé.
+ Protégez les **points de terminaison dynamiques** avec une instruction de portée réduite telle que « » `if method exactly matches 'post' (convert lowercase)`
+ Protégez les **demandes volumineuses** qui atteignent votre base de données ou invoquez un mot de passe à usage unique (OTP) avec une portée descendante du type « » `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`
La base tarifaire en mode « Bloc » constitue la pierre angulaire de votre defense-in-depth WAF configuration pour vous protéger contre les inondations de demandes et constitue une condition préalable à l'approbation des demandes de protection des AWS Shield Advanced coûts. Nous examinerons d'autres defense-in-depth WAF configurations dans les sections suivantes.
# AWS WAF — Réputation IP
Pour empêcher les attaques basées sur la réputation des adresses IP, vous pouvez créer des règles à l'aide de la correspondance d'adresses IP ou utiliser [des règles gérées](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) pour AWS WAF.
Le [groupe de règles de liste de réputation IP d'Amazon](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) inclut des règles basées sur les renseignements internes d'Amazon sur les menaces. Ces règles recherchent les adresses IP qui sont des robots, effectuant des reconnaissances sur AWS des ressources ou participant activement à DDoS des activités. La `AWSManagedIPDDoSList` règle a été observée bloquant plus de 90 % des flots de demandes malveillantes.
Le [groupe de règles de liste d'adresses IP anonymes](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) contient des règles visant à bloquer les demandes provenant de services qui permettent de masquer l'identité du spectateur. Il s'agit notamment des requêtes provenant de proxysVPNs, de nœuds Tor et de plateformes cloud (à l'exclusion AWS).
En outre, vous pouvez utiliser des listes de réputation IP tierces en utilisant le composant d'[analyse des listes d'adresses IP](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) de la solution [Security Automations for AWS WAF](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html).
# AWS WAF - Atténuation intelligente des menaces
Les botnets constituent une grave menace pour la sécurité et sont couramment utilisés pour mener des activités illégales ou nuisibles, telles que l'envoi de spam, le vol de données sensibles, le lancement d'attaques par ransomware, la fraude publicitaire par le biais de clics frauduleux ou le lancement d'attaques distribuées denial-of-service (DDoS). Pour empêcher les attaques de bots, utilisez le groupe de règles géré par [AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html). Ce groupe de règles fournit un niveau de protection de base « commun » qui ajoute des étiquettes aux robots qui s'identifient eux-mêmes, vérifie les robots généralement souhaitables et détecte les signatures de robots hautement fiables, ainsi qu'un niveau de protection « ciblé » qui permet de détecter les robots avancés qui ne s'identifient pas eux-mêmes.
Les protections ciblées utilisent des techniques de détection avancées telles que l'interrogation du navigateur, la prise d'empreintes digitales et l'heuristique comportementale pour identifier le trafic de bots défectueux, puis appliquent des contrôles d'atténuation tels que la limitation du débit CAPTCHA et les actions relatives aux règles de défi. Targeted propose également des options de limitation de débit pour appliquer des modèles d'accès de type humain et appliquer une limitation de débit dynamique grâce à l'utilisation de jetons de demande. Pour plus de détails, consultez la section [Groupe de règles AWS WAF Bot Control.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) Pour détecter et gérer les tentatives de prise de contrôle malveillantes sur la page de connexion de votre application, vous pouvez utiliser le groupe de règles AWS WAF Fraud Control account takeover prevention (ATP). Pour ce faire, le groupe de règles inspecte les tentatives de connexion que les clients envoient au point de terminaison de connexion de votre application et examine également les réponses de votre application aux tentatives de connexion, afin de suivre le taux de réussite et d'échec.
La fraude liée à la création de compte est une activité illégale en ligne dans le cadre de laquelle un attaquant tente de créer un ou plusieurs faux comptes. Les attaquants utilisent de faux comptes pour des activités frauduleuses, telles que l'utilisation abusive de bonus promotionnels et d'inscription, l'usurpation d'identité de quelqu'un et des cyberattaques telles que le phishing. La présence de faux comptes peut avoir un impact négatif sur votre entreprise en portant atteinte à votre réputation auprès des clients et en vous exposant à des fraudes financières.
Vous pouvez surveiller et contrôler les tentatives de fraude liées à la création de comptes en mettant en œuvre la fonctionnalité de prévention des AWS WAF fraudes lors de la création de comptes Fraud Control (ACFP). AWS WAF propose cette fonctionnalité dans le groupe de AWS Managed Rules règles `AWS ManagedRulesACFPRuleSet` avec intégration d'applications complémentairesSDKs.
Apprenez-en davantage sur ces protections dans le cadre de l'[*atténuation AWS WAF intelligente des menaces*.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html)
# Atténuez automatiquement les DDoS événements liés à la couche applicative (BP1,,BP2) BP6
Si vous êtes abonné AWS Shield Advanced, vous pouvez activer l'[DDoSatténuation automatique de la couche d'](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html)[application de Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html). Cette fonctionnalité crée, évalue et déploie automatiquement des AWS WAF règles pour atténuer les DDoS événements de couche 7 en votre nom.
AWS Shield Advanced établit une base de trafic pour chaque ressource protégée associée à un WAF site WebACL. Le trafic qui s'écarte de manière significative de la base de référence établie est signalé comme un événement potentielDDoS. Après la détection d'un événement, AWS Shield Advanced tente d'identifier une signature des requêtes Web qui constituent l'événement, et si une signature est identifiée, des AWS WAF règles sont créées pour atténuer le trafic associé à cette signature.
Une fois que les règles sont évaluées par rapport à la base de référence historique et considérées comme sûres, elles sont ajoutées au groupe de règles géré par Shield, et vous pouvez choisir si les règles sont déployées en mode décompte ou en mode bloc. Shield Advanced supprime automatiquement les AWS WAF règles une fois qu'il a déterminé qu'un événement s'est complètement calmé.
# Engage SRT (abonnés Shield Advanced uniquement)
En outre, lorsque vous êtes abonné à Shield Advanced, vous pouvez les utiliser AWS SRT pour vous aider à créer des règles visant à atténuer une attaque qui nuit à la disponibilité de votre application. Vous pouvez accorder un accès AWS SRT limité à votre compte AWS Shield Advanced et AWS WAF APIs. AWS SRTn'y accède pour APIs appliquer des mesures d'atténuation sur votre compte qu'avec votre autorisation explicite. Pour plus d'informations, reportez-vous à la [Support](support.md) section de ce document.
Vous pouvez l'utiliser AWS Firewall Manager pour configurer et gérer de manière centralisée les règles de sécurité, telles que AWS Shield Advanced les protections et AWS WAF les règles, au sein de votre organisation. Votre compte AWS Organizations de gestion peut désigner un compte administrateur, qui est autorisé à créer des politiques Firewall Manager. Ces politiques vous permettent de définir des critères, tels que le type de ressource et les balises, qui déterminent où les règles sont appliquées. Cela est utile lorsque vous avez plusieurs comptes et que vous souhaitez standardiser votre protection.
Pour plus d’informations sur :
+ AWS Managed Rules pour AWS WAF, référez-vous à [AWS Managed Rules pour AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html).
+ En utilisant les restrictions géographiques pour limiter l'accès à votre CloudFront distribution, reportez-vous à la section [Restreindre la distribution géographique de votre contenu](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html).
+ En utilisant AWS WAF, reportez-vous à :
+ [Commencer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
+ [Enregistrement des informations sur ACL le trafic Web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [Affichage d'un échantillon de requêtes Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample)
+ Pour configurer les règles basées sur les taux, reportez-vous à [Protéger les sites Web et les services à l'aide de règles basées sur les taux](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) pour. AWS WAF
+ Pour gérer le déploiement de règles sur l'ensemble de vos AWS ressources avec Firewall Manager, consultez :
+ [Commencer à utiliser les AWS WAF politiques de Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html)
+ [Commencer à utiliser les politiques avancées de Firewall Manager Shield](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html)