Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Teknik mitigasi
Beberapa bentuk DDoS mitigasi disertakan secara otomatis dengan AWS layanan. DDoSketahanan dapat ditingkatkan lebih lanjut dengan menggunakan AWS arsitektur dengan layanan tertentu, yang tercakup dalam bagian berikut, dan dengan menerapkan praktik terbaik tambahan untuk setiap bagian dari aliran jaringan antara pengguna dan aplikasi Anda.
Anda dapat menggunakan AWS layanan yang beroperasi dari lokasi edge, seperti Amazon CloudFront, AWS Global Accelerator, dan Amazon Route 53 untuk membangun perlindungan ketersediaan komprehensif terhadap semua serangan lapisan infrastruktur yang diketahui. Layanan ini merupakan bagian dari [AWS Global Edge Network](https://aws.amazon.com/products/networking/edge-networking/), dan dapat meningkatkan DDoS ketahanan aplikasi Anda saat melayani semua jenis lalu lintas aplikasi dari lokasi tepi yang didistribusikan di seluruh dunia. Anda dapat menjalankan aplikasi Anda di mana pun Wilayah AWS, dan menggunakan layanan ini untuk melindungi ketersediaan aplikasi Anda dan mengoptimalkan kinerja aplikasi Anda untuk pengguna akhir yang sah.
Manfaat menggunakan Amazon CloudFront, Global Accelerator, dan Amazon Route 53 meliputi:
+ Akses ke internet dan kapasitas DDoS mitigasi di seluruh AWS Global Edge Network. Ini berguna dalam mengurangi serangan volumetrik yang lebih besar, yang dapat mencapai skala terabit.
+ AWS Shield DDoSSistem mitigasi terintegrasi dengan layanan AWS edge, mengurangi time-to-mitigate dari menit ke sub detik.
+ Mitigasi Stateless SYN Flood memverifikasi koneksi masuk menggunakan SYN cookie sebelum meneruskannya ke layanan yang dilindungi. Ini memastikan bahwa hanya koneksi yang valid yang mencapai aplikasi Anda sekaligus melindungi pengguna akhir yang sah dari penurunan positif palsu.
+ Sistem rekayasa lalu lintas otomatis yang membubarkan atau mengisolasi dampak serangan volumetrik DDoS besar. Semua layanan ini mengisolasi serangan pada sumber sebelum mencapai asal Anda, yang berarti lebih sedikit dampak pada sistem yang dilindungi oleh layanan ini.
+ Pertahanan lapisan aplikasi untuk CloudFront bila digabungkan dengan [AWS WAF](https://aws.amazon.com/waf/)itu tidak memerlukan perubahan arsitektur aplikasi saat ini (misalnya, di pusat data Wilayah AWS atau lokal).
Tidak ada biaya untuk transfer data masuk AWS dan Anda tidak membayar untuk lalu lintas DDoS serangan yang dikurangi oleh. AWS Shield Diagram arsitektur berikut mencakup layanan AWS Global Edge Network.
![\[Diagram yang menunjukkan DDoS arsitektur referensi yang tangguh\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/aws-best-practices-ddos-resiliency/images/ddos-resilient-ref-arch.png)
Arsitektur ini mencakup beberapa AWS layanan yang dapat membantu Anda meningkatkan ketahanan aplikasi web Anda terhadap seranganDDoS. Tabel berikut memberikan ringkasan layanan ini dan kemampuan yang dapat mereka berikan. AWS telah menandai setiap layanan dengan indikator praktik terbaik (BP1,BP2) untuk referensi yang lebih mudah dalam dokumen ini. Misalnya, bagian yang akan datang membahas kemampuan yang disediakan oleh Amazon CloudFront dan Global Accelerator yang mencakup indikator praktik terbaik. BP1
*Tabel 2 - Ringkasan praktik terbaik*
| | AWS Tepi | Wilayah AWS |
| --- | --- | --- |
| | Menggunakan Amazon CloudFront (BP1) dengan AWS WAF (BP2) | Menggunakan Global Accelerator () BP1 | Menggunakan Amazon Route 53 (BP3) | Menggunakan Elastic Load Balancing (BP6) dengan AWS WAF () BP2 | Menggunakan grup keamanan dan jaringan ACLs di Amazon VPC (BP5) | Menggunakan [Auto BP7 Scaling Amazon Elastic Compute Cloud (AmazonEC2)](https://aws.amazon.com/pm/ec2/) () |
| Lapisan 3 (misalnya, UDP refleksi) mitigasi serangan | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Layer 4 (misalnya, SYN banjir) mitigasi serangan | ✔ | ✔ | ✔ | ✔ | | |
| Layer 6 (misalnya,TLS) mitigasi serangan | ✔ | ✔ | ✔ | ✔ | | |
| Kurangi permukaan serangan | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Skala untuk menyerap lalu lintas lapisan aplikasi | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Lapisan 7 (lapisan aplikasi) mitigasi serangan | ✔ | ✔(\$1) | ✔ | ✔ | ✔(\$1) | ✔(\$1) |
| Isolasi geografis dan penyebaran lalu lintas berlebih dan serangan yang lebih besar DDoS | ✔ | ✔ | ✔ | | | |
✔ (\$1): Jika digunakan AWS WAF dengan [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
Cara lain untuk meningkatkan kesiapan Anda untuk merespons dan mengurangi DDoS serangan adalah dengan berlangganan. AWS Shield Advanced Manfaat menggunakan AWS Shield Advanced meliputi:
+ Akses ke dukungan khusus 24x7 dari [Tim AWS Shield Response](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-srt-support.html) (AWS SRT) untuk bantuan dalam mengurangi DDoS serangan yang memengaruhi ketersediaan aplikasi, termasuk fitur keterlibatan Proaktif opsional
+ Ambang deteksi sensitif yang mengarahkan lalu lintas ke sistem DDoS mitigasi lebih awal dan dapat meningkatkan serangan time-to-mitigate terhadap Amazon EC2 (termasuk Load Balancer elastis) atau Network Load Balancer, saat digunakan dengan alamat IP Elastis
+ Deteksi Layer 7 yang disesuaikan berdasarkan pola lalu lintas dasar aplikasi Anda saat digunakan AWS WAF
+ DDoSMitigasi lapisan aplikasi otomatis di mana Shield Advanced merespons DDoS serangan yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan aturan khusus AWS WAF
+ Akses tanpa AWS WAF biaya tambahan untuk mitigasi DDoS serangan lapisan aplikasi (bila digunakan dengan Amazon CloudFront atau Application Load Balancer)
+ Manajemen kebijakan keamanan terpusat tanpa [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)biaya tambahan.
+ Perlindungan biaya yang memungkinkan Anda untuk meminta pengembalian dana terbatas dari biaya terkait penskalaan yang dihasilkan dari serangan. DDoS
+ Perjanjian tingkat layanan yang ditingkatkan yang khusus untuk AWS Shield Advanced pelanggan.
+ Grup perlindungan yang memungkinkan Anda menggabungkan sumber daya, menyediakan cara swalayan untuk menyesuaikan ruang lingkup deteksi dan mitigasi aplikasi Anda dengan memperlakukan beberapa sumber daya sebagai satu unit. Untuk informasi tentang grup perlindungan, lihat [grup perlindungan [Shield](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups) Advanced.](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups)
+ DDoS[menyerang visibilitas dengan menggunakan CloudWatch [metrik [Konsol Manajemen AWS](https://aws.amazon.com/console/)API,, dan alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) Amazon.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
Layanan DDoS mitigasi opsional ini membantu melindungi aplikasi yang dihosting di mana pun. Wilayah AWS Layanan ini tersedia secara global untuk CloudFront, Route 53, dan Global Accelerator. [Secara regional, Anda dapat melindungi Application Load Balancer, Classic Load Balancer, dan alamat IP Elastis yang memungkinkan Anda melindungi [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) () atau instans NLBs Amazon. EC2](https://aws.amazon.com/ec2/)
Untuk daftar lengkap AWS Shield Advanced fitur dan untuk informasi lebih lanjut tentang AWS Shield, lihat [Cara AWS Shield kerja](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html).
# Praktik terbaik untuk DDoS mitigasi
Pada bagian berikut, masing-masing praktik terbaik yang direkomendasikan untuk DDoS mitigasi dijelaskan secara lebih mendalam. Untuk easy-to-implement panduan singkat tentang membangun lapisan DDoS mitigasi untuk aplikasi web statis atau dinamis, lihat [Cara Membantu Melindungi Aplikasi Web Dinamis Terhadap DDoS Serangan](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/) [dengan Menggunakan Amazon dan CloudFront Amazon Route 53](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/).
# Pertahanan lapisan infrastruktur (BP1,BP3,BP6,BP7)
Dalam lingkungan pusat data tradisional, Anda dapat mengurangi DDoS serangan lapisan infrastruktur dengan menggunakan teknik seperti kapasitas penyediaan berlebihan, menerapkan sistem mitigasi, atau menggosok lalu lintas dengan bantuan DDoS layanan mitigasi. DDoS Pada AWS, kemampuan DDoS mitigasi disediakan secara otomatis; tetapi Anda dapat mengoptimalkan DDoS ketahanan aplikasi Anda dengan membuat pilihan arsitektur yang paling memanfaatkan kemampuan tersebut dan juga memungkinkan Anda untuk menskalakan lalu lintas berlebih.
Pertimbangan utama untuk membantu mengurangi DDoS serangan volumetrik termasuk memastikan bahwa kapasitas transit dan keragaman yang cukup tersedia dan melindungi sumber daya AWS , seperti EC2 contoh Amazon, terhadap lalu lintas serangan.
Beberapa jenis EC2 instans Amazon mendukung fitur yang dapat lebih mudah menangani volume lalu lintas yang besar, misalnya, antarmuka bandwidth jaringan hingga 100 Gbps dan jaringan yang disempurnakan. Ini membantu mencegah kemacetan antarmuka untuk lalu lintas yang telah mencapai instans AmazonEC2. Instans yang mendukung peningkatan jaringan memberikan kinerja input/output (I/O) yang lebih tinggi, bandwidth yang lebih tinggi, dan CPU pemanfaatan yang lebih rendah dibandingkan dengan implementasi tradisional. Ini meningkatkan kemampuan instance untuk menangani volume lalu lintas yang besar dan pada akhirnya membuat mereka sangat tangguh terhadap beban paket per detik (pps).
Untuk memungkinkan tingkat ketahanan yang tinggi ini, AWS rekomendasikan untuk menggunakan Instans [EC2Khusus Amazon, atau instans](https://aws.amazon.com/ec2/pricing/dedicated-instances/) Amazon dengan throughput jaringan lebih tinggi yang memiliki akhiran “`N`” dan dukungan untuk Jaringan yang Ditingkatkan dengan bandwidth Jaringan hingga 100 Gbps, misalnya, `c6gn.16xlarge` dan `c5n.18xlarge` atau EC2 instans logam (seperti). `c5n.metal`
Untuk informasi selengkapnya tentang EC2 instans Amazon yang mendukung 100 antarmuka jaringan Gigabit dan jaringan yang disempurnakan, lihat Jenis Instans [Amazon EC2](https://aws.amazon.com/ec2/instance-types/).
Modul yang diperlukan untuk jaringan yang disempurnakan dan set `enaSupport` atribut yang diperlukan disertakan dengan Amazon Linux 2 dan versi terbaru dari Amazon LinuxAMI. Oleh karena itu, jika Anda meluncurkan instance dengan perangkat keras virtual machine (HVM) versi Amazon Linux pada jenis instans yang didukung, jaringan yang disempurnakan sudah diaktifkan untuk instans Anda. Untuk informasi lebih lanjut, lihat [Uji apakah jaringan yang disempurnakan diaktifkan dan Jaringan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking-ena.html#test-enhanced-networking-ena) yang [disempurnakan di Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html).
# Amazon EC2 dengan Auto Scaling () BP7
Cara lain untuk mengurangi serangan infrastruktur dan lapisan aplikasi adalah dengan beroperasi dalam skala besar. Jika Anda memiliki aplikasi web, Anda dapat menggunakan penyeimbang beban untuk mendistribusikan lalu lintas ke sejumlah EC2 instans Amazon yang dilebih-lebihkan atau dikonfigurasi untuk menskalakan secara otomatis. Contoh ini dapat menangani lonjakan lalu lintas mendadak yang terjadi karena alasan apa pun, termasuk kerumunan flash atau serangan lapisan DDoS aplikasi. Anda dapat menyetel [ CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) untuk memulai Auto Scaling agar secara otomatis menskalakan ukuran armada EC2 Amazon Anda sebagai respons terhadap peristiwa yang Anda tentukan, CPU seperti, I/O JaringanRAM, dan bahkan metrik khusus.
Pendekatan ini melindungi ketersediaan aplikasi ketika ada peningkatan volume permintaan yang tidak terduga. Saat menggunakan Amazon CloudFront, Application Load Balancer, Classic Load Balancer, atau Network Load Balancer dengan aplikasi Anda, TLS negosiasi ditangani oleh distribusi (Amazon) atau oleh penyeimbang beban. CloudFront Fitur-fitur ini membantu melindungi instans Anda agar tidak terkena dampak serangan TLS berbasis dengan penskalaan untuk menangani permintaan yang sah dan TLS serangan penyalahgunaan.
Untuk informasi selengkapnya tentang penggunaan Amazon CloudWatch untuk menjalankan Auto Scaling, lihat [Memantau metrik CloudWatch Amazon untuk grup dan instans Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html) Anda.
Amazon EC2 menyediakan kapasitas komputasi yang dapat diubah ukurannya sehingga Anda dapat dengan cepat meningkatkan atau menurunkan saat persyaratan berubah. Anda dapat menskalakan secara horizontal dengan menambahkan instance ke aplikasi secara otomatis dengan [menskalakan ukuran grup EC2 Auto Scaling Amazon, dan Anda dapat menskalakan](https://docs.aws.amazon.com/autoscaling/ec2/userguide/scaling_plan.html) secara vertikal menggunakan jenis instans yang lebih besar. EC2
Dengan menggunakan [Amazon RDS Proxy](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy.html), Anda dapat mengizinkan aplikasi Anda untuk mengumpulkan dan berbagi koneksi database untuk meningkatkan kemampuan mereka dalam skala dan menangani lonjakan tak terduga dalam lalu lintas database. Anda juga dapat mengaktifkan auto-scaling penyimpanan untuk instans database AmazonRDS. Lihat [Mengelola kapasitas secara otomatis dengan penskalaan otomatis RDS penyimpanan Amazon untuk informasi selengkapnya](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIOPS.StorageTypes.html#USER_PIOPS.Autoscaling).
# Elastic Load Balancing () BP6
DDoSSerangan besar dapat membanjiri kapasitas satu EC2 instans Amazon. Dengan Elastic Load Balancing (ELB), Anda dapat mengurangi risiko kelebihan beban aplikasi dengan mendistribusikan lalu lintas di banyak instance backend. Elastic Load Balancing dapat menskalakan secara otomatis, memungkinkan Anda untuk mengelola volume yang lebih besar ketika Anda memiliki lalu lintas ekstra yang tidak terduga, misalnya, karena kerumunan flash atau serangan. DDoS Untuk aplikasi yang dibangun di AmazonVPC, ada tiga jenis yang ELBs perlu dipertimbangkan, tergantung pada jenis aplikasi Anda: Application Load Balancer (ALB), Network Load Balancer () dan Classic Load Balancer NLB (). CLB
Untuk aplikasi web, Anda dapat menggunakan Application Load Balancer untuk merutekan lalu lintas berdasarkan konten dan hanya menerima permintaan web yang terbentuk dengan baik. Application Load Balancer memblokir banyak DDoS serangan umum, seperti SYN banjir atau serangan UDP refleksi, melindungi aplikasi Anda dari serangan. Application Load Balancer secara otomatis menskalakan untuk menyerap lalu lintas tambahan ketika jenis serangan ini terdeteksi. Aktivitas penskalaan akibat serangan lapisan infrastruktur transparan bagi AWS pelanggan dan tidak memengaruhi tagihan Anda.
Untuk informasi lebih lanjut tentang melindungi aplikasi web dengan Application Load Balancer, lihat [Memulai dengan Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancer-getting-started.html) Balancers.
Untuk HTTPS aplikasi HTTP non-/, Anda dapat menggunakan Network Load Balancer untuk merutekan lalu lintas ke target (misalnya, EC2 instans Amazon) pada latensi sangat rendah. Salah satu pertimbangan utama dengan Network Load Balancer adalah bahwa setiap TCP SYN atau UDP lalu lintas yang mencapai penyeimbang beban pada pendengar yang valid akan diarahkan ke target Anda, tidak diserap, namun ini tidak berlaku untuk TLS -listeners yang mengakhiri koneksi. TCP Untuk Network Load Balancers dengan TCP pendengar, kami sarankan untuk menggunakan Global Accelerator untuk melindungi dari banjir. SYN
Anda dapat menggunakan Shield Advanced untuk mengonfigurasi DDoS perlindungan untuk alamat IP Elastis. Jika alamat IP Elastis ditetapkan per Availability Zone ke Network Load Balancer, Shield Advanced akan menerapkan DDoS perlindungan yang relevan untuk lalu lintas Network Load Balancer.
Untuk informasi selengkapnya tentang perlindungan TCP dan UDP aplikasi dengan Network Load Balancer, lihat [Memulai dengan Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html) Balancer.
**catatan**
Bergantung pada konfigurasi grup keamanan, diperlukan sumber daya yang menggunakan keamanan untuk mengelompokkan untuk menggunakan pelacakan koneksi untuk melacak informasi tentang lalu lintas, ini dapat memengaruhi kemampuan penyeimbang beban untuk memproses koneksi baru, karena jumlah koneksi yang dilacak terbatas.
Konfigurasi grup keamanan yang berisi aturan masuk yang menerima lalu lintas dari alamat IP apa pun (misalnya, `0.0.0.0/0` atau`::/0`) tetapi tidak memiliki aturan yang sesuai untuk mengizinkan lalu lintas respons, menyebabkan grup keamanan menggunakan informasi pelacakan koneksi untuk memungkinkan lalu lintas respons dikirim. Jika terjadi DDoS serangan, jumlah maksimum koneksi yang dilacak dapat habis. Untuk meningkatkan DDoS ketahanan Application Load Balancer atau Classic Load Balancer yang menghadap publik, pastikan bahwa grup keamanan yang terkait dengan penyeimbang beban Anda dikonfigurasi untuk tidak menggunakan pelacakan koneksi (koneksi yang tidak dilacak), sehingga arus lalu lintas tidak tunduk pada batas pelacakan koneksi.
Untuk ini, konfigurasikan grup keamanan Anda dengan aturan yang memungkinkan aturan masuk untuk menerima TCP aliran dari alamat IP apa pun (`0.0.0.0/0`atau`::/0`), dan tambahkan aturan yang sesuai ke arah keluar yang memungkinkan sumber daya ini mengirim lalu lintas respons (izinkan rentang keluar untuk alamat IP apa pun `0.0.0.0/0` atau`::/0`) untuk semua port (0-65535), sehingga lalu lintas respons diizinkan berdasarkan aturan grup keamanan, dan bukan pada informasi pelacakan. Dengan konfigurasi ini, Classic dan Application Load Balancer tidak tunduk pada batas pelacakan koneksi knalpot yang dapat memengaruhi pembuatan koneksi baru ke node penyeimbang beban, dan memungkinkannya untuk menskalakan berdasarkan peningkatan lalu lintas jika terjadi serangan. DDoS Informasi lebih lanjut tentang koneksi yang tidak dilacak dapat ditemukan di: Pelacakan [koneksi grup keamanan: Koneksi tidak terlacak](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).
Menghindari pelacakan koneksi grup keamanan hanya membantu dalam kasus di mana DDoS lalu lintas berasal dari sumber yang diizinkan oleh grup keamanan — DDoS lalu lintas dari sumber yang tidak diizinkan dalam grup keamanan tidak memengaruhi pelacakan koneksi. Konfigurasi ulang grup keamanan Anda untuk menghindari pelacakan koneksi tidak diperlukan dalam kasus ini, misalnya, jika daftar izin grup keamanan Anda terdiri dari rentang IP yang dengannya Anda memiliki tingkat kepercayaan yang tinggi, seperti firewall perusahaan perusahaan atau jalan keluar tepercaya atauVPN. IPs CDNs
# Gunakan lokasi AWS Edge untuk skala (BP1,BP3)
Akses ke koneksi internet yang berskala tinggi dan beragam dapat secara signifikan meningkatkan kemampuan Anda untuk mengoptimalkan latensi dan throughput kepada pengguna, untuk menyerap DDoS serangan, dan untuk mengisolasi kesalahan sekaligus meminimalkan dampak pada ketersediaan aplikasi Anda. AWS Lokasi edge menyediakan lapisan tambahan infrastruktur jaringan yang memberikan manfaat ini untuk aplikasi web apa pun yang menggunakan Amazon CloudFront, Global Accelerator, dan Amazon Route 53. Dengan layanan ini, Anda dapat secara komprehensif melindungi di tepi aplikasi Anda berjalan dari Wilayah AWS.
# Pengiriman aplikasi web di tepi (BP1)
Amazon CloudFront adalah layanan yang dapat digunakan untuk mengirimkan seluruh situs web Anda termasuk konten statis, dinamis, streaming, dan interaktif. Koneksi persisten dan pengaturan variabel time-to-live (TTL) dapat digunakan untuk menurunkan lalu lintas dari asal Anda, bahkan jika Anda tidak menyajikan konten yang dapat di-cache. Penggunaan CloudFront fitur-fitur ini mengurangi jumlah permintaan dan TCP koneksi kembali ke asal Anda, membantu melindungi aplikasi web Anda dari HTTP banjir.
CloudFront hanya menerima koneksi yang terbentuk dengan baik, yang membantu mencegah banyak DDoS serangan umum, seperti SYN banjir dan serangan UDP refleksi, mencapai asal Anda. DDoSSerangan juga secara geografis terisolasi dekat dengan sumbernya, yang mencegah lalu lintas berdampak pada lokasi lain. Kemampuan ini dapat sangat meningkatkan kemampuan Anda untuk terus melayani lalu lintas ke pengguna selama DDoS serangan besar. Anda dapat menggunakan CloudFront untuk melindungi asal di AWS atau di tempat lain di internet.
Jika Anda menggunakan [Amazon Simple Storage Service](https://aws.amazon.com/s3/) (Amazon S3) untuk menyajikan konten statis di internet, AWS sarankan Anda menggunakan Amazon CloudFront untuk melindungi bucket Anda dengan memberikan manfaat berikut:
+ Membatasi akses ke bucket Amazon S3 sehingga tidak dapat diakses publik.
+ Memastikan bahwa pemirsa (pengguna) dapat mengakses konten di bucket hanya melalui CloudFront distribusi yang ditentukan—yaitu, mencegah mereka mengakses konten langsung dari bucket, atau melalui distribusi yang tidak diinginkan. CloudFront
Untuk mencapai hal ini, konfigurasikan CloudFront untuk mengirim permintaan yang diautentikasi ke Amazon S3, dan konfigurasikan Amazon S3 agar hanya mengizinkan akses ke permintaan yang diautentikasi dari. CloudFront CloudFront menyediakan dua cara untuk mengirim permintaan yang diautentikasi ke asal Amazon S3: kontrol akses asal OAC () dan identitas OAI akses asal (). Kami merekomendasikan penggunaan OAC karena mendukung:
+ Semua bucket Amazon S3 secara keseluruhan Wilayah AWS, termasuk Wilayah keikutsertaan diluncurkan setelah Desember 2022
+ Enkripsi [sisi server Amazon S3 dengan (-](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)) AWS KMS SSE KMS
+ Permintaan dinamis (`PUT`dan`DELETE`) ke Amazon S3
Untuk informasi selengkapnya tentang OAC danOAI, lihat [Membatasi akses ke asal Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html).
Untuk informasi selengkapnya tentang melindungi dan mengoptimalkan kinerja aplikasi web dengan Amazon CloudFront, lihat [Memulai dengan Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GettingStarted.html).
# Lindungi lalu lintas jaringan lebih jauh dari asal Anda menggunakan AWS Global Accelerator () BP1
Global Accelerator adalah layanan jaringan yang meningkatkan ketersediaan dan kinerja lalu lintas pengguna hingga 60%. Ini dilakukan dengan memasukkan lalu lintas di lokasi tepi yang paling dekat dengan pengguna Anda dan mengarutkannya melalui infrastruktur jaringan AWS global ke aplikasi Anda, apakah itu berjalan dalam satu atau beberapa. Wilayah AWS
Rute Akselerator Global TCP dan UDP lalu lintas ke titik akhir optimal berdasarkan kinerja yang paling Wilayah AWS dekat dengan pengguna. Jika ada kegagalan aplikasi, Global Accelerator menyediakan failover ke endpoint terbaik berikutnya dalam waktu 30 detik. Global Accelerator menggunakan kapasitas besar jaringan AWS global dan integrasi dengan Shield, seperti kemampuan SYN proxy stateless yang menantang upaya koneksi baru dan hanya melayani pengguna akhir yang sah, untuk melindungi aplikasi.
Anda dapat menerapkan arsitektur DDoS tangguh yang memberikan banyak manfaat yang sama dengan praktik terbaik Pengiriman Aplikasi Web di Edge, bahkan jika aplikasi Anda menggunakan protokol yang tidak didukung oleh CloudFront atau Anda mengoperasikan aplikasi web yang memerlukan alamat IP statis global.
Misalnya, Anda mungkin memerlukan alamat IP yang dapat ditambahkan pengguna akhir Anda ke daftar izin di firewall mereka dan tidak digunakan oleh AWS pelanggan lain. Dalam skenario ini Anda dapat menggunakan Global Accelerator untuk melindungi aplikasi web yang berjalan pada Application Load Balancer dan dalam hubungannya AWS WAF dengan juga mendeteksi dan mengurangi banjir permintaan lapisan aplikasi web.
Untuk informasi lebih lanjut tentang melindungi dan mengoptimalkan kinerja lalu lintas jaringan menggunakan Global Accelerator, lihat [Memulai dengan Global](https://docs.aws.amazon.com/global-accelerator/latest/dg/getting-started.html) Accelerator.
# Resolusi nama domain di tepi (BP3)
**Topics**
+ [Menggunakan Route 53 untuk DNS ketersediaan](using-route53-for-dns-availability.md)
+ [Mengkonfigurasi Route 53 untuk perlindungan biaya dari serangan `NXDOMAIN`](configuring-route53-for-cost-protection-from-nxdomain-attacks.md)
# Menggunakan Route 53 untuk DNS ketersediaan
Amazon Route 53 adalah layanan Domain Name System (DNS) yang sangat tersedia dan skalabel yang dapat digunakan untuk mengarahkan lalu lintas ke aplikasi web Anda. Ini mencakup fitur-fitur canggih seperti Arus Lalu Lintas, Pemeriksaan dan Pemantauan Kesehatan, Perutean Berbasis Latensi, dan Geo. DNS Fitur-fitur canggih ini memungkinkan Anda untuk mengontrol bagaimana layanan merespons DNS permintaan untuk meningkatkan kinerja aplikasi web Anda dan untuk menghindari pemadaman situs. Ini adalah satu-satunya AWS layanan yang memiliki ketersediaan pesawat data 100%SLA.
Amazon Route 53 menggunakan teknik seperti [shuffle sharding](https://aws.amazon.com/builders-library/workload-isolation-using-shuffle-sharding/) dan [anycast striping](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/), yang dapat membantu pengguna mengakses aplikasi Anda bahkan jika DNS layanan ditargetkan oleh serangan. DDoS
Dengan shuffle sharding, setiap server nama dalam kumpulan delegasi Anda sesuai dengan serangkaian lokasi tepi dan jalur internet yang unik. Ini memberikan toleransi kesalahan yang lebih besar dan meminimalkan tumpang tindih antar pelanggan. Jika satu server nama dalam kumpulan delegasi tidak tersedia, pengguna dapat mencoba lagi dan menerima respons dari server nama lain di lokasi tepi yang berbeda.
Anycast striping memungkinkan setiap DNS permintaan dilayani oleh lokasi yang paling optimal, menyebarkan beban jaringan dan mengurangi latensi. DNS Ini memberikan respons yang lebih cepat bagi pengguna. Selain itu, Amazon Route 53 dapat mendeteksi anomali dalam sumber dan volume DNS kueri, dan memprioritaskan permintaan dari pengguna yang diketahui dapat diandalkan.
Untuk informasi selengkapnya tentang menggunakan Amazon Route 53 untuk merutekan pengguna ke aplikasi Anda, lihat [Memulai dengan Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/getting-started.html).
# Mengkonfigurasi Route 53 untuk perlindungan biaya dari serangan `NXDOMAIN`
`NXDOMAIN`Serangan terjadi ketika penyerang mengirim banjir permintaan ke zona host untuk sub-domain yang tidak ada, seringkali melalui resolver “baik” yang dikenal. Tujuan dari serangan ini mungkin untuk mempengaruhi cache resolver rekursif dan/atau ketersediaan resolver otoritatif, atau bisa menjadi bentuk DNS pengintaian untuk mencoba menemukan catatan zona host. Menggunakan Route 53 untuk penyelesai otoritatif Anda mengurangi risiko ketersediaan/dampak kinerja, namun hasilnya dapat berupa peningkatan biaya yang signifikan dalam biaya Rute 53 bulanan. Untuk melindungi dari kenaikan biaya, manfaatkan [harga Route 53](https://aws.amazon.com/route53/pricing/) di mana DNS kueri gratis jika kedua hal berikut benar:
+ Nama domain atau subdomain (`example.com`atau`store.example.com`) dan tipe record (`A`) dalam kueri cocok dengan catatan alias.
+ Target alias adalah AWS sumber daya selain catatan Route 53 lainnya.
Buat catatan wildcard, misalnya, `*.example.com` dengan tipe `A` (Alias) yang menunjuk ke AWS sumber daya seperti EC2 instance, Elastic Load Balancer CloudFront atau distribusi, sehingga ketika kueri dibuat, IP sumber daya akan dikembalikan dan Anda tidak akan dikenakan biaya `qwerty12345.example.com` untuk kueri.
# Pertahanan lapisan aplikasi (BP1,BP2)
Banyak teknik yang dibahas sejauh ini dalam paper ini efektif dalam mengurangi dampak DDoS serangan lapisan infrastruktur terhadap ketersediaan aplikasi Anda. Untuk juga bertahan terhadap serangan lapisan aplikasi, Anda perlu menerapkan arsitektur yang memungkinkan Anda mendeteksi, menskalakan untuk menyerap, dan memblokir permintaan berbahaya secara khusus. Ini merupakan pertimbangan penting karena sistem DDoS mitigasi berbasis jaringan umumnya tidak efektif dalam mengurangi serangan lapisan aplikasi yang kompleks.
# Mendeteksi dan memfilter permintaan web berbahaya (BP1,BP2)
Saat aplikasi berjalan AWS, Anda dapat memanfaatkan Amazon CloudFront (dan kemampuan HTTP caching) AWS WAF, dan perlindungan lapisan Shield Advanced Automatic Application untuk membantu mencegah permintaan yang tidak perlu mencapai asal Anda selama DDoS serangan lapisan aplikasi.
# Amazon CloudFront
Amazon CloudFront dapat membantu mengurangi beban server dengan mencegah lalu lintas non-web mencapai asal Anda. Untuk mengirim permintaan ke CloudFront aplikasi, koneksi harus dibuat dengan alamat IP yang valid melalui TCP jabat tangan yang lengkap, yang tidak dapat dipalsukan. Selain itu, CloudFront dapat secara otomatis menutup koneksi dari penyerang membaca lambat atau menulis lambat (misalnya, [Slowloris](https://en.wikipedia.org/wiki/Slowloris_(computer_security))).
## CDNcaching
CloudFront memungkinkan Anda untuk menyajikan konten dinamis dan konten statis dari lokasi AWS tepi. Dengan menyajikan konten proxy yang dapat CDN di-cache dari cache, Anda mencegah permintaan mencapai asal Anda dari node cache tepi tertentu selama durasi caching. TTL Sehubungan dengan [keruntuhan permintaan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) untuk konten yang kedaluwarsa tetapi dapat di-cache, bahkan sangat singkat TTL berarti bahwa jumlah permintaan yang dapat diabaikan akan mencapai asal Anda selama banjir permintaan untuk konten tersebut. Selain itu mengaktifkan fitur seperti [CloudFront Origin Shield](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) dapat membantu mengurangi beban pada asal Anda — apa pun yang dapat Anda lakukan untuk [meningkatkan rasio hit cache](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html) dapat berarti perbedaan antara serangan banjir permintaan yang berdampak dan tidak berdampak.
# AWS WAF
Dengan menggunakan AWS WAF, Anda dapat mengonfigurasi daftar kontrol akses web (WebACLs) pada CloudFront distribusi global atau sumber daya regional untuk memfilter, memantau, dan memblokir permintaan berdasarkan tanda tangan permintaan. Untuk menentukan apakah akan mengizinkan atau memblokir permintaan, Anda dapat mempertimbangkan faktor-faktor seperti alamat IP atau negara asal, string atau pola tertentu dalam permintaan, ukuran bagian tertentu dari permintaan, dan keberadaan SQL kode atau skrip berbahaya. Anda juga dapat menjalankan CAPTCHA teka-teki dan tantangan sesi klien diam terhadap permintaan.
Keduanya AWS WAF dan CloudFront juga memungkinkan Anda untuk mengatur pembatasan geografis untuk memblokir atau mengizinkan permintaan dari negara yang dipilih. Ini dapat membantu memblokir atau membatasi serangan dari lokasi geografis di mana Anda tidak berharap untuk melayani pengguna. Dengan pernyataan aturan kecocokan geografis berbutir halus AWS WAF, Anda dapat mengontrol akses ke tingkat wilayah.
Anda dapat menggunakan [pernyataan Scope-down](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) untuk mempersempit cakupan permintaan yang dievaluasi aturan untuk menghemat biaya dan [“label” pada permintaan web untuk mengizinkan aturan yang cocok dengan permintaan](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) untuk mengkomunikasikan hasil kecocokan ke aturan yang dievaluasi nanti di web yang sama. ACL Pilih opsi ini untuk menggunakan kembali logika yang sama di beberapa aturan.
Anda juga dapat menentukan respons kustom lengkap, dengan kode respons, header, dan badan.
Untuk membantu mengidentifikasi permintaan berbahaya, tinjau log server web Anda atau gunakan AWS WAF pencatatan dan pengambilan sampel permintaan.Dengan mengaktifkan AWS WAF pencatatan, Anda mendapatkan informasi terperinci tentang lalu lintas yang dianalisis oleh Web. ACL AWS WAF mendukung penyaringan log, memungkinkan Anda untuk menentukan permintaan web mana yang dicatat dan permintaan mana yang dibuang dari log setelah inspeksi.
Informasi yang direkam dalam log mencakup waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi terperinci tentang permintaan, dan tindakan pencocokan untuk setiap aturan yang diminta.
Permintaan sampel memberikan detail tentang permintaan dalam tiga jam terakhir yang cocok dengan salah satu aturan Anda AWS WAF . Anda dapat menggunakan informasi ini untuk mengidentifikasi tanda tangan lalu lintas yang berpotensi berbahaya dan membuat aturan baru untuk menolak permintaan tersebut. Jika Anda melihat sejumlah permintaan dengan string kueri acak, pastikan untuk mengizinkan hanya parameter string kueri yang relevan dengan cache untuk aplikasi Anda. Teknik ini sangat membantu dalam mengurangi serangan cache busting terhadap asal Anda.
# AWS WAF — Aturan berbasis tarif
AWS sangat merekomendasikan perlindungan terhadap banjir HTTP permintaan dengan menggunakan aturan berbasis tarif AWS WAF untuk secara otomatis memblokir alamat IP aktor jahat ketika jumlah permintaan yang diterima dalam jendela geser 5 menit melebihi ambang batas yang Anda tentukan. Alamat IP klien yang menyinggung akan menerima respons terlarang 403 (atau respons kesalahan blok yang dikonfigurasi) dan tetap diblokir hingga tingkat permintaan turun di bawah ambang batas.
Disarankan untuk aturan berbasis tingkat lapisan untuk memberikan perlindungan yang ditingkatkan sehingga Anda memiliki:
+ Aturan berbasis tarif selimut untuk melindungi aplikasi Anda dari banjir besarHTTP.
+ Satu atau lebih aturan berbasis tarif untuk melindungi spesifik URIs pada tingkat yang lebih ketat daripada aturan berbasis tarif selimut.
Misalnya Anda dapat memilih aturan berbasis tarif selimut (tidak ada pernyataan cakupan turun) dengan batas 500 permintaan dalam periode 5 menit, dan kemudian membuat satu atau lebih aturan berbasis tarif berikut dengan batas lebih rendah dari 500 (serendah 100 permintaan dalam periode 5 menit) menggunakan pernyataan cakupan bawah:
+ Lindungi **halaman web** Anda dengan pernyataan cakupan ke bawah seperti "`if NOT uri_path contains '.'`" sehingga permintaan sumber daya tanpa ekstensi file dilindungi lebih lanjut. Ini juga melindungi homepage Anda (`/`) yang merupakan URI jalur yang sering ditargetkan.
+ Lindungi **titik akhir dinamis** dengan pernyataan cakupan ke bawah seperti "” `if method exactly matches 'post' (convert lowercase)`
+ Lindungi **permintaan berat** yang mencapai database Anda atau memanggil kata sandi satu kali (OTP) dengan cakupan ke bawah seperti "” `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`
Berbasis tarif dalam mode “Blok” adalah landasan defense-in-depth WAF konfigurasi Anda untuk melindungi dari banjir permintaan dan merupakan persyaratan agar permintaan perlindungan AWS Shield Advanced biaya disetujui. Kami akan memeriksa defense-in-depth WAF konfigurasi tambahan di bagian berikut.
# AWS WAF — Reputasi IP
Untuk mencegah serangan berdasarkan reputasi alamat IP, Anda dapat membuat aturan menggunakan pencocokan IP atau menggunakan [Aturan Terkelola](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) untuk AWS WAF.
[Grup aturan daftar reputasi IP Amazon](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) mencakup aturan berdasarkan intelijen ancaman internal Amazon. Aturan-aturan ini mencari alamat IP yang merupakan bot, melakukan pengintaian terhadap AWS sumber daya, atau secara aktif terlibat dalam aktivitas. DDoS `AWSManagedIPDDoSList`Aturan, telah diamati memblokir lebih dari 90% dari permintaan banjir berbahaya.
[Grup aturan daftar IP Anonim](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) berisi aturan untuk memblokir permintaan dari layanan yang memungkinkan pengaburan identitas penampil. Ini termasuk permintaan dariVPNs, proxy, node Tor, dan platform cloud (tidak termasuk AWS).
Selain itu, Anda dapat menggunakan daftar reputasi IP pihak ketiga dengan menggunakan komponen [parser Daftar IP](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) dari [Otomatisasi Keamanan untuk AWS WAF solusi.](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html)
# AWS WAF - Mitigasi ancaman cerdas
Botnet adalah ancaman keamanan yang serius dan biasanya digunakan untuk melakukan kegiatan ilegal atau berbahaya seperti mengirim spam, mencuri data sensitif, memulai serangan ransomware, melakukan penipuan iklan melalui klik penipuan, atau meluncurkan serangan terdistribusi (). denial-of-service DDoS Untuk mencegah serangan bot, gunakan grup aturan terkelola [AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html). Grup aturan ini menyediakan tingkat perlindungan dasar “Umum” yang menambahkan label ke bot pengenal diri, memverifikasi bot yang umumnya diinginkan, dan mendeteksi tanda tangan bot dengan kepercayaan tinggi dan tingkat perlindungan “Ditargetkan” yang menambahkan deteksi untuk bot tingkat lanjut yang tidak mengidentifikasi diri.
Perlindungan yang ditargetkan menggunakan teknik deteksi lanjutan seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk dan kemudian menerapkan kontrol mitigasi seperti pembatasan laju dan dan tindakan aturan Tantangan. CAPTCHA Targeted juga menyediakan opsi pembatasan tarif untuk menegakkan pola akses seperti manusia dan menerapkan pembatasan laju dinamis melalui penggunaan token permintaan. Untuk detail selengkapnya, lihat [Grup aturan Kontrol AWS WAF Bot.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) Untuk mendeteksi dan mengelola upaya pengambilalihan berbahaya pada halaman login aplikasi Anda, Anda dapat menggunakan grup aturan pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP). Grup aturan melakukan ini dengan memeriksa upaya login yang dikirim klien ke titik akhir login aplikasi Anda dan juga memeriksa respons aplikasi Anda terhadap upaya login, untuk melacak keberhasilan dan tingkat kegagalan.
Penipuan pembuatan akun adalah aktivitas ilegal online di mana penyerang mencoba membuat satu atau lebih akun palsu. Penyerang menggunakan akun palsu untuk kegiatan penipuan seperti menyalahgunakan promosi dan mendaftar bonus, meniru seseorang, dan serangan cyber seperti phishing. Kehadiran akun palsu dapat berdampak negatif pada bisnis Anda dengan merusak reputasi Anda dengan pelanggan dan paparan penipuan keuangan.
Anda dapat memantau dan mengontrol upaya penipuan pembuatan akun dengan menerapkan fitur pencegahan AWS WAF penipuan (ACFP) pembuatan akun Fraud Control. AWS WAF menawarkan fitur ini di grup Peraturan yang Dikelola AWS aturan `AWS ManagedRulesACFPRuleSet` dengan integrasi aplikasi pendampingSDKs.
Pelajari lebih lanjut tentang perlindungan ini dalam [https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html).
# Secara otomatis mengurangi DDoS peristiwa lapisan aplikasi (,,) BP1 BP2 BP6
Jika Anda berlangganan AWS Shield Advanced, Anda dapat mengaktifkan [DDoSmitigasi lapisan](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) [aplikasi otomatis Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html). Fitur ini secara otomatis membuat, mengevaluasi, dan menerapkan AWS WAF aturan untuk mengurangi DDoS peristiwa layer 7 atas nama Anda.
AWS Shield Advanced menetapkan garis dasar lalu lintas untuk setiap sumber daya yang dilindungi yang terkait dengan Web. WAF ACL Lalu lintas yang secara signifikan menyimpang dari baseline yang ditetapkan ditandai sebagai peristiwa potensial. DDoS Setelah peristiwa terdeteksi, AWS Shield Advanced upaya untuk mengidentifikasi tanda tangan permintaan web yang merupakan peristiwa, dan jika tanda tangan diidentifikasi, AWS WAF aturan dibuat untuk mengurangi lalu lintas dengan tanda tangan itu.
Setelah aturan dievaluasi berdasarkan garis dasar historis dan dianggap aman, aturan tersebut ditambahkan ke grup aturan yang dikelola Shield, dan Anda dapat memilih apakah aturan diterapkan dalam mode hitungan atau blokir. Shield Advanced secara otomatis menghapus AWS WAF aturan setelah ditentukan bahwa suatu peristiwa telah sepenuhnya mereda.
# Engage SRT (hanya pelanggan Shield Advanced)
Selain itu, saat berlangganan Shield Advanced, Anda dapat terlibat AWS SRT untuk membantu Anda membuat aturan guna mengurangi serangan yang merusak ketersediaan aplikasi Anda. Anda dapat memberikan akses AWS SRT terbatas ke akun Anda AWS Shield Advanced dan AWS WAF APIs. AWS SRTmengakses ini APIs untuk menempatkan mitigasi pada akun Anda hanya dengan otorisasi eksplisit Anda. Untuk informasi lebih lanjut, lihat [Dukungan](support.md) bagian dokumen ini.
Anda dapat menggunakan AWS Firewall Manager untuk mengonfigurasi dan mengelola aturan keamanan secara terpusat, seperti AWS Shield Advanced perlindungan dan AWS WAF aturan, di seluruh organisasi Anda. Akun AWS Organizations manajemen Anda dapat menunjuk akun administrator, yang diberi wewenang untuk membuat kebijakan Firewall Manager. Kebijakan ini memungkinkan Anda untuk menentukan kriteria, seperti jenis sumber daya dan tag, yang menentukan di mana aturan diterapkan. Ini berguna ketika Anda memiliki banyak akun dan ingin membakukan perlindungan Anda.
Untuk informasi lebih lanjut tentang:
+ Peraturan yang Dikelola AWS untuk AWS WAF, lihat [Peraturan yang Dikelola AWS untuk AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html).
+ Menggunakan pembatasan geografis untuk membatasi akses ke CloudFront distribusi Anda, lihat [Membatasi distribusi geografis konten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html) Anda.
+ Menggunakan AWS WAF, lihat:
+ [Memulai dengan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
+ [Mencatat informasi ACL lalu lintas web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [Melihat contoh permintaan web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample)
+ Mengkonfigurasi aturan berbasis tarif, lihat [Lindungi Situs Web dan Layanan Menggunakan Aturan Berbasis Tarif](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) untuk. AWS WAF
+ Cara mengelola penerapan aturan di seluruh AWS sumber daya Anda dengan Firewall Manager, lihat:
+ [Memulai dengan AWS WAF kebijakan Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html).
+ [Memulai kebijakan Firewall Manager Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html).