**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53
<a name="ddos-advanced-health-checks"></a>

Puoi configurare Shield Advanced per utilizzare il rilevamento basato sullo stato di salute per migliorare la reattività e la precisione nel rilevamento e nella mitigazione degli attacchi. È possibile utilizzare questa opzione con qualsiasi tipo di risorsa ad eccezione delle zone ospitate su Route 53. 

Per configurare il rilevamento basato sullo stato, definisci un controllo dello stato della tua risorsa in Route 53, verifichi che stia segnalando lo stato di salute e quindi associala alla protezione Shield Advanced. Per informazioni sui controlli di integrità di Route 53, consulta [Come Amazon Route 53 verifica lo stato delle tue risorse](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html) e [Creazione, aggiornamento ed eliminazione dei controlli di integrità](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html) nella Amazon Route 53 Developer Guide. 

**Nota**  
I controlli Health sono necessari per il supporto proattivo al coinvolgimento dello Shield Response Team (SRT). Per informazioni sul coinvolgimento proattivo, consulta. [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md)

I controlli sanitari misurano lo stato delle risorse in base ai requisiti che definisci. Lo stato del controllo dello stato fornisce un input fondamentale ai meccanismi di rilevamento Shield Advanced, offrendo loro una maggiore sensibilità allo stato attuale delle applicazioni specifiche. 

È possibile abilitare il rilevamento basato sullo stato di salute per qualsiasi tipo di risorsa ad eccezione delle zone ospitate da Route 53.
+ **Risorse a livello di rete e trasporto (livello 3/livello 4)**: il rilevamento basato sull'integrità migliora la precisione del rilevamento e della mitigazione degli eventi a livello di rete e trasporto per Network Load Balancer, indirizzi IP elastici e acceleratori standard Global Accelerator. Quando proteggi questi tipi di risorse con Shield Advanced, Shield Advanced può fornire mitigazioni per attacchi più piccoli e mitigazioni più rapide per gli attacchi, anche quando il traffico rientra nella capacità dell'applicazione.

  Quando si aggiunge il rilevamento basato sullo stato di salute, durante i periodi in cui il relativo controllo sanitario non è corretto, Shield Advanced può effettuare le mitigazioni ancora più rapidamente e a soglie ancora più basse.
+ **Risorse a livello applicativo (livello 7)**: il rilevamento basato sullo stato di salute migliora la precisione del rilevamento dei flussi di richieste Web per CloudFront le distribuzioni e gli Application Load Balancer. Quando proteggi questi tipi di risorse con Shield Advanced, ricevi avvisi di rilevamento delle inondazioni di richieste Web quando si verifica una deviazione statisticamente significativa nel volume di traffico combinata con cambiamenti significativi nei modelli di traffico, in base alle caratteristiche della richiesta. 

  Con il rilevamento basato sullo stato di salute, quando il controllo dello stato della Route 53 associato non è integro, Shield Advanced richiede deviazioni minori per avvisare e riporta gli eventi più rapidamente. Al contrario, quando il controllo dello stato della Route 53 associato è corretto, Shield Advanced richiede deviazioni maggiori per avvisare. 

È possibile trarre il massimo vantaggio dall'utilizzo di un controllo dello stato di salute con Shield Advanced se il controllo dello stato segnala lo stato di salute solo quando l'applicazione è in esecuzione con parametri accettabili e segnala lo stato di salute solo quando non lo è. Utilizza le indicazioni contenute in questa sezione per gestire le associazioni dei controlli sanitari in Shield Advanced. 

**Nota**  
Shield Advanced non gestisce automaticamente i controlli sanitari. 

Per utilizzare un controllo dello stato di salute con Shield Advanced è necessario quanto segue: 
+ Il controllo dello stato deve riportare lo stato di salute quando lo si associa alla protezione Shield Advanced. 
+ Il controllo sanitario deve essere pertinente allo stato di salute della risorsa protetta. L'utente è responsabile della definizione e del mantenimento dei controlli di integrità che riportino in modo accurato lo stato dell'applicazione, in base ai requisiti specifici dell'applicazione. 
+ Il controllo sanitario deve rimanere disponibile per l'uso da parte della protezione Shield Advanced. Non eliminare un controllo dello stato di salute in Route 53 che stai utilizzando per una protezione Shield Advanced.

**Contents**
+ [Le migliori pratiche per l'utilizzo dei controlli sanitari con Shield Advanced](health-checks-best-practices.md)
+ [CloudWatch metriche comunemente utilizzate per i controlli sanitari con Shield Advanced](health-checks-metrics.md)
  + [Metriche utilizzate per monitorare lo stato delle applicazioni](health-checks-metrics.md#health-checks-metrics-common)
  + [CloudWatch Parametri Amazon per ogni tipo di risorsa](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [Associazione di un controllo dello stato di salute alla risorsa protetta da Shield Advanced](associate-health-check.md)
+ [Dissociazione di un controllo dello stato di salute dalla risorsa protetta da Shield Advanced](disassociate-health-check.md)
+ [Visualizzazione dello stato dell'associazione dei controlli sanitari in Shield Advanced](health-check-association-status.md)
+ [Esempi di Health check per Shield Advanced](health-checks-examples.md)
  + [CloudFront Distribuzioni Amazon](health-checks-examples.md#health-checks-example-cloudfront)
  + [Sistemi di load balancer](health-checks-examples.md#health-checks-example-load-balancer)
  + [Indirizzo IP EC2 elastico Amazon (EIP)](health-checks-examples.md#health-checks-example-elastic-ip)

# Le migliori pratiche per l'utilizzo dei controlli sanitari con Shield Advanced
<a name="health-checks-best-practices"></a>

Segui le best practice riportate in questa sezione quando crei e utilizzi i controlli di integrità con Shield Advanced.
+ Pianifica i tuoi controlli sanitari identificando i componenti dell'infrastruttura che desideri monitorare. Considerate i seguenti tipi di risorse per i controlli sanitari: 
  + Risorse critiche.
  + Qualsiasi risorsa per cui desideri una maggiore sensibilità nel rilevamento e nella mitigazione di Shield Advanced.
  + Risorse per le quali desideri che Shield Advanced ti contatti in modo proattivo. Il coinvolgimento proattivo si basa sullo stato dei controlli sanitari.

  Esempi di risorse che potresti voler monitorare includono le CloudFront distribuzioni Amazon, i sistemi di bilanciamento del carico con connessione a Internet e le istanze Amazon EC2. 
+ Definisci controlli di integrità che riflettano accuratamente lo stato dell'origine dell'applicazione con il minor numero possibile di notifiche. 
  + Esegui controlli di integrità in modo che non siano integri solo quando l'applicazione non è disponibile o non funziona entro parametri accettabili. Sei responsabile della definizione e del mantenimento dei controlli di integrità in base ai requisiti specifici dell'applicazione. 
  + Utilizzate il minor numero possibile di controlli sanitari, pur continuando a riferire in modo accurato sullo stato della vostra applicazione. Ad esempio, allarmi multipli provenienti da più aree dell'applicazione e che segnalano tutti lo stesso problema potrebbero aumentare i costi delle attività di risposta senza aggiungere valore informativo. 
  + Utilizza controlli di integrità calcolati per monitorare lo stato delle applicazioni utilizzando una combinazione di CloudWatch parametri Amazon. Ad esempio, puoi calcolare l'integrità combinata in base alla latenza dei tuoi server delle applicazioni e al loro tasso di errore di 5xx, il che indica che il server di origine non ha soddisfatto la richiesta. 
  + Create e pubblicate gli indicatori di integrità delle vostre applicazioni con metriche CloudWatch personalizzate in base alle esigenze e utilizzateli in un controllo dello stato calcolato.
+ Implementa e gestisci i controlli sanitari per migliorare il rilevamento e ridurre le attività di manutenzione non necessarie.
  + Prima di associare un controllo sanitario a una protezione Shield Advanced, assicurati che sia in buono stato. L'associazione di un controllo dello stato che risulta non integro può alterare i meccanismi di rilevamento di Shield Advanced per le risorse protette.
  + Mantieni i tuoi controlli sanitari disponibili per l'uso da parte di Shield Advanced. Non eliminare un controllo dello stato di salute in Route 53 che stai utilizzando per una protezione Shield Advanced.
  + Usa gli ambienti di staging e test solo per testare i tuoi controlli sanitari. Mantieni le associazioni di controllo dello stato solo per ambienti che richiedono prestazioni e disponibilità a livello di produzione. Non mantenete l'associazione di controllo dello stato di salute in Shield Advanced per ambienti di staging e test. 

# CloudWatch metriche comunemente utilizzate per i controlli sanitari con Shield Advanced
<a name="health-checks-metrics"></a>

Questa sezione elenca le CloudWatch metriche di Amazon comunemente utilizzate nei controlli di integrità per misurare lo stato delle applicazioni durante gli eventi di denial of service (DDoS) distribuiti. Per informazioni complete sui CloudWatch parametri per ogni tipo di risorsa, consulta l'elenco che segue la tabella. 

**Topics**
+ [Metriche utilizzate per monitorare lo stato delle applicazioni](#health-checks-metrics-common)
+ [CloudWatch Parametri Amazon per ogni tipo di risorsa](#health-checks-protected-resource-metrics)

## Metriche utilizzate per monitorare lo stato delle applicazioni
<a name="health-checks-metrics-common"></a>


| Risorsa | Metrica | Description | 
| --- | --- | --- | 
| Route 53 | `HealthCheckStatus` | Lo stato dell'endpoint per il controllo dello stato di salute. | 
| CloudFront | `5xxErrorRate` | La percentuale di tutte le richieste per le quali il codice di stato HTTP è 5xx. Ciò indica un attacco che ha un impatto sull'applicazione. | 
| Application Load Balancer | `HTTPCode_ELB_5XX_Count` | Il numero di codici di errore del client HTTP 5xx generati dal load balancer.  | 
| Application Load Balancer | `RejectedConnectionCount` | Il numero di connessioni che sono state rifiutate perché il sistema di bilanciamento del carico ha raggiunto il numero massimo di connessioni. | 
| Application Load Balancer | `TargetConnectionErrorCount` | Il numero di connessioni non stabilite correttamente tra il load balancer e la destinazione. | 
| Application Load Balancer | `TargetResponseTime` |  Il tempo trascorso, in secondi, dopo che la richiesta ha lasciato il sistema di bilanciamento del carico e quando riceve una risposta dalla destinazione.  | 
| Application Load Balancer | `UnHealthyHostCount` | Il numero di target considerati non integri. | 
| Amazon EC2 | `CPUUtilization` | La percentuale di unità di EC2 calcolo allocate attualmente in uso. | 

## CloudWatch Parametri Amazon per ogni tipo di risorsa
<a name="health-checks-protected-resource-metrics"></a>

Per ulteriori informazioni sulle metriche disponibili per le risorse protette, consulta le seguenti sezioni nelle guide alle risorse: 
+ Amazon Route 53: [monitoraggio delle risorse con i controlli di integrità di Amazon Route 53 e Amazon CloudWatch nella Amazon](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html) Route 53 Developer Guide.
+ Amazon CloudFront — [Monitoraggio CloudFront con Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html) nella Amazon CloudFront Developer Guide.
+ Application Load Balancer: [CloudWatch metriche per il tuo Application Load Balancer nella User Guide for Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html) Balancer.
+ Network Load Balancer: [CloudWatch metriche per il Network Load Balancer nella Guida per l'utente di Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html) Balancer.
+ AWS Global Accelerator — [Utilizzo di Amazon CloudWatch con AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html) la AWS Global Accelerator Developer Guide.
+ Amazon Elastic Compute Cloud: [elenca le CloudWatch metriche disponibili per le tue istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html) nelle ultime/ /. https://docs.aws.amazon.com/AWSEC2/ UserGuide
+ Amazon EC2 Auto Scaling: [ CloudWatch parametri di monitoraggio per i gruppi e le istanze di Auto Scaling nella Amazon](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html) Auto Scaling User Guide. EC2 

# Associazione di un controllo dello stato di salute alla risorsa protetta da Shield Advanced
<a name="associate-health-check"></a>

La procedura seguente mostra come associare un controllo dello stato di Amazon Route 53 a una risorsa protetta. 

**Nota**  
Prima di associare un controllo sanitario a una protezione Shield Advanced, assicurati che sia in buono stato. Per informazioni, consulta [Monitoraggio dello stato dei controlli di integrità e ricezione delle notifiche](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html) nella Amazon Route 53 Developer Guide. 

**Per associare un controllo sanitario**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Protezioni**, seleziona la risorsa che desideri associare a un controllo sanitario. 

1. Scegli **Configura protezioni**.

1. Scegli **Avanti** fino ad arrivare alla pagina **Configura il rilevamento DDo S basato su controlli sanitari *(opzionale)***.

1. In **Associated Health Check (Controllo stato associato)**, scegliere l'ID del controllo dello stato che si desidera associare alla protezione. 
**Nota**  
Se non vedi il controllo sanitario di cui hai bisogno, vai alla console Route 53 e verifica il controllo e il relativo ID. Per informazioni, consultare [Creazione e aggiornamento di controlli dello stato](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Scorri il resto delle pagine fino a completare la configurazione. Nella pagina **Protezioni**, l'associazione di controllo sanitario aggiornata è elencata per la risorsa.

1. Nella pagina **Protezioni**, verifica che il nuovo controllo sanitario associato risulti integro. 

   Non puoi iniziare a utilizzare correttamente un controllo dello stato di salute in Shield Advanced mentre il controllo dello stato segnala che non è integro. In questo modo Shield Advanced rileva falsi positivi a soglie molto basse e può anche influire negativamente sulla capacità dello Shield Response Team (SRT) di fornire un coinvolgimento proattivo per la risorsa. 

   Se il nuovo controllo sanitario associato risulta non integro, procedi come segue: 

   1. Dissocia il controllo dello stato dalla tua protezione in Shield Advanced.

   1. Rivedi le specifiche del controllo dello stato di salute in Amazon Route 53 e verifica le prestazioni e la disponibilità complessive dell'applicazione. 

   1. Quando le prestazioni dell'applicazione rientrano nei parametri di buona salute e il controllo dello stato risulta corretto, riprova ad associare il controllo dello stato in Shield Advanced.

La procedura di associazione dei controlli sanitari è completa quando hai stabilito la tua nuova associazione per i controlli sanitari e risulta sana in Shield Advanced.

# Dissociazione di un controllo dello stato di salute dalla risorsa protetta da Shield Advanced
<a name="disassociate-health-check"></a>

La procedura seguente mostra come dissociare un controllo dello stato di Amazon Route 53 da una risorsa protetta. 

**Annullare l'associazione di un controllo sanitario**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Protezioni**, seleziona la risorsa che desideri escludere da un controllo sanitario. 

1. Scegli **Configura protezioni**.

1. Scegli **Avanti** fino ad arrivare alla pagina **Configura il rilevamento DDo S basato su controlli sanitari *(opzionale)***.

1. In **Associated Health Check**, scegli l'opzione vuota, elencata come **-**. 

1. Scorri il resto delle pagine fino a completare la configurazione. 

Nella pagina **Protezioni**, il campo relativo al controllo dello stato di salute della risorsa è impostato su **-**, a indicare che non vi è alcuna associazione tra i controlli sanitari.

# Visualizzazione dello stato dell'associazione dei controlli sanitari in Shield Advanced
<a name="health-check-association-status"></a>

Puoi vedere lo stato del controllo di integrità associato a una protezione nella pagina **Risorse protette** della console AWS WAF & Shield e nella pagina dei dettagli di ciascuna risorsa. 
+ **Sano**: il controllo sanitario è disponibile e riporta lo stato di salute.
+ **Non salutare**: il controllo sanitario è disponibile e lo segnala come non salutare.
+ Non **disponibile**: il controllo dello stato non è disponibile per l'uso da parte di Shield Advanced. 

**Per risolvere un controllo sanitario **non disponibile****

Crea e utilizza un nuovo controllo sanitario. Non provare ad associare nuovamente un controllo sanitario dopo che lo stato non è disponibile in Shield Advanced. 

Per una guida dettagliata su come seguire questi passaggi, consulta gli argomenti precedenti. 

1. In Shield Advanced, dissocia il controllo dello stato dalla risorsa. 

1. In Route 53, crea un nuovo controllo dello stato della risorsa e annota il suo ID. Per informazioni, consulta [Creating and Updating Health Checks](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html) nella Amazon Route 53 Developer Guide.

1. In Shield Advanced, associa il nuovo controllo dello stato alla risorsa. 

# Esempi di Health check per Shield Advanced
<a name="health-checks-examples"></a>

Questa sezione mostra esempi di controlli sanitari che è possibile utilizzare in un controllo sanitario calcolato. Un controllo sanitario calcolato utilizza una serie di controlli sanitari individuali per determinare uno stato combinato. Lo stato di ogni singolo controllo sanitario si basa sullo stato di un endpoint o sullo stato di una CloudWatch metrica Amazon. Combini i controlli sanitari in un controllo sanitario calcolato e quindi configuri il controllo sanitario calcolato per riportare lo stato di salute in base allo stato di salute combinato dei singoli controlli sanitari. Regola la sensibilità dei controlli sanitari calcolati in base ai requisiti di prestazioni e disponibilità delle applicazioni. 

Per informazioni sui controlli sanitari calcolati, consulta [Monitoraggio di altri controlli sanitari (controlli sanitari calcolati)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated) nella Amazon Route 53 Developer Guide. Per ulteriori informazioni, consulta il post sul blog [Route 53 Improvements — Calculated Health Checks and Latency Checks](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/).

**Topics**
+ [CloudFront Distribuzioni Amazon](#health-checks-example-cloudfront)
+ [Sistemi di load balancer](#health-checks-example-load-balancer)
+ [Indirizzo IP EC2 elastico Amazon (EIP)](#health-checks-example-elastic-ip)

## CloudFront Distribuzioni Amazon
<a name="health-checks-example-cloudfront"></a>

Gli esempi seguenti descrivono i controlli sanitari che potrebbero essere combinati in un controllo sanitario calcolato per una CloudFront distribuzione: 
+ Monitora un endpoint specificando un nome di dominio in un percorso sulla distribuzione che fornisce contenuti dinamici. Una risposta valida includerebbe i codici di risposta HTTP 2xx e 3xx.
+ Monitora lo stato di un CloudWatch allarme che misura lo stato dell' CloudFront origine. Ad esempio, puoi mantenere un CloudWatch allarme sulla metrica `TargetResponseTime` Application Load Balancer e creare un controllo dello stato che rifletta lo stato dell'allarme. Il controllo di integrità può non essere corretto quando il tempo di risposta, tra la richiesta che esce dal sistema di bilanciamento del carico e il momento in cui il load balancer riceve una risposta dal bersaglio, supera la soglia configurata nell'allarme.
+ Monitora lo stato di un CloudWatch allarme che misura la percentuale di richieste per cui il codice di stato HTTP della risposta è 5xx. Se il tasso di errore 5xx della CloudFront distribuzione è superiore alla soglia definita nell' CloudWatch allarme, lo stato di questo controllo sanitario diventerà non integro. 

## Sistemi di load balancer
<a name="health-checks-example-load-balancer"></a>

Gli esempi seguenti descrivono i controlli di integrità che potrebbero essere utilizzati nei controlli di integrità calcolati per un acceleratore standard Application Load Balancer, Network Load Balancer o Global Accelerator. 
+ Monitora lo stato di un CloudWatch allarme che misura il numero di nuove connessioni stabilite dai client al sistema di bilanciamento del carico. È possibile impostare la soglia di allarme per il numero medio di nuove connessioni in una certa misura superiore alla media giornaliera. Le metriche per ogni tipo di risorsa sono le seguenti: 
  + Application Load Balancer: `NewConnectionCount`
  + Network Load Balancer: `ActiveFlowCount`
  + Acceleratore globale: `NewFlowCount`
+ Per Application Load Balancer e Network Load Balancer, monitora lo stato di CloudWatch un allarme che misura il numero di sistemi di bilanciamento del carico considerati integri. È possibile impostare la soglia di allarme sulla zona di disponibilità o sul numero minimo di host integri richiesto dal sistema di bilanciamento del carico. Le metriche disponibili per le risorse del load balancer sono le seguenti: 
  + Application Load Balancer: `HealthyHostCount`
  + Network Load Balancer: `HealthyHostCount`
+ Per Application Load Balancer, monitora lo stato di un CloudWatch allarme che misura il numero di codici di risposta HTTP 5xx generati dagli obiettivi del load balancer. Per un Application Load Balancer, puoi utilizzare la metrica `HTTPCode_Target_5XX_Count` e basare la soglia di allarme sulla somma di tutti gli errori 5xx per il load balancer. 

## Indirizzo IP EC2 elastico Amazon (EIP)
<a name="health-checks-example-elastic-ip"></a>

I seguenti esempi di controlli sanitari potrebbero essere combinati in un controllo sanitario calcolato per un indirizzo IP EC2 elastico Amazon: 
+ Monitora un endpoint specificando un indirizzo IP sull'indirizzo IP elastico. Il controllo dello stato rimarrà valido finché sarà possibile stabilire una connessione TCP con la risorsa associata all'indirizzo IP.
+ Monitora lo stato di un CloudWatch allarme che misura la percentuale di unità di EC2 calcolo Amazon allocate attualmente in uso sull'istanza. Puoi utilizzare il EC2 parametro Amazon `CPUUtilization` e basare la soglia di allarme su quello che consideri un elevato tasso di utilizzo della CPU per la tua applicazione, ad esempio il 90%.