Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Difesa a livello di applicazione (,) BP1 BP2
<a name="application-layer-defense-bp1-bp2"></a>

 Molte delle tecniche discusse finora in questo paper sono efficaci nel mitigare l'impatto DDoS degli attacchi a livello di infrastruttura sulla disponibilità dell'applicazione. Per difendersi anche dagli attacchi a livello applicativo, è necessario implementare un'architettura che consenta di rilevare, scalare in modo specifico per assorbire e bloccare le richieste dannose. Questa è una considerazione importante perché i sistemi di DDoS mitigazione basati sulla rete sono generalmente inefficaci nel mitigare attacchi complessi a livello applicativo. 

# Rileva e filtra le richieste web dannose (,) BP1 BP2
<a name="detect-and-filter-malicious-web-requests-bp1-bp2"></a>

 Quando la tua applicazione è in esecuzione AWS, puoi sfruttare Amazon CloudFront (e la sua capacità di HTTP memorizzazione nella cache) e la protezione a livello di applicazione automatica Shield Advanced per evitare che richieste non necessarie raggiungano la tua origine durante gli attacchi a livello DDoS di applicazione. AWS WAF

# Amazon CloudFront
<a name="cloudfront"></a>

 Amazon CloudFront può aiutarti a ridurre il carico del server impedendo al traffico non Web di raggiungere la tua origine. Per inviare una richiesta a un' CloudFront applicazione, è necessario stabilire la connessione con un indirizzo IP valido tramite un TCP handshake completato, che non può essere falsificato. [Inoltre, CloudFront può chiudere automaticamente le connessioni da aggressori che eseguono operazioni di lettura o scrittura lenta (ad esempio, Slowloris).](https://en.wikipedia.org/wiki/Slowloris_(computer_security)) 

## Caching CDN
<a name="cdn-caching"></a>

 CloudFront consente di fornire contenuti dinamici e contenuti statici da postazioni periferiche. AWS Fornendo contenuti memorizzabili CDN nella cache tramite proxy, si impedisce che le richieste arrivino all'origine da un determinato nodo di cache edge per tutta la durata della memorizzazione nella cache. TTL Oltre alla compressione delle [richieste relative a contenuti scaduti ma inseribili nella cache, anche quelle molto brevi TTL significano](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) che un numero trascurabile di richieste arriverà all'origine durante il flusso di richieste relative a quel contenuto. Inoltre, abilitare funzionalità come [CloudFront Origin Shield](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) può contribuire ulteriormente a ridurre il carico sull'origine: qualsiasi cosa tu possa fare per [migliorare l'hit ratio della cache](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html) può fare la differenza tra un attacco di tipo Request Flood con impatto e uno senza impatto. 

# AWS WAF
<a name="aws-waf"></a>

 Utilizzando AWS WAF, puoi configurare liste di controllo degli accessi Web (WebACLs) sulle tue CloudFront distribuzioni globali o sulle risorse regionali per filtrare, monitorare e bloccare le richieste in base alle firme delle richieste. Per determinare se consentire o bloccare le richieste, puoi prendere in considerazione fattori come l'indirizzo IP o il paese di origine, determinate stringhe o schemi nella richiesta, la dimensione di parti specifiche della richiesta e la presenza di SQL codice o script dannosi. Puoi anche eseguire CAPTCHA enigmi e sfidare sessioni client silenziose contro le richieste. 

 Entrambi AWS WAF consentono CloudFront anche di impostare restrizioni geografiche per bloccare o consentire le richieste provenienti da paesi selezionati. Questo può aiutare a bloccare o limitare la frequenza degli attacchi provenienti da aree geografiche in cui non si prevede di servire gli utenti. Inserendo istruzioni dettagliate sulle regole di corrispondenza geografica AWS WAF, puoi controllare l'accesso fino al livello di regione. 

 È possibile utilizzare [le istruzioni Scope-down](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) per restringere l'ambito delle richieste valutate dalla regola per ridurre i costi ed [«etichettare» le richieste Web](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) per consentire a una regola che corrisponde alla richiesta di comunicare i risultati delle corrispondenze alle regole che vengono valutate successivamente nello stesso Web. ACL Scegli questa opzione per riutilizzare la stessa logica su più regole. 

 Puoi anche definire una risposta personalizzata completa, con codice di risposta, intestazioni e corpo. 

 Per aiutare a identificare le richieste dannose, esaminate i log AWS WAF del server Web o utilizzate il logging e il campionamento delle richieste. AWS WAF Abilitando la registrazione, otterrete informazioni dettagliate sul traffico analizzato dal Web. ACL AWS WAF supporta il filtraggio dei log, che consente di specificare quali richieste Web vengono registrate e quali richieste vengono eliminate dal registro dopo l'ispezione. 

 Le informazioni registrate nei log includono l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, informazioni dettagliate sulla richiesta e l'azione corrispondente per ogni regola richiesta. 

 Le richieste campionate forniscono dettagli sulle richieste delle ultime tre ore che corrispondono a una delle tue regole. AWS WAF Puoi utilizzare queste informazioni per identificare le segnaletiche stradali potenzialmente dannose e creare una nuova regola per rifiutare tali richieste. Se vedi un certo numero di richieste con una stringa di query casuale, assicurati di consentire solo i parametri della stringa di query pertinenti alla cache dell'applicazione. Questa tecnica è utile per mitigare un attacco di cache busting contro l'origine. 

# AWS WAF — Regole basate sulla tariffa
<a name="aws-waf-rate-based-rules"></a>

 AWS consiglia vivamente di proteggersi dal HTTP sovraffollamento di richieste utilizzando le regole basate sulla frequenza AWS WAF per bloccare automaticamente gli indirizzi IP dei malintenzionati quando il numero di richieste ricevute in una finestra scorrevole di 5 minuti supera una soglia definita dall'utente. Gli indirizzi IP dei client offensivi riceveranno una risposta proibita 403 (o una risposta di errore di blocco configurata) e rimarranno bloccati fino a quando la frequenza delle richieste non scenderà al di sotto della soglia. 

 Si consiglia di stratificare le regole basate sulla frequenza per fornire una protezione avanzata in modo da avere: 
+  Una regola generale basata sulla tariffa per proteggere l'applicazione da alluvioni di grandi dimensioni. HTTP 
+  Una o più regole basate sulle tariffe per proteggere aliquote specifiche e più restrittive rispetto URIs alla regola generale basata sulle tariffe. 

 Ad esempio, puoi scegliere una regola generica basata sulla tariffa (nessuna dichiarazione riduttiva) con un limite di 500 richieste in un periodo di 5 minuti e quindi creare una o più delle seguenti regole basate sulla tariffa con limiti inferiori a 500 (fino a 100 richieste in un periodo di 5 minuti) utilizzando istruzioni con ambito limitato: 
+  Proteggi le tue **pagine Web** con un'istruzione delimitata come ""`if NOT uri_path contains '.'`, in modo che le richieste di risorse senza estensione di file siano ulteriormente protette. In questo modo si protegge anche la home page (`/`), che è spesso un percorso mirato. URI 
+  Proteggi gli **endpoint dinamici** con un'istruzione «scope-down» come "» `if method exactly matches 'post' (convert lowercase)` 
+  Proteggi **le richieste più complesse** che raggiungono il tuo database o richiama una password monouso (OTP) con un ambito decrescente come "» `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`

 I sistemi basati sulla tariffa in modalità «Block» sono alla base della defense-in-depth WAF configurazione per la protezione contro il sovraffollamento di richieste e sono un requisito fondamentale per l'approvazione delle richieste di protezione dei costi. AWS Shield Advanced Esamineremo le defense-in-depth WAF configurazioni aggiuntive nelle seguenti sezioni. 

# AWS WAF — Reputazione IP
<a name="aws-waf-ip-reputation"></a>

 Per prevenire attacchi basati sulla reputazione degli indirizzi IP, è possibile creare regole utilizzando IP matching o utilizzare [Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) for AWS WAF. 

 Il [gruppo di regole dell'elenco di reputazione IP di Amazon](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) include regole basate sull'intelligence interna di Amazon sulle minacce. Queste regole cercano indirizzi IP che siano bot, che eseguono ricognizioni AWS sulle risorse o che partecipano attivamente ad attività. DDoS È stato osservato che la `AWSManagedIPDDoSList` regola blocca oltre il 90% dei flussi di richieste dannose. 

 Il [gruppo di regole dell'elenco di IP anonimi](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) contiene regole per bloccare le richieste provenienti da servizi che consentono l'offuscamento dell'identità degli spettatori. Queste includono richieste provenienti daVPNs, proxy, nodi Tor e piattaforme cloud (escluse). AWS

 Inoltre, puoi utilizzare elenchi di reputazione IP di terze parti utilizzando il componente [parser IP Lists](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) della soluzione [Security Automations](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html) for. AWS WAF

# AWS WAF - Mitigazione intelligente delle minacce
<a name="aws-waf-intelligent-threat-mitigation"></a>

 Le botnet rappresentano una grave minaccia alla sicurezza e vengono comunemente utilizzate per svolgere attività illegali o dannose come l'invio di spam, il furto di dati sensibili, l'avvio di attacchi ransomware, la commissione di frodi pubblicitarie tramite clic fraudolenti o il lancio di attacchi distribuiti (). denial-of-service DDoS [Per prevenire gli attacchi dei bot, utilizzate il gruppo di regole gestito da Bot Control.AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) Questo gruppo di regole fornisce un livello di protezione di base «Comune» che aggiunge etichette ai bot che si identificano automaticamente, verifica i bot generalmente desiderati e rileva le firme dei bot ad alta affidabilità e un livello di protezione «mirato» che aggiunge il rilevamento per i bot avanzati che non si identificano automaticamente. 

Le protezioni mirate utilizzano tecniche di rilevamento avanzate come l'interrogazione del browser, l'impronta digitale e l'euristica del comportamento per identificare il traffico di bot non valido e quindi applicano controlli di mitigazione come la limitazione della velocità CAPTCHA e le azioni delle regole Challenge. Targeted offre anche opzioni di limitazione della velocità per imporre modelli di accesso simili a quelli umani e applicare una limitazione dinamica della velocità tramite l'uso di token di richiesta. [Per ulteriori dettagli, consulta il gruppo di regole Bot Control.AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) Per rilevare e gestire i tentativi di acquisizione malevoli sulla pagina di accesso dell'applicazione, puoi utilizzare il gruppo di regole AWS WAF Fraud Control account takeover prevention (ATP). Il gruppo di regole esegue questa operazione esaminando i tentativi di accesso che i client inviano all'endpoint di accesso dell'applicazione e controlla anche le risposte dell'applicazione ai tentativi di accesso, per monitorare il tasso di successo e di fallimento.

 La frode nella creazione di account è un'attività illegale online in cui un utente malintenzionato tenta di creare uno o più account falsi. Gli aggressori utilizzano account falsi per attività fraudolente come l'abuso di bonus promozionali e di iscrizione, l'impersonificazione di qualcuno e attacchi informatici come il phishing. La presenza di account falsi può avere un impatto negativo sulla vostra attività, danneggiando la vostra reputazione presso i clienti ed esponendovi a frodi finanziarie. 

 Puoi monitorare e controllare i tentativi di frode nella creazione di account implementando la funzione di prevenzione delle AWS WAF frodi nella creazione di account Fraud Control (ACFP). AWS WAF offre questa funzionalità nel gruppo di Regole gestite da AWS regole `AWS ManagedRulesACFPRuleSet` con l'integrazione di applicazioni complementariSDKs. 

 Scopri di più su queste protezioni nella [https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html). 

# Mitiga automaticamente gli eventi a livello di applicazione (,,) DDoS BP1 BP2 BP6
<a name="automatically-mitigate-application-layer-ddos-events-bp1-bp2-bp6"></a>

 Se sei abbonato AWS Shield Advanced, puoi abilitare la [DDoSmitigazione automatica del livello](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) [di applicazione Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html). Questa funzionalità crea, valuta e implementa automaticamente AWS WAF regole per mitigare gli eventi di livello 7 DDoS per conto dell'utente. 

 AWS Shield Advanced stabilisce una linea di base del traffico per ogni risorsa protetta associata a un Web. WAF ACL Il traffico che si discosta in modo significativo dalla linea di base stabilita viene contrassegnato come evento potenziale. DDoS Dopo il rilevamento di un evento, AWS Shield Advanced tenta di identificare una firma delle richieste Web che costituiscono l'evento e, se viene identificata una firma, vengono create AWS WAF regole per mitigare il traffico con quella firma. 

 Una volta che le regole sono state valutate rispetto alla linea di base storica e ritenute sicure, vengono aggiunte al gruppo di regole gestito da Shield e puoi scegliere se implementarle in modalità conteggio o blocco. Shield Advanced rimuove automaticamente AWS WAF le regole dopo aver stabilito che un evento si è completamente attenuato. 

# Engage SRT (solo abbonati Shield Advanced)
<a name="engage-srt-shield-advanced-subscribers-only"></a>

 Inoltre, se sei abbonato a Shield Advanced, puoi AWS SRT coinvolgerli per aiutarti a creare regole per mitigare un attacco che compromette la disponibilità dell'applicazione. Puoi concedere un accesso AWS SRT limitato al tuo account e. AWS Shield Advanced AWS WAF APIs AWS SRTaccede APIs a questi per applicare mitigazioni sul tuo account solo con la tua autorizzazione esplicita. Per ulteriori informazioni, consulta la [Supporto](support.md) sezione di questo documento. 

 È possibile utilizzarlo AWS Firewall Manager per configurare e gestire centralmente le regole di sicurezza, come AWS Shield Advanced protezioni e AWS WAF regole, in tutta l'organizzazione. L'account di AWS Organizations gestione può designare un account amministratore, che è autorizzato a creare politiche di Firewall Manager. Queste politiche consentono di definire criteri, come il tipo di risorsa e i tag, che determinano dove vengono applicate le regole. Ciò è utile quando si dispone di più account e si desidera standardizzare la protezione. 

 Per ulteriori informazioni su: 
+  Regole gestite da AWS per AWS WAF, fare riferimento a [Regole gestite da AWS for AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html). 
+  Utilizzo della restrizione geografica per limitare l'accesso alla CloudFront distribuzione, consulta [Limitazione della distribuzione geografica dei contenuti](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html). 
+  Per quanto riguarda l'uso AWS WAF, fai riferimento a: 
  +  [Guida introduttiva con AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 
  +  [Registrazione delle informazioni sul ACL traffico web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) 
  +  [Visualizzazione di un esempio di richieste Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample) 
+  Configurazione delle regole basate sulla tariffa, fare riferimento a [Protezione di siti Web e servizi tramite regole basate sulla tariffa](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) per. AWS WAF
+  Come gestire l'implementazione delle regole tra le tue AWS risorse con Firewall Manager, vedi: 
  +  [Guida introduttiva alle AWS WAF politiche di Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html). 
  +  [Guida introduttiva alle policy di Firewall Manager Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html).