**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Detecção baseada em integridade usando verificações de integridade com o Shield Advanced e o Route 53
<a name="ddos-advanced-health-checks"></a>

Você pode configurar o Shield Advanced para usar a detecção baseada em integridade, o que pode melhorar a capacidade de resposta e a precisão na detecção e mitigação de ataques. Você pode usar essa opção com qualquer tipo de recurso, exceto para zonas hospedadas do Route 53. 

Para configurar a detecção baseada em integridade, você define uma verificação de integridade para seu recurso no Route 53, verifica se o relatório indica integridade e, em seguida, associa-o à sua proteção Shield Advanced. Para saber mais sobre as verificações de integridade do Route 53, consulte [Como o Amazon Route 53 verifica a integridade de seus recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html) e [Comocriar, atualizar e excluir verificações de integridade](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html) no Guia do desenvolvedor do Amazon Route 53. 

**nota**  
As verificações de integridade são necessárias para o suporte de engajamento proativo da Shield Response Team (SRT). Para saber mais sobre engajamento proativo, consulte [Como configurar um engajamento proativo para que o SRT entre em contato diretamente com você](ddos-srt-proactive-engagement.md).

As verificações de integridade medem a integridade dos recursos com base nos requisitos definidos por você. O status da verificação de integridade fornece informações vitais para os mecanismos de detecção do Shield Advanced, o que lhe dá maior sensibilidade ao estado atual de seus aplicativos específicos. 

Você pode usar a detecção baseada em integridade para qualquer tipo de recurso, exceto as zonas hospedadas do Route 53.
+ **Recursos da camada de rede e transporte (camada 3/camada 4)** — A detecção baseada em integridade melhora a precisão da detecção e mitigação de eventos na camada de rede e na camada de transporte para Network Load Balancers, endereços IP elásticos e aceleradores padrão do Global Accelerator. Quando você protege esses tipos de recursos com o Shield Advanced, o Shield Advanced pode fornecer mitigações para ataques menores e mitigação mais rápida para ataques, mesmo quando o tráfego está dentro da capacidade do aplicativo.

  Ao adicionar detecção baseada em integridade, durante períodos em que a verificação de integridade associada não está íntegra, o Shield Advanced pode colocar mitigações ainda mais rapidamente e em limites ainda mais baixos.
+ **Recursos da camada de aplicativo (camada 7)** — A detecção baseada em integridade melhora a precisão da detecção de inundação de solicitações da web para CloudFront distribuições e balanceadores de carga de aplicativos. Ao proteger esses tipos de recursos com o Shield Advanced, você recebe alertas de detecção de inundação de solicitações da web quando há um desvio estatisticamente significativo no volume de tráfego combinado com mudanças significativas nos padrões de tráfego, com base nas características da solicitação. 

  Com a detecção baseada na integridade, quando a verificação de integridade do Route 53 associada revela que não há integridade, o Shield Advanced requer desvios menores para alertas e relata eventos mais rapidamente. Quando a verificação de integridade do Route 53 associada revela integridade, o Shield Advanced requer desvios maiores para alertas. 

Você se beneficiará ao máximo com o uso de uma verificação de integridade com o Shield Advanced se a verificação de integridade só reportar integridade quando seu aplicativo estiver sendo executado dentro de parâmetros aceitáveis e só reportar falta de integridade quando ele não estiver. Use as orientações desta seção para gerenciar suas associações de verificação de integridade no Shield Advanced. 

**nota**  
O Shield Advanced não gerencia automaticamente suas verificações de integridade. 

É necessário o seguinte para usar uma verificação de integridade com o Shield Advanced: 
+ A verificação de integridade deve reportar integridade quando você a associa à proteção Shield Advanced. 
+ A verificação de integridade deve ser relevante para a integridade do seu recurso protegido. Você é responsável por definir e manter as verificações de integridade que reportam adequadamente a integridade do seu aplicativo com base nos requisitos específicos do seu aplicativo. 
+ A verificação de integridade deve permanecer disponível para ser usada pela proteção do Shield Advanced. Não exclua uma verificação de integridade no Route 53 que você está usando para obter uma proteção Shield Advanced.

**Contents**
+ [Práticas recomendadas para usar verificações de integridade com o Shield Advanced](health-checks-best-practices.md)
+ [CloudWatch métricas comumente usadas para verificações de saúde com o Shield Advanced](health-checks-metrics.md)
  + [Para monitorar a integridade do aplicativo](health-checks-metrics.md#health-checks-metrics-common)
  + [CloudWatch Métricas da Amazon para cada tipo de recurso](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [Como associar uma verificação de integridade ao seu recurso protegido pelo Shield Advanced](associate-health-check.md)
+ [Como desassociar uma verificação de integridade do seu recurso protegido pelo Shield Advanced](disassociate-health-check.md)
+ [Como visualizar o status da associação de verificação de integridade no Shield Advanced](health-check-association-status.md)
+ [Exemplos de verificação de integridade para o Shield Advanced](health-checks-examples.md)
  + [CloudFront Distribuições da Amazon](health-checks-examples.md#health-checks-example-cloudfront)
  + [Balanceadores de cargas](health-checks-examples.md#health-checks-example-load-balancer)
  + [Endereço IP EC2 elástico (EIP) da Amazon](health-checks-examples.md#health-checks-example-elastic-ip)

# Práticas recomendadas para usar verificações de integridade com o Shield Advanced
<a name="health-checks-best-practices"></a>

Siga as práticas recomendadas desta seção ao criar e usar verificações de integridade com o Shield Advanced.
+ Planeje suas verificações de integridade identificando os componentes da sua infraestrutura que você deseja monitorar. Considere os seguintes tipos de recursos para verificações de integridade: 
  + Recursos críticos.
  + Qualquer recurso para o qual você queira maior sensibilidade na detecção e mitigação do Shield Advanced.
  + Recursos para os quais você deseja que o Shield Advanced entre em contato com você de forma proativa. O engajamento proativo é informado pelo status das suas verificações de integridade.

  Exemplos de recursos que talvez você queira monitorar incluem CloudFront distribuições da Amazon, balanceadores de carga voltados para a Internet e instâncias do Amazon EC2. 
+ Defina verificações de integridade que reflitam com precisão a integridade da origem do seu aplicativo com o mínimo de notificações possível. 
  + Faça verificações de integridade para que elas só revelem falta de integridade quando seu aplicativo não estiver disponível ou não estiver funcionando dentro dos parâmetros aceitáveis. Você é responsável por definir e manter as verificações de integridade com base nos requisitos específicos do seu aplicativo. 
  + Use o mínimo possível de verificações de integridade e, ao mesmo tempo, informe com precisão a integridade do seu aplicativo. Por exemplo, vários alarmes de várias áreas do seu aplicativo, todos relatando o mesmo problema, podem sobrecarregar suas atividades de resposta sem agregar valor informativo. 
  + Use verificações de saúde calculadas para monitorar a integridade do aplicativo usando uma combinação de CloudWatch métricas da Amazon. Por exemplo, você pode calcular a integridade combinada com base na latência dos seus servidores de aplicativos e nas taxas de erro 5xx, que indicam que o servidor de origem não atendeu à solicitação. 
  + Crie e publique seus próprios indicadores de integridade do aplicativo em métricas CloudWatch personalizadas conforme necessário e use-os em uma verificação de integridade calculada.
+ Implemente e gerencie suas verificações de integridade para melhorar a detecção e reduzir atividades de manutenção desnecessárias.
  + Antes de associar uma verificação de integridade a uma proteção do Shield Advanced, verifique se ela está em bom estado. Associar uma verificação de integridade que está relatando problemas de integridade pode distorcer os mecanismos de detecção do Shield Advanced para seus recursos protegidos.
  + Mantenha suas verificações de integridade disponíveis para uso pelo Shield Advanced. Não exclua uma verificação de integridade no Route 53 que você está usando para obter uma proteção Shield Advanced.
  + Use ambientes de teste e preparação somente para testar suas verificações de integridade. Mantenha associações de verificação de integridade somente para ambientes que exijam desempenho em nível de produção e disponibilidade. Não mantenha a associação de verificação de integridade no Shield Advanced para ambientes de teste e preparação. 

# CloudWatch métricas comumente usadas para verificações de saúde com o Shield Advanced
<a name="health-checks-metrics"></a>

Esta seção lista as CloudWatch métricas da Amazon que são comumente usadas em verificações de saúde para medir a integridade do aplicativo durante eventos distribuídos de negação de serviço (DDoS). Para obter informações completas sobre as CloudWatch métricas de cada tipo de recurso, consulte a lista que segue a tabela. 

**Topics**
+ [Para monitorar a integridade do aplicativo](#health-checks-metrics-common)
+ [CloudWatch Métricas da Amazon para cada tipo de recurso](#health-checks-protected-resource-metrics)

## Para monitorar a integridade do aplicativo
<a name="health-checks-metrics-common"></a>


| Recurso | Métrica | Description | 
| --- | --- | --- | 
| Route 53 | `HealthCheckStatus` | O status do endpoint da verificação de integridade. | 
| CloudFront | `5xxErrorRate` | A porcentagem de todas as solicitações para as quais o código de status HTTP é 5xx. Isso indica um ataque que está afetando o aplicativo. | 
| Application Load Balancer | `HTTPCode_ELB_5XX_Count` | O número de códigos de erro do cliente HTTP 5xx gerados pelo balanceador de carga.  | 
| Application Load Balancer | `RejectedConnectionCount` | O número de conexões que foram rejeitadas porque o balanceador de carga atingiu o número máximo de conexões. | 
| Application Load Balancer | `TargetConnectionErrorCount` | O número de conexões que não foram estabelecidas com êxito entre o balanceador de carga e o destino. | 
| Application Load Balancer | `TargetResponseTime` |  O tempo decorrido, em segundos, depois que a solicitação deixa o balanceador de carga até o momento em que uma resposta do destino é recebida.  | 
| Application Load Balancer | `UnHealthyHostCount` | O número de destinos considerados sem integridade. | 
| Amazon EC2 | `CPUUtilization` | A porcentagem de unidades EC2 computacionais alocadas que estão atualmente em uso. | 

## CloudWatch Métricas da Amazon para cada tipo de recurso
<a name="health-checks-protected-resource-metrics"></a>

Para obter informações adicionais sobre as métricas disponíveis para seus recursos protegidos, consulte as seções a seguir nos guias de recursos: 
+ Amazon Route 53 — [Monitorando seus recursos com as verificações de saúde do Amazon Route 53 e a Amazon CloudWatch](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html) no Amazon Route 53 Developer Guide.
+ Amazon CloudFront — [Monitoramento CloudFront com a Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html) no Amazon CloudFront Developer Guide.
+ Application Load Balancer — [CloudWatch métricas para seu Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html) Balancer no Guia do usuário para Application Load Balancers.
+ Network Load Balancer — [CloudWatch métricas para seu Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html) Balancer no Guia do usuário para Network Load Balancers.
+ AWS Global Accelerator — [Usando a Amazon CloudWatch com AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html) o Guia do AWS Global Accelerator Desenvolvedor.
+ Amazon Elastic Compute Cloud — [Liste as CloudWatch métricas disponíveis para suas instâncias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html) nas https://docs.aws.amazon.com/AWSEC2/ últimas UserGuide //.
+ Amazon EC2 Auto Scaling — [ CloudWatch Métricas de monitoramento para seus grupos e instâncias do Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html) no Guia do usuário do Amazon Auto EC2 Scaling.

# Como associar uma verificação de integridade ao seu recurso protegido pelo Shield Advanced
<a name="associate-health-check"></a>

O procedimento a seguir mostra como associar uma verificação de integridade do Amazon Route 53 a um recurso protegido. 

**nota**  
Antes de associar uma verificação de integridade a uma proteção do Shield Advanced, verifique se ela está em bom estado. Para informações, consulte [Como monitorar o status da verificação de integridade e receber notificações](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html) no Guia do desenvolvedor do Amazon Route 53. 

**Para associar uma verificação de integridade**

1. Faça login Console de gerenciamento da AWS e abra o console AWS WAF & Shield em [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. No painel AWS Shield de navegação, escolha **Recursos protegidos**.

1. Na guia **Proteções**, selecione o recurso que você deseja associar a uma verificação de integridade. 

1. Escolha **Configurar proteções**.

1. Escolha **Avançar** até chegar à página **Configurar a detecção DDo S com base na verificação de integridade - *opcional***.

1. Em **Verificação de integridade associada**, escolha o ID da verificação de integridade que deseja associar à proteção. 
**nota**  
Se você não vir a verificação de integridade necessária, vá até o console do Route 53 e verifique a verificação de integridade e seu ID. Para saber mais, consulte [Criar e atualizar verificações de integridade](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Percorra o restante das páginas até terminar a configuração. Na página **Proteções**, sua associação de verificação de integridade atualizada está listada para o recurso.

1. Na página **Proteções**, verifique se sua verificação de integridade recém-associada está reportando integridade. 

   Você não pode começar a usar uma verificação de integridade no Shield Advanced enquanto a verificação de integridade estiver reportando problemas de integridade. Isso faz com que o Shield Advanced detecte falsos positivos em limites muito baixos e também pode afetar negativamente a capacidade da Shield Response Team (SRT) para fornecer engajamento proativo ao recurso. 

   Se a verificação de integridade recém-associada estiver reportando problemas de integridade, faça o seguinte: 

   1. Desassocie a verificação de integridade da sua proteção no Shield Advanced.

   1. Revisite suas especificações de verificação de integridade no Amazon Route 53 e verifique o desempenho geral e a disponibilidade do aplicativo. 

   1. Quando seu aplicativo estiver funcionando dentro de seus parâmetros de boa integridade e sua verificação de integridade estiver reportando integridade, tente associar novamente a verificação de integridade no Shield Advanced.

O procedimento de associação de verificação de integridade é concluído quando você estabelece sua nova associação de verificação de integridade e ela é reportada como íntegra no Shield Advanced.

# Como desassociar uma verificação de integridade do seu recurso protegido pelo Shield Advanced
<a name="disassociate-health-check"></a>

O procedimento a seguir mostra como desassociar uma verificação de integridade do Amazon Route 53 de um recurso protegido. 

**Para desassociar uma verificação de integridade**

1. Faça login Console de gerenciamento da AWS e abra o console AWS WAF & Shield em [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. No painel AWS Shield de navegação, escolha **Recursos protegidos**.

1. Na guia **Proteções**, selecione o recurso que você deseja desassociar a uma verificação de integridade. 

1. Escolha **Configurar proteções**.

1. Escolha **Avançar** até chegar à página **Configurar a detecção DDo S com base na verificação de integridade - *opcional***.

1. Em **Verificação de integridade associada**, escolha a opção vazia, listada como **-**. 

1. Percorra o restante das páginas até terminar a configuração. 

Na página **Proteções**, o campo de verificação de integridade do seu recurso está definido como **-**, indicando que não há associação de verificação de integridade.

# Como visualizar o status da associação de verificação de integridade no Shield Advanced
<a name="health-check-association-status"></a>

Você pode ver o status da verificação de integridade associada a uma proteção na página **Recursos protegidos** do AWS WAF e do console do Shield e na página de detalhes de cada recurso. 
+ **Íntegro** - a verificação de integridade está disponível e reportando integridade.
+ **Sem integridade** - a verificação de integridade está disponível e está reportando falta de integridade.
+ **Indisponível** - a verificação de integridade não está disponível para uso pelo Shield Advanced. 

**Para resolver uma verificação de integridade **Indisponível****

Crie e use uma nova verificação de integridade. Não tente associar uma verificação de integridade novamente depois que ela tiver o status de indisponível no Shield Advanced. 

Para obter orientação detalhada sobre como seguir essas etapas, consulte os tópicos anteriores. 

1. No Shield Advanced, desassocie a verificação de integridade do recurso. 

1. No Route 53, crie uma verificação de integridade para a proteção e anote seu ID. Para informações, consulte [Criar e atualizar verificações de integridade](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html) no Guia do desenvolvedor do Amazon Route 53.

1. No Shield Advanced, associe a nova verificação de integridade ao recurso. 

# Exemplos de verificação de integridade para o Shield Advanced
<a name="health-checks-examples"></a>

Esta seção mostra exemplos de verificação de integridade que você pode usar em uma verificação de integridade calculada. Uma verificação de integridade calculada usa várias verificações de integridade individuais para determinar um status combinado. O status de cada verificação de saúde individual é baseado na integridade de um endpoint ou no estado de uma CloudWatch métrica da Amazon. Você combina as verificações de integridade em uma verificação de integridade calculada e, em seguida, configura sua verificação de integridade calculada para relatar a integridade com base no status de integridade combinado das verificações de integridade individuais. Ajuste a sensibilidade de suas verificações de integridade calculadas de acordo com seus requisitos de desempenho e disponibilidade de aplicativos. 

Para saber mais sobre verificações de integridade calculadas, consulte [Monitoramento de outras verificações de integridade (verificações de integridade calculadas)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated) no Guia do desenvolvedor do Amazon Route 53. Para obter informações adicionais, consulte o post [Melhorias do Route 53 - Verificações de integridade calculadas e verificações de latência](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/).

**Topics**
+ [CloudFront Distribuições da Amazon](#health-checks-example-cloudfront)
+ [Balanceadores de cargas](#health-checks-example-load-balancer)
+ [Endereço IP EC2 elástico (EIP) da Amazon](#health-checks-example-elastic-ip)

## CloudFront Distribuições da Amazon
<a name="health-checks-example-cloudfront"></a>

Os exemplos a seguir descrevem as verificações de saúde que podem ser combinadas em uma verificação de saúde calculada para uma CloudFront distribuição: 
+ Monitore um endpoint especificando um nome de domínio para um caminho na distribuição que está veiculando conteúdo dinâmico. Uma resposta de integridade incluiria os códigos de resposta HTTP 2xx e 3xx.
+ Monitore o estado de um CloudWatch alarme que está medindo a integridade da CloudFront origem. Por exemplo, você pode manter um CloudWatch alarme na métrica `TargetResponseTime` do Application Load Balancer e criar uma verificação de integridade que reflita o status do alarme. A verificação de integridade pode não reportar integridade quando o tempo de resposta, entre a solicitação que sai do balanceador de carga e o momento em que o balanceador de carga recebe uma resposta do destino, excede o limite configurado no alarme.
+ Monitore o estado de um CloudWatch alarme que mede a porcentagem de solicitações para as quais o código de status HTTP da resposta é 5xx. Se a taxa de erro 5xx da CloudFront distribuição for maior que o limite definido no CloudWatch alarme, o status dessa verificação de saúde mudará para não íntegro. 

## Balanceadores de cargas
<a name="health-checks-example-load-balancer"></a>

Os exemplos a seguir descrevem verificações de integridade que podem ser usadas em verificações de integridade calculadas para um Application Load Balancer, Network Load Balancer ou acelerador padrão Global Accelerator. 
+ Monitore o estado de um CloudWatch alarme que mede o número de novas conexões estabelecidas pelos clientes com o balanceador de carga. Você pode definir o limite de alarme para o número médio de novas conexões em algum grau acima da média diária. As métricas para cada tipo de recurso são as seguintes: 
  + Application Load Balancer: `NewConnectionCount`
  + Network Load Balancer: `ActiveFlowCount`
  + Global Accelerator: `NewFlowCount`
+ Para o Application Load Balancer e o Network Load Balancer, monitore o estado de CloudWatch um alarme que mede o número de balanceadores de carga considerados íntegros. Você pode definir o limite de alarme na Zona de Disponibilidade ou no número mínimo de hosts íntegros que seu balanceador de carga exige. As métricas disponíveis para os recursos do balanceador de carga são as seguintes: 
  + Application Load Balancer: `HealthyHostCount`
  + Network Load Balancer: `HealthyHostCount`
+ Para o Application Load Balancer, monitore o estado de um CloudWatch alarme que mede o número de códigos de resposta HTTP 5xx gerados pelos destinos do balanceador de carga. Para um Application Load Balancer, você pode usar a métrica `HTTPCode_Target_5XX_Count` e basear o limite de alarme na soma de todos os 5xx erros do balanceador de carga. 

## Endereço IP EC2 elástico (EIP) da Amazon
<a name="health-checks-example-elastic-ip"></a>

Os exemplos de verificações de saúde a seguir podem ser combinados em uma verificação de saúde calculada para um endereço IP EC2 elástico da Amazon: 
+ Monitore um endpoint especificando um endereço IP para o endereço IP elástico. A verificação de integridade permanecerá íntegra enquanto uma conexão TCP puder ser estabelecida com o recurso por trás do endereço IP.
+ Monitore o estado de um CloudWatch alarme que mede a porcentagem de unidades EC2 computacionais alocadas da Amazon que estão atualmente em uso na instância. Você pode usar a EC2 métrica da Amazon `CPUUtilization` e basear o limite de alarme no que considera ser uma alta taxa de utilização da CPU para seu aplicativo, como 90%.