View a markdown version of this page

Exemplo de arquitetura de resiliência a DDoS do Shield Advanced para aplicativos comuns da Web - AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield diretor de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte Trabalhando com o console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo de arquitetura de resiliência a DDoS do Shield Advanced para aplicativos comuns da Web

Esta página fornece um exemplo de arquitetura para maximizar a resiliência contra ataques de DDoS com AWS aplicativos web.

Você pode criar um aplicativo web em qualquer AWS região e receber proteção automática contra DDoS a partir dos recursos de detecção e mitigação AWS fornecidos na região.

Este exemplo é para arquiteturas que direcionam usuários para um aplicativo web usando recursos como Classic Load Balancers, Application Load Balancers, Network Load Balancers, soluções do Marketplace da AWS ou sua própria camada de proxy. Você pode melhorar a resiliência de DDoS inserindo zonas hospedadas do Amazon Route 53, distribuições da CloudFront Amazon AWS WAF e ACLs da web entre esses recursos do aplicativo web e seus usuários. Essas inserções podem ofuscar a origem do aplicativo, atender às solicitações mais perto dos usuários finais e detectar e mitigar as inundações de solicitações na camada de aplicação. Os aplicativos que fornecem conteúdo estático ou dinâmico para seus usuários com o Route 53 são protegidos por um sistema de mitigação de DDoS integrado CloudFront e totalmente embutido que atenua os ataques na camada de infraestrutura em tempo real.

Com essas melhorias arquitetônicas implementadas, você pode proteger suas zonas hospedadas do Route 53 e suas CloudFront distribuições com o Shield Advanced. Quando você protege CloudFront distribuições, o Shield Advanced solicita que você associe ACLs AWS WAF da web e crie regras baseadas em taxas para elas, além de oferecer a opção de ativar a mitigação automática de DDoS na camada de aplicação ou o engajamento proativo. O engajamento proativo e a mitigação automática de DDoS na camada de aplicação usam as verificações de integridade do Route 53 que você associa ao recurso. Para saber mais sobre essas opções, consulte Proteções de recursos em AWS Shield Advanced.

O diagrama de referência a seguir mostra essa arquitetura resiliente a DDoS para um aplicativo web.

O diagrama mostra um retângulo intitulado AWS cloud, com um grupo de usuários à esquerda. Dentro do retângulo da nuvem estão dois outros retângulos, lado a lado. O retângulo esquerdo é intitulado AWS Shield Advanced e o retângulo direito é intitulado VPC. O AWS Shield Advanced triângulo esquerdo contém três AWS ícones, empilhados verticalmente. De cima para baixo, os ícones são Amazon Route 53 CloudFront, Amazon AWS WAF e. O ícone de CloudFront tem setas que vão de e para o ícone de. AWS WAF O grupo de usuários tem uma seta saindo horizontalmente à direita que se divide para apontar para os ícones do Route 53 e. CloudFront À direita do retângulo Shield Advanced, o retângulo VPC contém dois ícones lado a lado. Da esquerda para a direita, esses ícones são Elastic Load Balancing e Amazon Elastic Compute Cloud. O CloudFront ícone tem uma seta saindo horizontalmente à direita que vai até o ícone do Elastic Load Balancing. O ícone do Elastic Load Balancing tem uma seta saindo horizontalmente à direita que vai até o ícone do Amazon EC2. Portanto, as solicitações do usuário são enviadas para o Route 53 CloudFront e. CloudFront interage AWS WAF e também envia solicitações para o balanceador de carga, que por sua vez envia solicitações no Amazon EC2.

Os benefícios que essa abordagem oferece ao seu aplicativo web incluem os seguintes:

  • Proteção contra ataques de DDoS na camada de infraestrutura (camada 3 e camada 4) usada com frequência, sem atraso na detecção. Além disso, se um recurso for um alvo frequente, o Shield Advanced coloca mitigações por longos períodos de tempo. O Shield Advanced também usa o contexto do aplicativo inferido de Network ACLs (NACLs) para bloquear o tráfego indesejado ainda mais acima. Isso isola as falhas mais perto de sua origem, minimizando o efeito sobre usuários legítimos.

  • Proteção contra inundações TCP SYN. Os sistemas de mitigação de DDoS integrados ao Route 53 AWS Global Accelerator fornecem um recurso de proxy TCP SYN que desafia novas tentativas de conexão e atende apenas a usuários legítimos. CloudFront

  • Proteção contra ataques à camada de aplicação de DNS, porque o Route 53 é responsável por fornecer respostas autorizadas de DNS.

  • Proteção contra inundações de solicitações na camada de aplicação da web. A regra baseada em taxa que você configura na sua ACL AWS WAF da web bloqueia os IPs de origem quando eles estão enviando mais solicitações do que o permitido pela regra.

  • Mitigação automática de DDoS na camada de aplicação para suas CloudFront distribuições, se você optar por ativar essa opção. Com a mitigação automática de DDoS, o Shield Advanced mantém uma regra baseada em taxas na ACL da AWS WAF web associada à distribuição que limita o volume de solicitações de fontes conhecidas de DDoS. Além disso, quando o Shield Avançado detecta um evento que afeta a integridade da aplicação, ele cria, testa e gerencia automaticamente as regras de mitigação na ACL da Web.

  • Engajamento proativo com a Shield Response Team (SRT), se você optar por ativar essa opção. Quando o Shield Advanced detecta um evento que afeta a integridade do seu aplicativo, o SRT responde e interage proativamente com suas equipes de segurança ou operações usando as informações de contato fornecidas por você. O SRT analisa padrões em seu tráfego e pode atualizar suas AWS WAF regras para bloquear o ataque.