**Apresentando uma nova experiência de console para AWS WAF**
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Construindo arquiteturas resilientes DDo S básicas com o Shield Advanced
Esta página explica a resiliência do Distributed Denial of Service (DDoS) e apresenta dois exemplos de arquiteturas.
DDoA resiliência S é a capacidade da arquitetura de seu aplicativo de resistir aos ataques DDo S e, ao mesmo tempo, continuar atendendo aos usuários finais legítimos. Um aplicativo altamente resiliente pode permanecer disponível durante um ataque com impacto mínimo nas métricas de desempenho, como erros ou latência. Esta seção mostra alguns exemplos comuns de arquiteturas e descreve como usar os recursos de detecção e mitigação de DDo S fornecidos pelo AWS Shield Advanced para aumentar sua DDo resiliência S.
Os exemplos de arquiteturas nesta seção destacam os AWS serviços que oferecem os maiores benefícios de resiliência DDo S para seus aplicativos implantados. Os benefícios dos serviços destacados incluem os seguintes:
+ **Acesso à capacidade de rede distribuída globalmente** — Os serviços Amazon CloudFront, AWS Global Accelerator, e Amazon Route 53 fornecem acesso à Internet e capacidade de mitigação de DDo S em toda a rede de borda AWS global. Isso é útil para mitigar ataques volumétricos maiores, que podem atingir terabits em escala. Você pode executar seu aplicativo em qualquer AWS região e usar esses serviços para proteger a disponibilidade e otimizar o desempenho para seus usuários legítimos.
+ **Proteção contra vetores de ataque da camada DDo S do aplicativo Web — Os** ataques da camada DDo S do aplicativo Web são melhor mitigados usando uma combinação de escala do aplicativo e um firewall de aplicativo da web (WAF). O Shield Advanced usa registros de inspeção de solicitações da web AWS WAF para detectar anomalias que podem ser mitigadas automaticamente ou por meio da interação com a AWS Shield Response Team (SRT). A mitigação automática está disponível por meio de regras AWS WAF baseadas em taxas implantadas e também por meio da mitigação automática da camada S do aplicativo Shield Advanced. DDo
Além de analisar esses exemplos, analise e siga as melhores práticas aplicáveis em [AWS Best DDo Practices for S Resiliency.](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)
**Topics**
+ [Exemplo de arquitetura de resiliência Shield Advanced DDo S para aplicativos web comuns](ddos-resiliency-example-web.md)
+ [Exemplo de arquitetura de resiliência Shield Advanced DDo S para aplicativos TCP e UDP](ddos-resiliency-example-tcp-udp.md)
# Exemplo de arquitetura de resiliência Shield Advanced DDo S para aplicativos web comuns
Esta página fornece um exemplo de arquitetura para maximizar a resiliência contra ataques DDo S com aplicativos AWS web.
Você pode criar um aplicativo web em qualquer AWS região e receber proteção DDo S automática dos recursos de detecção e mitigação AWS fornecidos na região.
Este exemplo é para arquiteturas que direcionam usuários para um aplicativo web usando recursos como Classic Load Balancers, Application Load Balancers, Network Load Balancers, soluções do Marketplace da AWS ou sua própria camada de proxy. Você pode melhorar a resiliência DDo S inserindo zonas hospedadas do Amazon Route 53, CloudFront distribuições da Amazon e AWS WAF web ACLs entre esses recursos de aplicativos web e seus usuários. Essas inserções podem ofuscar a origem do aplicativo, atender às solicitações mais perto dos usuários finais e detectar e mitigar as inundações de solicitações na camada de aplicação. Os aplicativos que fornecem conteúdo estático ou dinâmico para seus usuários com o Route 53 são protegidos por um sistema de mitigação DDo S integrado CloudFront e totalmente embutido que atenua os ataques à camada de infraestrutura em tempo real.
Com essas melhorias arquitetônicas implementadas, você pode proteger suas zonas hospedadas do Route 53 e suas CloudFront distribuições com o Shield Advanced. Quando você protege CloudFront distribuições, o Shield Advanced solicita que você associe a AWS WAF web ACLs e crie regras baseadas em taxas para elas, além de oferecer a opção de ativar a mitigação automática da camada DDo S do aplicativo ou o engajamento proativo. O engajamento proativo e a mitigação automática da camada DDo S do aplicativo usam as verificações de saúde do Route 53 que você associa ao recurso. Para saber mais sobre essas opções, consulte [Proteções de recursos em AWS Shield Advanced](ddos-resource-protections.md).
O diagrama de referência a seguir mostra essa arquitetura resiliente DDo S para um aplicativo web.
![\[O diagrama mostra um retângulo intitulado AWS cloud, com um grupo de usuários à esquerda. Dentro do retângulo da nuvem estão dois outros retângulos, lado a lado. O retângulo esquerdo é intitulado AWS Shield Advanced e o retângulo direito é intitulado VPC. O AWS Shield Advanced triângulo esquerdo contém três AWS ícones, empilhados verticalmente. De cima para baixo, os ícones são Amazon Route 53 CloudFront, Amazon AWS WAF e. O ícone de CloudFront tem setas que vão de e para o ícone de. AWS WAF O grupo de usuários tem uma seta saindo horizontalmente à direita que se divide para apontar para os ícones do Route 53 e. CloudFront À direita do retângulo Shield Advanced, o retângulo VPC contém dois ícones lado a lado. Da esquerda para a direita, esses ícones são Elastic Load Balancing e Amazon Elastic Compute Cloud. O CloudFront ícone tem uma seta saindo horizontalmente à direita que vai até o ícone do Elastic Load Balancing. O ícone do Elastic Load Balancing tem uma seta saindo horizontalmente à direita que vai até o ícone do Amazon EC2. Portanto, as solicitações do usuário são enviadas para o Route 53 CloudFront e. CloudFront interage AWS WAF e também envia solicitações para o balanceador de carga, que por sua vez envia solicitações no Amazon EC2.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/shield-resilient-web-app-arch.png)
Os benefícios que essa abordagem oferece ao seu aplicativo web incluem os seguintes:
+ Proteção contra ataques da camada de infraestrutura (camada 3 e camada 4) DDo S usados com frequência, sem atraso na detecção. Além disso, se um recurso for um alvo frequente, o Shield Advanced coloca mitigações por longos períodos de tempo. O Shield Advanced também usa o contexto do aplicativo inferido de Network ACLs (NACLs) para bloquear o tráfego indesejado ainda mais acima. Isso isola as falhas mais perto de sua origem, minimizando o efeito sobre usuários legítimos.
+ Proteção contra inundações TCP SYN. Os sistemas de mitigação DDo S, integrados ao Route 53CloudFront, AWS Global Accelerator fornecem um recurso de proxy TCP SYN que desafia novas tentativas de conexão e atende apenas a usuários legítimos.
+ Proteção contra ataques à camada de aplicação de DNS, porque o Route 53 é responsável por fornecer respostas autorizadas de DNS.
+ Proteção contra inundações de solicitações na camada de aplicação da web. A regra baseada em taxa que você configura na sua AWS WAF Web ACL bloqueia a origem IPs quando eles estão enviando mais solicitações do que o permitido pela regra.
+ Mitigação automática da camada DDo S de aplicação para suas CloudFront distribuições, se você optar por ativar essa opção. Com a mitigação automática de DDo S, o Shield Advanced mantém uma regra baseada em taxas na ACL da AWS WAF web associada à distribuição que limita o volume de solicitações de fontes S conhecidas. DDo Além disso, quando o Shield Avançado detecta um evento que afeta a integridade da aplicação, ele cria, testa e gerencia automaticamente as regras de mitigação na ACL da Web.
+ Engajamento proativo com a Shield Response Team (SRT), se você optar por ativar essa opção. Quando o Shield Advanced detecta um evento que afeta a integridade do seu aplicativo, o SRT responde e interage proativamente com suas equipes de segurança ou operações usando as informações de contato fornecidas por você. O SRT analisa padrões em seu tráfego e pode atualizar suas AWS WAF regras para bloquear o ataque.
# Exemplo de arquitetura de resiliência Shield Advanced DDo S para aplicativos TCP e UDP
Este exemplo mostra uma arquitetura resiliente DDo S para aplicativos TCP e UDP em uma AWS região que usa instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou endereços IP elásticos (EIP).
Você pode seguir esse exemplo geral para melhorar a resiliência DDo S para os seguintes tipos de aplicativos:
+ Aplicativos TCP ou UDP. Por exemplo, aplicativos usados para jogos, IoT e voz sobre IP.
+ Aplicativos da web que exigem endereços IP estáticos ou que usam protocolos que a Amazon CloudFront não suporta. Por exemplo, seu aplicativo pode exigir endereços IP que seus usuários possam adicionar às listas de permissões de firewall e que não sejam usados por nenhum outro AWS cliente.
Você pode melhorar a resiliência DDo S para esses tipos de aplicativos introduzindo o Amazon Route 53 e. AWS Global Accelerator Esses serviços podem direcionar os usuários para o seu aplicativo e fornecer ao seu aplicativo endereços IP estáticos que são anycast de qualquer forma pela rede de borda global da AWS . Os aceleradores padrão do Global Accelerator podem melhorar a latência do usuário em até 60%. Se você tiver uma aplicação Web, poderá detectar e mitigar as inundações de solicitações da camada da aplicação Web executando a aplicação em um Application Load Balancer e, em seguida, protegendo o Application Load Balancer com uma ACL da web. AWS WAF
Depois de criar seu aplicativo, proteja suas zonas hospedadas do Route 53, os aceleradores padrão do Global Accelerator e quaisquer Application Load Balancers de carga de aplicativos com o Shield Advanced. Ao proteger seus Application Load Balancers, você pode associar a AWS WAF web ACLs e criar regras baseadas em taxas para eles. Você pode configurar o engajamento proativo com o SRT tanto para seus aceleradores padrão do Global Accelerator quanto para seus Application Load Balancers associando verificações de integridade novas ou existentes do Route 53. Para saber mais sobre as opções, consulte [Proteções de recursos em AWS Shield Advanced](ddos-resource-protections.md).
O diagrama de referência a seguir mostra um exemplo de arquitetura resiliente DDo S para aplicativos TCP e UDP.
![\[O diagrama mostra os usuários conectados ao Route 53 e a um AWS Global Accelerator. O acelerador está conectado a um ícone do Elastic Load Balancing que é protegido por e. AWS Shield Advanced AWS WAF O próprio Elastic Load Balancing está conectado a uma instância do Amazon EC2. Essa instância do Elastic Load Balancing e a instância do Amazon EC2 estão na Região 1. Ele também AWS Global Accelerator está diretamente conectado a outra instância do Amazon EC2, que não está por trás de uma instância protegida do Elastic Load Balancing. Essa segunda instância do Amazon EC2 está na Região n.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/shield-resilient-tcp-udp-app-arch.png)
Os benefícios que essa abordagem oferece ao seu aplicativo incluem o seguinte:
+ Proteção contra os maiores ataques conhecidos na camada de infraestrutura (camada 3 e camada 4) DDo S. Se o volume de um ataque causar congestionamento a montante AWS, a falha será isolada mais perto de sua origem e terá um efeito minimizado em seus usuários legítimos.
+ Proteção contra ataques à camada de aplicação de DNS, porque o Route 53 é responsável por fornecer respostas autorizadas de DNS.
+ Se você tiver um aplicativo web, essa abordagem fornece proteção contra inundações de solicitações na camada de aplicação web. A regra baseada em taxa que você configura na sua AWS WAF Web ACL bloqueia a origem IPs enquanto eles estão enviando mais solicitações do que o permitido pela regra.
+ Engajamento proativo com a Shield Response Team (SRT), se você optar por ativar essa opção para os recursos elegíveis. Quando o Shield Advanced detecta um evento que afeta a integridade do seu aplicativo, o SRT responde e interage proativamente com suas equipes operaiconais ou de segurança usando as informações de contato fornecidas por você.