As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Defesa da camada de aplicação (BP1,BP2)
<a name="application-layer-defense-bp1-bp2"></a>

 Muitas das técnicas discutidas até agora neste paper são eficazes para mitigar o impacto que os DDoS ataques na camada de infraestrutura têm na disponibilidade do seu aplicativo. Para também se defender contra ataques na camada de aplicação, você precisa implementar uma arquitetura que permita detectar, escalar especificamente para absorver e bloquear solicitações maliciosas. Essa é uma consideração importante porque os sistemas de DDoS mitigação baseados em rede geralmente são ineficazes na mitigação de ataques complexos na camada de aplicativos. 

# Detecte e filtre solicitações maliciosas da web (BP1,BP2)
<a name="detect-and-filter-malicious-web-requests-bp1-bp2"></a>

 Quando seu aplicativo é executado AWS, você pode aproveitar a Amazon CloudFront (e sua capacidade de armazenamento em HTTP cache) e a proteção automática da camada de aplicativos Shield Advanced para ajudar a evitar que solicitações desnecessárias cheguem à sua origem durante DDoS ataques na camada de aplicação. AWS WAF

# Amazon CloudFront
<a name="cloudfront"></a>

 A Amazon CloudFront pode ajudar a reduzir a carga do servidor impedindo que o tráfego que não seja da web chegue à sua origem. Para enviar uma solicitação a um CloudFront aplicativo, a conexão deve ser estabelecida com um endereço IP válido por meio de um TCP handshake completo, que não pode ser falsificado. Além disso, CloudFront pode fechar automaticamente conexões de invasores de leitura lenta ou escrita lenta (por exemplo, [Slowloris](https://en.wikipedia.org/wiki/Slowloris_(computer_security))). 

## Armazenamento em cache do CDN
<a name="cdn-caching"></a>

 CloudFront permite que você forneça conteúdo dinâmico e conteúdo estático a partir de locais AWS periféricos. Ao fornecer conteúdo proxy armazenável em cache a partir do CDN cache, você evita que as solicitações cheguem à sua origem a partir de um determinado nó de cache de borda durante o armazenamento em cache. TTL Em conjunto com o [colapso da solicitação](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) de conteúdo expirado, mas que pode ser armazenado em cache, mesmo um número muito curto TTL significa que um número insignificante de solicitações chegará à sua origem durante a inundação de solicitações desse conteúdo. Além disso, ativar recursos como o [CloudFront Origin Shield](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) pode ajudar a reduzir ainda mais a carga em sua origem. Qualquer coisa que você possa fazer para [melhorar a taxa de acerto do cache](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html) pode fazer a diferença entre um ataque de inundação de solicitações impactante e um não impactante. 

# AWS WAF
<a name="aws-waf"></a>

 Usando AWS WAF, você pode configurar listas de controle de acesso à web (WebACLs) em suas CloudFront distribuições globais ou recursos regionais para filtrar, monitorar e bloquear solicitações com base nas assinaturas de solicitações. Para determinar se as solicitações devem ser permitidas ou bloqueadas, você pode considerar fatores como o endereço IP ou o país de origem, determinadas sequências de caracteres ou padrões na solicitação, o tamanho de partes específicas da solicitação e a presença de SQL códigos ou scripts maliciosos. Você também pode executar CAPTCHA quebra-cabeças e desafios silenciosos de sessões de clientes contra solicitações. 

 Ambos AWS WAF CloudFront também permitem que você defina restrições geográficas para bloquear ou permitir solicitações de países selecionados. Isso pode ajudar a bloquear ou limitar os ataques de localizações geográficas nas quais você não espera atender aos usuários. Com declarações refinadas de regras de correspondência geográfica AWS WAF, você pode controlar o acesso até o nível da região. 

 Você pode usar [instruções Scope-down](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) para restringir o escopo das solicitações que a regra avalia para economizar custos e [“rótulos” nas solicitações da web](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) para permitir que uma regra que corresponda à solicitação comunique os resultados da correspondência às regras que serão avaliadas posteriormente na mesma web. ACL Escolha essa opção para reutilizar a mesma lógica em várias regras. 

 Você também pode definir uma resposta personalizada completa, com código de resposta, cabeçalhos e corpo. 

 Para ajudar a identificar solicitações maliciosas, revise os registros do seu servidor web ou use AWS WAF o registro e a amostragem de solicitações. Ao ativar o AWS WAF registro, você obtém informações detalhadas sobre o tráfego analisado pela Web. ACL AWS WAF oferece suporte à filtragem de registros, permitindo que você especifique quais solicitações da web são registradas e quais solicitações são descartadas do registro após a inspeção. 

 As informações registradas nos registros incluem a hora em que AWS WAF recebeu a solicitação do seu AWS recurso, informações detalhadas sobre a solicitação e a ação correspondente para cada regra solicitada. 

 As solicitações de amostra fornecem detalhes sobre as solicitações das últimas três horas que corresponderam a uma de suas AWS WAF regras. Você pode usar essas informações para identificar assinaturas de tráfego potencialmente maliciosas e criar uma nova regra para negar essas solicitações. Se você ver várias solicitações com uma sequência de caracteres de consulta aleatória, certifique-se de permitir somente os parâmetros da sequência de caracteres de consulta relevantes ao cache do seu aplicativo. Essa técnica é útil para mitigar um ataque de quebra de cache contra sua origem. 

# AWS WAF — Regras baseadas em tarifas
<a name="aws-waf-rate-based-rules"></a>

 AWS recomenda fortemente a proteção contra inundações de HTTP solicitações usando as regras baseadas em taxas AWS WAF para bloquear automaticamente os endereços IP de agentes mal-intencionados quando o número de solicitações recebidas em uma janela deslizante de 5 minutos exceder um limite definido por você. Os endereços IP de clientes ofensivos receberão uma resposta 403 proibida (ou resposta de erro de bloco configurada) e permanecerão bloqueados até que as taxas de solicitação caiam abaixo do limite. 

 É recomendável colocar regras baseadas em taxas em camadas para fornecer proteção aprimorada para que você tenha: 
+  Uma regra geral baseada em taxas para proteger seu aplicativo contra grandes inundações. HTTP 
+  Uma ou mais regras baseadas em tarifas para proteger tarifas específicas e mais restritivas do que a regra geral baseada URIs em tarifas. 

 Por exemplo, você pode escolher uma regra geral baseada em taxa (sem declaração de escopo) com um limite de 500 solicitações em um período de 5 minutos e, em seguida, criar uma ou mais das seguintes regras baseadas em taxas com limites inferiores a 500 (tão baixos quanto 100 solicitações em um período de 5 minutos) usando instruções de escopo reduzido: 
+  Proteja suas **páginas da Web** com uma declaração de escopo reduzido, como "`if NOT uri_path contains '.'`", para que as solicitações de recursos sem uma extensão de arquivo sejam ainda mais protegidas. Isso também protege sua página inicial (`/`), que é um URI caminho frequentemente direcionado. 
+  Proteja **endpoints dinâmicos** com uma declaração de redução de escopo como "” `if method exactly matches 'post' (convert lowercase)` 
+  Proteja **solicitações pesadas** que chegam ao seu banco de dados ou invoque uma senha de uso único (OTP) com um escopo reduzido como "” `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`

 A base de tarifas no modo “Bloquear” é a base de sua defense-in-depth WAF configuração para se proteger contra inundações de solicitações e é um requisito para que as solicitações de proteção de AWS Shield Advanced custos sejam aprovadas. Examinaremos defense-in-depth WAF configurações adicionais nas seções a seguir. 

# AWS WAF — Reputação de IP
<a name="aws-waf-ip-reputation"></a>

 Para evitar ataques com base na reputação do endereço IP, você pode criar regras usando correspondência de IP ou usar [Regras gerenciadas](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) para AWS WAF. 

 O [grupo de regras da lista de reputação de IP](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) da Amazon inclui regras baseadas na inteligência interna de ameaças da Amazon. Essas regras buscam endereços IP que sejam bots, realizando reconhecimento de AWS recursos ou participando ativamente de atividades. DDoS A `AWSManagedIPDDoSList` regra foi observada bloqueando mais de 90% das inundações de solicitações maliciosas. 

 O [grupo de regras da lista de IPs anônimos](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) contém regras para bloquear solicitações de serviços que permitem a ofuscação da identidade do espectador. Isso inclui solicitações deVPNs, proxies, nós Tor e plataformas de nuvem (excluindo AWS). 

 Além disso, você pode usar listas de reputação de IP de terceiros usando o componente [analisador de listas de IP](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) da solução [Security Automations for AWS WAF](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html). 

# AWS WAF - Mitigação inteligente de ameaças
<a name="aws-waf-intelligent-threat-mitigation"></a>

 As redes de bots são uma séria ameaça à segurança e são comumente usadas para realizar atividades ilegais ou prejudiciais, como enviar spam, roubar dados confidenciais, iniciar ataques de ransomware, cometer fraudes publicitárias por meio de cliques fraudulentos ou lançar ataques distribuídos (). denial-of-service DDoS Para evitar ataques de bots, use o grupo de regras gerenciadas do [AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html). Esse grupo de regras fornece um nível de proteção básico “comum” que adiciona rótulos aos bots que se identificam automaticamente, verifica os bots geralmente desejáveis e detecta assinaturas de bots de alta confiança, e um nível de proteção “direcionado” que adiciona detecção para bots avançados que não se identificam. 

As proteções direcionadas usam técnicas avançadas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots e, em seguida, aplicam controles de mitigação, como limitação de taxa e ações de regras de desafio. CAPTCHA O Targeted também fornece opções de limitação de taxa para impor padrões de acesso semelhantes aos humanos e aplicar limitação dinâmica de taxa por meio do uso de tokens de solicitação. Para obter detalhes adicionais, consulte [Grupo de regras do AWS WAF Bot Control.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) Para detectar e gerenciar tentativas maliciosas de invasão na página de login do seu aplicativo, você pode usar o grupo de regras de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control. O grupo de regras faz isso inspecionando as tentativas de login que os clientes enviam para o endpoint de login do seu aplicativo e também inspeciona as respostas do seu aplicativo às tentativas de login, para monitorar a taxa de sucesso e falha.

 A fraude na criação de conta é uma atividade ilegal online na qual um invasor tenta criar uma ou mais contas falsas. Os invasores usam contas falsas para executar atividades fraudulentas, como abusar de bônus promocionais e de inscrição, se passar por alguém e realizar ataques cibernéticos, como phishing. A presença de contas falsas pode impactar negativamente seus negócios, prejudicando sua reputação com os clientes e sua exposição a fraudes financeiras. 

 Você pode monitorar e controlar as tentativas de fraude na criação de contas implementando o AWS WAF recurso de prevenção de fraudes na criação de contas (ACFP). AWS WAF oferece esse recurso no grupo de AWS Managed Rules regras `AWS ManagedRulesACFPRuleSet` com integração de aplicativos complementaresSDKs. 

 Saiba mais sobre essas proteções na [https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html). 

# Mitigue automaticamente os DDoS eventos da camada de aplicativo (,,) BP1 BP2 BP6
<a name="automatically-mitigate-application-layer-ddos-events-bp1-bp2-bp6"></a>

 Se você estiver inscrito AWS Shield Advanced, poderá ativar a [DDoSmitigação automática da camada](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) [de aplicação do Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html). Esse recurso cria, avalia e implanta automaticamente AWS WAF regras para mitigar os DDoS eventos da camada 7 em seu nome. 

 AWS Shield Advanced estabelece uma linha de base de tráfego para cada recurso protegido associado a uma WAF Web. ACL O tráfego que se desvia significativamente da linha de base estabelecida é sinalizado como um evento potencial. DDoS Depois que um evento é detectado, AWS Shield Advanced tenta identificar uma assinatura das solicitações da web que constituem o evento e, se uma assinatura for identificada, AWS WAF regras serão criadas para mitigar o tráfego com essa assinatura. 

 Depois que as regras são avaliadas em relação à linha de base histórica e consideradas seguras, elas são adicionadas ao grupo de regras gerenciado pelo Shield e você pode escolher se as regras serão implantadas no modo de contagem ou bloqueio. O Shield Advanced remove automaticamente AWS WAF as regras depois de determinar que um evento foi totalmente encerrado. 

# Engage SRT (somente assinantes do Shield Advanced)
<a name="engage-srt-shield-advanced-subscribers-only"></a>

 Além disso, ao assinar o Shield Advanced, você pode contratar o AWS SRT para ajudá-lo a criar regras para mitigar um ataque que está prejudicando a disponibilidade do seu aplicativo. Você pode conceder acesso AWS SRT limitado à sua conta AWS Shield Advanced AWS WAF APIs e. AWS SRTos acessa APIs para colocar mitigações em sua conta somente com sua autorização explícita. Para obter mais informações, consulte a [Suporte](support.md) seção deste documento. 

 Você pode usar AWS Firewall Manager para configurar e gerenciar centralmente as regras de segurança, como AWS Shield Advanced proteções e AWS WAF regras, em toda a sua organização. Sua conta AWS Organizations de gerenciamento pode designar uma conta de administrador, que está autorizada a criar políticas do Firewall Manager. Essas políticas permitem definir critérios, como tipo de recurso e tags, que determinam onde as regras são aplicadas. Isso é útil quando você tem várias contas e deseja padronizar sua proteção. 

 Para obter mais informações sobre: 
+  AWS Managed Rules para AWS WAF, consulte [AWS Managed Rules para AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html). 
+  Usando a restrição geográfica para limitar o acesso à sua CloudFront distribuição, consulte [Restringir a distribuição geográfica do seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html). 
+  Usando AWS WAF, consulte: 
  +  [Começando com AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 
  +  [Registrando informações ACL de tráfego na web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) 
  +  [Visualizando uma amostra de solicitações da web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample) 
+  Configurando regras baseadas em taxas, consulte [Proteger sites e serviços usando regras baseadas em taxas](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) para. AWS WAF
+  Como gerenciar a implantação de regras em seus AWS recursos com o Firewall Manager, consulte: 
  +  [Introdução às AWS WAF políticas do Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html). 
  +  [Introdução às políticas avançadas do Firewall Manager Shield](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html).