As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Técnicas de mitigação
Algumas formas de DDoS mitigação são incluídas automaticamente nos serviços. AWS DDoSa resiliência pode ser aprimorada ainda mais usando uma AWS arquitetura com serviços específicos, abordados nas seções a seguir, e implementando práticas recomendadas adicionais para cada parte do fluxo de rede entre os usuários e seu aplicativo.
Você pode usar AWS serviços que operam em pontos de presença, como Amazon CloudFront, AWS Global Accelerator e Amazon Route 53 para criar uma proteção de disponibilidade abrangente contra todos os ataques conhecidos na camada de infraestrutura. Esses serviços fazem parte da [AWS Global Edge Network](https://aws.amazon.com/products/networking/edge-networking/) e podem melhorar a DDoS resiliência do seu aplicativo ao atender a qualquer tipo de tráfego de aplicativo a partir de pontos de presença distribuídos ao redor do mundo. Você pode executar seu aplicativo em qualquer Região da AWS um e usar esses serviços para proteger a disponibilidade do aplicativo e otimizar o desempenho do seu aplicativo para usuários finais legítimos.
Os benefícios de usar o Amazon CloudFront, o Global Accelerator e o Amazon Route 53 incluem:
+ Acesso à internet e capacidade de DDoS mitigação em toda a AWS Global Edge Network. Isso é útil para mitigar ataques volumétricos maiores, que podem atingir a escala de terabits.
+ AWS Shield DDoSos sistemas de mitigação são integrados aos serviços de AWS ponta, reduzindo time-to-mitigate de minutos para menos de um segundo.
+ A mitigação de SYN inundação sem estado verifica as conexões de entrada usando SYN cookies antes de passá-las para o serviço protegido. Isso garante que somente conexões válidas cheguem ao seu aplicativo e, ao mesmo tempo, proteja seus usuários finais legítimos contra quedas de falsos positivos.
+ Sistemas automáticos de engenharia de tráfego que dispersam ou isolam o impacto de grandes ataques volumétricosDDoS. Todos esses serviços isolam os ataques na origem antes que eles cheguem à sua origem, o que significa menos impacto nos sistemas protegidos por esses serviços.
+ A defesa da camada de aplicativos, CloudFront quando combinada com [AWS WAF](https://aws.amazon.com/waf/)isso, não exige a alteração da arquitetura atual do aplicativo (por exemplo, em um data center Região da AWS ou local).
Não há cobrança pela transferência de dados de entrada AWS e você não paga pelo tráfego de DDoS ataque que é mitigado por. AWS Shield O diagrama de arquitetura a seguir inclui os serviços da AWS Global Edge Network.
![\[Diagrama mostrando uma DDoS arquitetura de referência resiliente\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/aws-best-practices-ddos-resiliency/images/ddos-resilient-ref-arch.png)
Essa arquitetura inclui vários AWS serviços que podem ajudá-lo a melhorar a resiliência do seu aplicativo web contra DDoS ataques. A tabela a seguir fornece um resumo desses serviços e dos recursos que eles podem fornecer. AWS marcou cada serviço com um indicador de melhores práticas (BP1,BP2) para facilitar a referência neste documento. Por exemplo, uma próxima seção discute os recursos fornecidos pela Amazon CloudFront e pelo Global Accelerator que incluem o indicador de melhores práticas. BP1
*Tabela 2 - Resumo das melhores práticas*
| | AWS Edge | Região da AWS |
| --- | --- | --- |
| | Usando a Amazon CloudFront (BP1) com AWS WAF (BP2) | Usando o Global Accelerator () BP1 | Usando o Amazon Route 53 (BP3) | Usando o Elastic Load Balancing (BP6) com AWS WAF () BP2 | Usando grupos de segurança e rede ACLs na Amazon VPC (BP5) | Usando o [Amazon Elastic Compute Cloud (AmazonEC2) Auto BP7 Scaling](https://aws.amazon.com/pm/ec2/) () |
| Mitigação de ataques na camada 3 (por exemplo, UDP reflexão) | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Mitigação de ataques de camada 4 (por exemplo, SYN inundação) | ✔ | ✔ | ✔ | ✔ | | |
| Mitigação de ataques na camada 6 (por exemploTLS) | ✔ | ✔ | ✔ | ✔ | | |
| Reduza a superfície de ataque | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Dimensione para absorver o tráfego da camada de aplicação | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Mitigação de ataques na camada 7 (camada de aplicação) | ✔ | ✔(\$1) | ✔ | ✔ | ✔(\$1) | ✔(\$1) |
| Isolamento geográfico e dispersão do excesso de tráfego e ataques maiores DDoS | ✔ | ✔ | ✔ | | | |
✔ (\$1): Se usado AWS WAF com o [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
Outra forma de melhorar sua prontidão para responder e mitigar DDoS ataques é assinando. AWS Shield Advanced Os benefícios do uso AWS Shield Advanced incluem:
+ Acesso ao suporte especializado 24 horas por dia, 7 dias por semana, da [Equipe de AWS Shield Resposta](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-srt-support.html) (AWS SRT) para assistência na mitigação de DDoS ataques que afetam a disponibilidade dos aplicativos, incluindo um recurso opcional de engajamento proativo
+ Limites de detecção confidenciais que direcionam o tráfego para o sistema de DDoS mitigação mais cedo e podem melhorar os ataques time-to-mitigate contra a Amazon EC2 (incluindo o Elastic Load Balancer) ou o Network Load Balancer, quando usados com um endereço IP elástico
+ Detecção personalizada de camada 7 com base nos padrões de tráfego básicos do seu aplicativo quando usado com AWS WAF
+ DDoSMitigação automática da camada de aplicativos, na qual o Shield Advanced responde aos DDoS ataques detectados criando, avaliando e implantando regras personalizadas AWS WAF
+ Acesso sem AWS WAF custo adicional para a mitigação de DDoS ataques na camada de aplicação (quando usado com a Amazon CloudFront ou o Application Load Balancer)
+ Gerenciamento centralizado de políticas de segurança sem [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)custo adicional.
+ Proteção de custos que permite que você solicite um reembolso limitado dos custos relacionados à escalabilidade resultantes de um DDoS ataque.
+ Contrato de nível de serviço aprimorado que é específico para AWS Shield Advanced os clientes.
+ Grupos de proteção que permitem agrupar recursos, fornecendo uma forma de autoatendimento de personalizar o escopo de detecção e mitigação do seu aplicativo, tratando vários recursos como uma única unidade. Para obter informações sobre grupos de proteção, consulte os [grupos de proteção [Shield](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups) Advanced.](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups)
+ DDoSvisibilidade do ataque usando as [Console de gerenciamento da AWS CloudWatch ](https://aws.amazon.com/console/)[métricas API](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) e [alarmes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) da Amazon e,
Esse serviço opcional de DDoS mitigação ajuda a proteger aplicativos hospedados em qualquer um. Região da AWS O serviço está disponível globalmente para CloudFront Route 53 e Global Accelerator. [Regionalmente, você pode proteger os endereços Application Load Balancer, Classic Load Balancer e Elastic IP, o que permite proteger instâncias do Network Load [Balancer () ou da Amazon](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html). NLBs EC2](https://aws.amazon.com/ec2/)
Para obter uma lista completa de AWS Shield Advanced recursos e obter mais informações sobre AWS Shield, consulte [Como AWS Shield funciona](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html).
# Melhores práticas para DDoS mitigação
Nas seções a seguir, cada uma das melhores práticas recomendadas para DDoS mitigação é descrita com mais detalhes. Para obter um easy-to-implement guia rápido sobre a criação de uma camada de DDoS mitigação para aplicativos web estáticos ou dinâmicos, consulte [Como ajudar a proteger aplicativos web dinâmicos contra DDoS ataques usando](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/) [a Amazon e o CloudFront Amazon Route 53](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/).
# Defesa da camada de infraestrutura (BP1BP3,,BP6,BP7)
Em um ambiente de datacenter tradicional, você pode mitigar DDoS ataques na camada de infraestrutura usando técnicas como superprovisionamento de capacidade, implantação de sistemas de mitigação ou eliminação de tráfego com a ajuda de serviços de DDoS mitigação. DDoS AWS Ativado, os recursos de DDoS mitigação são fornecidos automaticamente; mas você pode otimizar a DDoS resiliência do seu aplicativo fazendo escolhas de arquitetura que melhor aproveitem esses recursos e também permitam a escalabilidade para o excesso de tráfego.
As principais considerações para ajudar a mitigar DDoS ataques volumétricos incluem garantir que capacidade e diversidade de trânsito suficientes estejam disponíveis e proteger recursos AWS , como EC2 instâncias da Amazon, contra tráfego de ataques.
Alguns tipos de EC2 instância da Amazon oferecem suporte a recursos que podem lidar mais facilmente com grandes volumes de tráfego, por exemplo, interfaces de largura de banda de rede de até 100 Gbps e redes aprimoradas. Isso ajuda a evitar o congestionamento da interface para o tráfego que chegou à EC2 instância da Amazon. As instâncias que oferecem suporte a redes aprimoradas oferecem maior desempenho de entrada/saída (E/S), maior largura de banda e menor CPU utilização em comparação com as implementações tradicionais. Isso melhora a capacidade da instância de lidar com grandes volumes de tráfego e, em última análise, a torna altamente resiliente à carga de pacotes por segundo (pps).
Para permitir esse alto nível de resiliência, AWS recomenda o uso de [instâncias EC2 dedicadas](https://aws.amazon.com/ec2/pricing/dedicated-instances/) da Amazon ou EC2 instâncias da Amazon com maior taxa de transferência de rede que tenham um sufixo `N` "" e suporte para redes aprimoradas com até 100 Gbps de largura de banda de rede, por exemplo, `c6gn.16xlarge` `c5n.18xlarge` e/ou instâncias metálicas (como). `c5n.metal`
Para obter mais informações sobre EC2 instâncias da Amazon que oferecem suporte a interfaces de rede de 100 Gigabit e redes aprimoradas, consulte Tipos de [EC2instância da Amazon](https://aws.amazon.com/ec2/instance-types/).
O módulo necessário para redes aprimoradas e o conjunto de `enaSupport` atributos necessário estão incluídos no Amazon Linux 2 e nas versões mais recentes do Amazon LinuxAMI. Portanto, se você iniciar uma instância com uma versão de máquina virtual de hardware (HVM) do Amazon Linux em um tipo de instância compatível, a rede aprimorada já estará habilitada para sua instância. Para obter mais informações, consulte [Testar se a rede avançada está habilitada](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking-ena.html#test-enhanced-networking-ena) e [Rede aprimorada no Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html).
# Amazon EC2 com Auto Scaling () BP7
Outra forma de mitigar os ataques à infraestrutura e à camada de aplicação é operar em grande escala. Se você tiver aplicativos web, poderá usar balanceadores de carga para distribuir o tráfego para várias EC2 instâncias da Amazon que estão superprovisionadas ou configuradas para escalar automaticamente. Essas instâncias podem lidar com picos repentinos de tráfego que ocorrem por qualquer motivo, incluindo uma multidão instantânea ou um DDoS ataque à camada de aplicativo. Você pode definir [ CloudWatch alarmes da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) para iniciar o Auto Scaling para escalar automaticamente o tamanho da sua frota da EC2 Amazon em resposta aos eventos que você define, CPU comoRAM, E/S de rede e até mesmo métricas personalizadas.
Essa abordagem protege a disponibilidade do aplicativo quando há um aumento inesperado no volume de solicitações. Ao usar Amazon CloudFront, Application Load Balancer, Classic Load Balancers ou Network Load Balancer com seu aplicativoTLS, a negociação é feita pela distribuição ( CloudFrontAmazon) ou pelo balanceador de carga. Esses recursos ajudam a proteger suas instâncias contra o impacto de ataques TLS baseados, escalando para lidar com solicitações legítimas e ataques de TLS abuso.
Para obter mais informações sobre o uso da Amazon CloudWatch para invocar o Auto Scaling, consulte [Monitoramento de métricas da CloudWatch Amazon para seus grupos e instâncias do Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html).
EC2A Amazon fornece capacidade computacional redimensionável para que você possa aumentar ou diminuir rapidamente a escala conforme os requisitos mudam. Você pode escalar horizontalmente adicionando automaticamente instâncias ao seu aplicativo, [escalando o tamanho do seu grupo Amazon EC2 Auto Scaling, e você pode escalar](https://docs.aws.amazon.com/autoscaling/ec2/userguide/scaling_plan.html) verticalmente usando tipos de instância maiores. EC2
Ao usar o [Amazon RDS Proxy](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy.html), você pode permitir que seus aplicativos agrupem e compartilhem conexões de banco de dados para melhorar sua capacidade de escalar e lidar com picos imprevisíveis no tráfego do banco de dados. Você também pode ativar o auto-scaling de armazenamento para uma instância de banco de dados da AmazonRDS. Consulte [Gerenciamento automático de capacidade com o RDS escalonamento automático de armazenamento da Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIOPS.StorageTypes.html#USER_PIOPS.Autoscaling) para obter mais informações.
# Elastic Load Balancing () BP6
Grandes DDoS ataques podem sobrecarregar a capacidade de uma única EC2 instância da Amazon. Com o Elastic Load Balancing (ELB), você pode reduzir o risco de sobrecarregar seu aplicativo distribuindo o tráfego em várias instâncias de back-end. O Elastic Load Balancing pode ser escalado automaticamente, permitindo que você gerencie volumes maiores quando você tem tráfego extra imprevisto, por exemplo, devido a multidões ou ataques. DDoS Para aplicativos criados em uma AmazonVPC, há três tipos ELBs a serem considerados, dependendo do tipo de aplicativo: Application Load Balancer (ALB), Network Load Balancer () e Classic Load Balancer NLB (). CLB
Para aplicativos da web, você pode usar o Application Load Balancer para rotear o tráfego com base no conteúdo e aceitar somente solicitações da web bem formadas. O Application Load Balancer bloqueia muitos DDoS ataques comuns, como SYN inundações ou ataques de UDP reflexão, protegendo seu aplicativo do ataque. O Application Load Balancer é escalado automaticamente para absorver o tráfego adicional quando esses tipos de ataques são detectados. As atividades de escalonamento devido a ataques na camada de infraestrutura são transparentes para AWS os clientes e não afetam sua fatura.
Para obter mais informações sobre a proteção de aplicativos web com o Application Load Balancer, consulte [Getting Started with Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancer-getting-started.html) Balancers.
Para HTTPS aplicativos que não HTTP sejam//, você pode usar o Network Load Balancer para rotear o tráfego para destinos (por exemplo, EC2 instâncias da Amazon) com latência ultrabaixa. Uma consideração importante com o Network Load Balancer é que qualquer TCP SYN UDP tráfego que chegue ao balanceador de carga em um ouvinte válido será roteado para seus destinos, não absorvido. No entanto, isso não se aplica aos TLS -listeners que encerram a conexão. TCP Para balanceadores de carga de rede com TCP ouvintes, recomendamos a implantação do Global Accelerator para se proteger contra inundações. SYN
Você pode usar o Shield Advanced para configurar a DDoS proteção para endereços IP elásticos. Quando um endereço IP elástico é atribuído por zona de disponibilidade ao Network Load Balancer, o Shield Advanced aplicará DDoS as proteções relevantes para o tráfego do Network Load Balancer.
Para obter mais informações sobre proteção TCP e UDP aplicativos com o Network Load Balancer, consulte [Introdução aos Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html) Balancers.
**nota**
Dependendo da configuração do grupo de segurança, é necessário que o recurso que usa o grupo de segurança use o rastreamento de conexão para rastrear informações sobre o tráfego. Isso pode afetar a capacidade do balanceador de carga de processar novas conexões, pois o número de conexões rastreadas é limitado.
Uma configuração de grupo de segurança que contém uma regra de entrada que aceita tráfego de qualquer endereço IP (por exemplo, `0.0.0.0/0` ou`::/0`), mas não tem uma regra correspondente para permitir o tráfego de resposta, faz com que o grupo de segurança use informações de rastreamento de conexão para permitir que o tráfego de resposta seja enviado. No caso de um DDoS ataque, o número máximo de conexões rastreadas pode ser esgotado. Para melhorar a DDoS resiliência do seu Application Load Balancer ou Classic Load Balancer voltado para o público, certifique-se de que o grupo de segurança associado ao seu balanceador de carga esteja configurado para não usar rastreamento de conexão (conexões não rastreadas), para que o fluxo de tráfego não esteja sujeito aos limites de rastreamento de conexão.
Para isso, configure seu grupo de segurança com uma regra que permita que a regra de entrada aceite TCP fluxos de qualquer endereço IP (`0.0.0.0/0`ou`::/0`) e adicione uma regra correspondente na direção de saída, permitindo que esse recurso envie o tráfego de resposta (permita intervalo de saída para qualquer endereço IP `0.0.0.0/0` ou`::/0`) para todas as portas (0-65535), para que o tráfego de resposta seja permitido com base na regra do grupo de segurança e não nas informações de rastreamento. Com essa configuração, o Classic e o Application Load Balancer não estão sujeitos a limites de rastreamento de conexão de exaustão que podem afetar o estabelecimento de novas conexões com seus nós de balanceador de carga e permitem que ele seja escalado com base no aumento do tráfego no caso de um ataque. DDoS Mais informações sobre conexões não rastreadas podem ser encontradas em: Rastreamento de conexões [de grupos de segurança: conexões não rastreadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).
Evitar o rastreamento de conexão do grupo de segurança só ajuda nos casos em que o DDoS tráfego se origina de uma fonte permitida pelo grupo de segurança — o DDoS tráfego de fontes que não são permitidas no grupo de segurança não afeta o rastreamento da conexão. Não é necessário reconfigurar seus grupos de segurança para evitar o rastreamento de conexão nesses casos, por exemplo, se sua lista de permissões de grupos de segurança consistir em intervalos de IP com os quais você tem um alto grau de confiança, como um firewall corporativo da empresa ou uma VPN saída IPs confiável ou. CDNs
# Use localizações de AWS borda para escala (BP1,BP3)
O acesso a conexões de internet diversificadas e de alta escala pode aumentar significativamente sua capacidade de otimizar a latência e a taxa de transferência para os usuários, absorver DDoS ataques e isolar falhas, minimizando o impacto na disponibilidade do seu aplicativo. AWS Os pontos de presença fornecem uma camada adicional de infraestrutura de rede que fornece esses benefícios a qualquer aplicativo web que use Amazon CloudFront, Global Accelerator e Amazon Route 53. Com esses serviços, você pode proteger de forma abrangente seus aplicativos em execução na borda. Regiões da AWS
# Entrega de aplicativos web na borda (BP1)
CloudFront A Amazon é um serviço que pode ser usado para fornecer todo o seu site, incluindo conteúdo estático, dinâmico, de streaming e interativo. Conexões persistentes e configurações de variable time-to-live (TTL) podem ser usadas para descarregar o tráfego de sua origem, mesmo se você não estiver veiculando conteúdo armazenável em cache. O uso desses CloudFront recursos reduz o número de solicitações e TCP conexões de volta à sua origem, ajudando a proteger seu aplicativo web contra HTTP inundações.
CloudFront só aceita conexões bem formadas, o que ajuda a evitar que muitos DDoS ataques comuns, como SYN inundações e ataques de UDP reflexão, cheguem à sua origem. DDoSos ataques também são isolados geograficamente perto da origem, o que evita que o tráfego impacte outros locais. Esses recursos podem melhorar muito sua capacidade de continuar fornecendo tráfego aos usuários durante grandes DDoS ataques. Você pode usar CloudFront para proteger uma origem na Internet AWS ou em outro lugar.
Se você estiver usando o [Amazon Simple Storage Service](https://aws.amazon.com/s3/) (Amazon S3) para veicular conteúdo estático na Internet, AWS recomenda que você use CloudFront a Amazon para proteger seu bucket, oferecendo os seguintes benefícios:
+ Restringe o acesso ao bucket do Amazon S3 para que ele não seja acessível publicamente.
+ Garante que os espectadores (usuários) possam acessar o conteúdo no bucket somente por meio da CloudFront distribuição especificada, ou seja, impede que eles acessem o conteúdo diretamente do bucket ou por meio de uma distribuição não intencional. CloudFront
Para conseguir isso, configure CloudFront para enviar solicitações autenticadas para o Amazon S3 e configure o Amazon S3 para permitir acesso somente às solicitações autenticadas do. CloudFront CloudFront fornece duas maneiras de enviar solicitações autenticadas para uma origem do Amazon S3: controle de acesso de origem OAC () e identidade OAI de acesso de origem (). Recomendamos o uso OAC porque ele suporta:
+ Ao todo, todos os buckets do Amazon S3 Regiões da AWS, incluindo regiões opcionais lançadas após dezembro de 2022
+ Criptografia do [lado do servidor Amazon S3 com (-](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)) AWS KMS SSE KMS
+ Solicitações dinâmicas (`PUT` e `DELETE`) para o Amazon S3
Para obter mais informações sobre OAC eOAI, consulte [Restringir o acesso à origem do Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html).
Para obter mais informações sobre como proteger e otimizar o desempenho de aplicativos web com a Amazon CloudFront, consulte [Getting Started with Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GettingStarted.html).
# Proteja o tráfego de rede mais longe de sua origem usando o AWS Global Accelerator () BP1
O Global Accelerator é um serviço de rede que melhora a disponibilidade e o desempenho do tráfego dos usuários em até 60%. Isso é feito inserindo tráfego no ponto de presença mais próximo de seus usuários e roteando-o pela infraestrutura de rede AWS global até seu aplicativo, seja ele executado de forma única ou múltipla. Regiões da AWS
O Global Accelerator TCP direciona o UDP tráfego para o endpoint ideal com base no desempenho mais próximo do Região da AWS usuário. Se houver uma falha no aplicativo, o Global Accelerator fornece failover para o próximo melhor endpoint em 30 segundos. O Global Accelerator usa a vasta capacidade da rede AWS global e as integrações com o Shield, como um recurso de SYN proxy sem estado que desafia novas tentativas de conexão e atende apenas a usuários finais legítimos, para proteger os aplicativos.
Você pode implementar uma arquitetura DDoS resiliente que ofereça muitos dos mesmos benefícios das melhores práticas do Web Application Delivery at the Edge, mesmo que seu aplicativo use protocolos não suportados CloudFront ou você esteja operando um aplicativo web que exija endereços IP estáticos globais.
Por exemplo, você pode exigir endereços IP que seus usuários finais possam adicionar à lista de permissões em seus firewalls e que não sejam usados por nenhum outro AWS cliente. Nesses cenários, você pode usar o Global Accelerator para proteger aplicativos web executados no Application Load Balancer e, em conjunto AWS WAF com, também, detectar e mitigar inundações de solicitações na camada de aplicativos web.
Para obter mais informações sobre como proteger e otimizar o desempenho do tráfego de rede usando o Global Accelerator, consulte [Introdução ao Global](https://docs.aws.amazon.com/global-accelerator/latest/dg/getting-started.html) Accelerator.
# Resolução de nomes de domínio na borda (BP3)
**Topics**
+ [Usando o Route 53 para DNS verificar a disponibilidade](using-route53-for-dns-availability.md)
+ [Configurando o Route 53 para proteção de custos contra ataques `NXDOMAIN`](configuring-route53-for-cost-protection-from-nxdomain-attacks.md)
# Usando o Route 53 para DNS verificar a disponibilidade
O Amazon Route 53 é um serviço de Sistema de Nomes de Domínio (DNS) altamente disponível e escalável que pode ser usado para direcionar o tráfego para sua aplicação web. Ele inclui recursos avançados como fluxo de tráfego, Health Checks and Monitoring, roteamento baseado em latência e geolocalização. DNS Esses recursos avançados permitem que você controle como o serviço responde às DNS solicitações para melhorar o desempenho do seu aplicativo web e evitar interrupções no site. É o único AWS serviço que tem 100% de disponibilidade do plano de dadosSLA.
O Amazon Route 53 usa técnicas como [shuffle sharding](https://aws.amazon.com/builders-library/workload-isolation-using-shuffle-sharding/) e [anycast striping](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/), que podem ajudar os usuários a acessar seu aplicativo mesmo que o DNS serviço seja alvo de um ataque. DDoS
Com a fragmentação aleatória, cada servidor de nomes em seu conjunto de delegação corresponde a um conjunto exclusivo de pontos de presença e caminhos da Internet. Isso proporciona maior tolerância a falhas e minimiza a sobreposição entre os clientes. Se um servidor de nomes no conjunto de delegação não estiver disponível, os usuários poderão tentar novamente e receber uma resposta de outro servidor de nomes em um ponto de presença diferente.
O striping Anycast permite que cada DNS solicitação seja atendida pelo local mais ideal, dispersando a carga da rede e reduzindo a latência. DNS Isso fornece uma resposta mais rápida para os usuários. Além disso, o Amazon Route 53 pode detectar anomalias na origem e no volume de DNS consultas e priorizar solicitações de usuários que são reconhecidamente confiáveis.
Para obter mais informações sobre o uso do Amazon Route 53 para direcionar usuários para seu aplicativo, consulte [Getting Started with Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/getting-started.html).
# Configurando o Route 53 para proteção de custos contra ataques `NXDOMAIN`
`NXDOMAIN`os ataques ocorrem quando os atacantes enviam uma enxurrada de solicitações para uma zona hospedada para subdomínios inexistentes, geralmente por meio de resolvedores “bons” conhecidos. O objetivo desses ataques pode ser impactar o cache do resolvedor recursivo e/ou a disponibilidade do resolvedor autoritário, ou pode ser uma forma de DNS reconhecimento para tentar descobrir registros da zona hospedada. Usar o Route 53 para seu resolvedor autorizado reduz o risco de impacto na disponibilidade/desempenho, no entanto, o resultado pode ser um aumento significativo nos custos mensais do Route 53. Para se proteger contra aumentos de custo, aproveite os [preços do Route 53](https://aws.amazon.com/route53/pricing/), nos quais DNS as consultas são gratuitas quando as duas condições a seguir são verdadeiras:
+ O nome do domínio ou subdomínio (`example.com`ou`store.example.com`) e o tipo de registro (`A`) na consulta correspondem a um registro de alias.
+ O destino do alias é um AWS recurso diferente de outro registro do Route 53.
Crie um registro curinga, por exemplo, `*.example.com` com um tipo `A` (Alias) apontando para um AWS recurso, como uma EC2 instância, Elastic Load Balancer CloudFront ou distribuição, `qwerty12345.example.com` para que, quando uma consulta for feita, o IP do recurso seja retornado e você não seja cobrado pela consulta.
# Defesa da camada de aplicação (BP1,BP2)
Muitas das técnicas discutidas até agora neste paper são eficazes para mitigar o impacto que os DDoS ataques na camada de infraestrutura têm na disponibilidade do seu aplicativo. Para também se defender contra ataques na camada de aplicação, você precisa implementar uma arquitetura que permita detectar, escalar especificamente para absorver e bloquear solicitações maliciosas. Essa é uma consideração importante porque os sistemas de DDoS mitigação baseados em rede geralmente são ineficazes na mitigação de ataques complexos na camada de aplicativos.
# Detecte e filtre solicitações maliciosas da web (BP1,BP2)
Quando seu aplicativo é executado AWS, você pode aproveitar a Amazon CloudFront (e sua capacidade de armazenamento em HTTP cache) e a proteção automática da camada de aplicativos Shield Advanced para ajudar a evitar que solicitações desnecessárias cheguem à sua origem durante DDoS ataques na camada de aplicação. AWS WAF
# Amazon CloudFront
A Amazon CloudFront pode ajudar a reduzir a carga do servidor impedindo que o tráfego que não seja da web chegue à sua origem. Para enviar uma solicitação a um CloudFront aplicativo, a conexão deve ser estabelecida com um endereço IP válido por meio de um TCP handshake completo, que não pode ser falsificado. Além disso, CloudFront pode fechar automaticamente conexões de invasores de leitura lenta ou escrita lenta (por exemplo, [Slowloris](https://en.wikipedia.org/wiki/Slowloris_(computer_security))).
## Armazenamento em cache do CDN
CloudFront permite que você forneça conteúdo dinâmico e conteúdo estático a partir de locais AWS periféricos. Ao fornecer conteúdo proxy armazenável em cache a partir do CDN cache, você evita que as solicitações cheguem à sua origem a partir de um determinado nó de cache de borda durante o armazenamento em cache. TTL Em conjunto com o [colapso da solicitação](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) de conteúdo expirado, mas que pode ser armazenado em cache, mesmo um número muito curto TTL significa que um número insignificante de solicitações chegará à sua origem durante a inundação de solicitações desse conteúdo. Além disso, ativar recursos como o [CloudFront Origin Shield](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) pode ajudar a reduzir ainda mais a carga em sua origem. Qualquer coisa que você possa fazer para [melhorar a taxa de acerto do cache](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html) pode fazer a diferença entre um ataque de inundação de solicitações impactante e um não impactante.
# AWS WAF
Usando AWS WAF, você pode configurar listas de controle de acesso à web (WebACLs) em suas CloudFront distribuições globais ou recursos regionais para filtrar, monitorar e bloquear solicitações com base nas assinaturas de solicitações. Para determinar se as solicitações devem ser permitidas ou bloqueadas, você pode considerar fatores como o endereço IP ou o país de origem, determinadas sequências de caracteres ou padrões na solicitação, o tamanho de partes específicas da solicitação e a presença de SQL códigos ou scripts maliciosos. Você também pode executar CAPTCHA quebra-cabeças e desafios silenciosos de sessões de clientes contra solicitações.
Ambos AWS WAF CloudFront também permitem que você defina restrições geográficas para bloquear ou permitir solicitações de países selecionados. Isso pode ajudar a bloquear ou limitar os ataques de localizações geográficas nas quais você não espera atender aos usuários. Com declarações refinadas de regras de correspondência geográfica AWS WAF, você pode controlar o acesso até o nível da região.
Você pode usar [instruções Scope-down](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) para restringir o escopo das solicitações que a regra avalia para economizar custos e [“rótulos” nas solicitações da web](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) para permitir que uma regra que corresponda à solicitação comunique os resultados da correspondência às regras que serão avaliadas posteriormente na mesma web. ACL Escolha essa opção para reutilizar a mesma lógica em várias regras.
Você também pode definir uma resposta personalizada completa, com código de resposta, cabeçalhos e corpo.
Para ajudar a identificar solicitações maliciosas, revise os registros do seu servidor web ou use AWS WAF o registro e a amostragem de solicitações. Ao ativar o AWS WAF registro, você obtém informações detalhadas sobre o tráfego analisado pela Web. ACL AWS WAF oferece suporte à filtragem de registros, permitindo que você especifique quais solicitações da web são registradas e quais solicitações são descartadas do registro após a inspeção.
As informações registradas nos registros incluem a hora em que AWS WAF recebeu a solicitação do seu AWS recurso, informações detalhadas sobre a solicitação e a ação correspondente para cada regra solicitada.
As solicitações de amostra fornecem detalhes sobre as solicitações das últimas três horas que corresponderam a uma de suas AWS WAF regras. Você pode usar essas informações para identificar assinaturas de tráfego potencialmente maliciosas e criar uma nova regra para negar essas solicitações. Se você ver várias solicitações com uma sequência de caracteres de consulta aleatória, certifique-se de permitir somente os parâmetros da sequência de caracteres de consulta relevantes ao cache do seu aplicativo. Essa técnica é útil para mitigar um ataque de quebra de cache contra sua origem.
# AWS WAF — Regras baseadas em tarifas
AWS recomenda fortemente a proteção contra inundações de HTTP solicitações usando as regras baseadas em taxas AWS WAF para bloquear automaticamente os endereços IP de agentes mal-intencionados quando o número de solicitações recebidas em uma janela deslizante de 5 minutos exceder um limite definido por você. Os endereços IP de clientes ofensivos receberão uma resposta 403 proibida (ou resposta de erro de bloco configurada) e permanecerão bloqueados até que as taxas de solicitação caiam abaixo do limite.
É recomendável colocar regras baseadas em taxas em camadas para fornecer proteção aprimorada para que você tenha:
+ Uma regra geral baseada em taxas para proteger seu aplicativo contra grandes inundações. HTTP
+ Uma ou mais regras baseadas em tarifas para proteger tarifas específicas e mais restritivas do que a regra geral baseada URIs em tarifas.
Por exemplo, você pode escolher uma regra geral baseada em taxa (sem declaração de escopo) com um limite de 500 solicitações em um período de 5 minutos e, em seguida, criar uma ou mais das seguintes regras baseadas em taxas com limites inferiores a 500 (tão baixos quanto 100 solicitações em um período de 5 minutos) usando instruções de escopo reduzido:
+ Proteja suas **páginas da Web** com uma declaração de escopo reduzido, como "`if NOT uri_path contains '.'`", para que as solicitações de recursos sem uma extensão de arquivo sejam ainda mais protegidas. Isso também protege sua página inicial (`/`), que é um URI caminho frequentemente direcionado.
+ Proteja **endpoints dinâmicos** com uma declaração de redução de escopo como "” `if method exactly matches 'post' (convert lowercase)`
+ Proteja **solicitações pesadas** que chegam ao seu banco de dados ou invoque uma senha de uso único (OTP) com um escopo reduzido como "” `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`
A base de tarifas no modo “Bloquear” é a base de sua defense-in-depth WAF configuração para se proteger contra inundações de solicitações e é um requisito para que as solicitações de proteção de AWS Shield Advanced custos sejam aprovadas. Examinaremos defense-in-depth WAF configurações adicionais nas seções a seguir.
# AWS WAF — Reputação de IP
Para evitar ataques com base na reputação do endereço IP, você pode criar regras usando correspondência de IP ou usar [Regras gerenciadas](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) para AWS WAF.
O [grupo de regras da lista de reputação de IP](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) da Amazon inclui regras baseadas na inteligência interna de ameaças da Amazon. Essas regras buscam endereços IP que sejam bots, realizando reconhecimento de AWS recursos ou participando ativamente de atividades. DDoS A `AWSManagedIPDDoSList` regra foi observada bloqueando mais de 90% das inundações de solicitações maliciosas.
O [grupo de regras da lista de IPs anônimos](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) contém regras para bloquear solicitações de serviços que permitem a ofuscação da identidade do espectador. Isso inclui solicitações deVPNs, proxies, nós Tor e plataformas de nuvem (excluindo AWS).
Além disso, você pode usar listas de reputação de IP de terceiros usando o componente [analisador de listas de IP](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) da solução [Security Automations for AWS WAF](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html).
# AWS WAF - Mitigação inteligente de ameaças
As redes de bots são uma séria ameaça à segurança e são comumente usadas para realizar atividades ilegais ou prejudiciais, como enviar spam, roubar dados confidenciais, iniciar ataques de ransomware, cometer fraudes publicitárias por meio de cliques fraudulentos ou lançar ataques distribuídos (). denial-of-service DDoS Para evitar ataques de bots, use o grupo de regras gerenciadas do [AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html). Esse grupo de regras fornece um nível de proteção básico “comum” que adiciona rótulos aos bots que se identificam automaticamente, verifica os bots geralmente desejáveis e detecta assinaturas de bots de alta confiança, e um nível de proteção “direcionado” que adiciona detecção para bots avançados que não se identificam.
As proteções direcionadas usam técnicas avançadas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots e, em seguida, aplicam controles de mitigação, como limitação de taxa e ações de regras de desafio. CAPTCHA O Targeted também fornece opções de limitação de taxa para impor padrões de acesso semelhantes aos humanos e aplicar limitação dinâmica de taxa por meio do uso de tokens de solicitação. Para obter detalhes adicionais, consulte [Grupo de regras do AWS WAF Bot Control.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) Para detectar e gerenciar tentativas maliciosas de invasão na página de login do seu aplicativo, você pode usar o grupo de regras de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control. O grupo de regras faz isso inspecionando as tentativas de login que os clientes enviam para o endpoint de login do seu aplicativo e também inspeciona as respostas do seu aplicativo às tentativas de login, para monitorar a taxa de sucesso e falha.
A fraude na criação de conta é uma atividade ilegal online na qual um invasor tenta criar uma ou mais contas falsas. Os invasores usam contas falsas para executar atividades fraudulentas, como abusar de bônus promocionais e de inscrição, se passar por alguém e realizar ataques cibernéticos, como phishing. A presença de contas falsas pode impactar negativamente seus negócios, prejudicando sua reputação com os clientes e sua exposição a fraudes financeiras.
Você pode monitorar e controlar as tentativas de fraude na criação de contas implementando o AWS WAF recurso de prevenção de fraudes na criação de contas (ACFP). AWS WAF oferece esse recurso no grupo de AWS Managed Rules regras `AWS ManagedRulesACFPRuleSet` com integração de aplicativos complementaresSDKs.
Saiba mais sobre essas proteções na [https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html).
# Mitigue automaticamente os DDoS eventos da camada de aplicativo (,,) BP1 BP2 BP6
Se você estiver inscrito AWS Shield Advanced, poderá ativar a [DDoSmitigação automática da camada](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) [de aplicação do Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html). Esse recurso cria, avalia e implanta automaticamente AWS WAF regras para mitigar os DDoS eventos da camada 7 em seu nome.
AWS Shield Advanced estabelece uma linha de base de tráfego para cada recurso protegido associado a uma WAF Web. ACL O tráfego que se desvia significativamente da linha de base estabelecida é sinalizado como um evento potencial. DDoS Depois que um evento é detectado, AWS Shield Advanced tenta identificar uma assinatura das solicitações da web que constituem o evento e, se uma assinatura for identificada, AWS WAF regras serão criadas para mitigar o tráfego com essa assinatura.
Depois que as regras são avaliadas em relação à linha de base histórica e consideradas seguras, elas são adicionadas ao grupo de regras gerenciado pelo Shield e você pode escolher se as regras serão implantadas no modo de contagem ou bloqueio. O Shield Advanced remove automaticamente AWS WAF as regras depois de determinar que um evento foi totalmente encerrado.
# Engage SRT (somente assinantes do Shield Advanced)
Além disso, ao assinar o Shield Advanced, você pode contratar o AWS SRT para ajudá-lo a criar regras para mitigar um ataque que está prejudicando a disponibilidade do seu aplicativo. Você pode conceder acesso AWS SRT limitado à sua conta AWS Shield Advanced AWS WAF APIs e. AWS SRTos acessa APIs para colocar mitigações em sua conta somente com sua autorização explícita. Para obter mais informações, consulte a [Suporte](support.md) seção deste documento.
Você pode usar AWS Firewall Manager para configurar e gerenciar centralmente as regras de segurança, como AWS Shield Advanced proteções e AWS WAF regras, em toda a sua organização. Sua conta AWS Organizations de gerenciamento pode designar uma conta de administrador, que está autorizada a criar políticas do Firewall Manager. Essas políticas permitem definir critérios, como tipo de recurso e tags, que determinam onde as regras são aplicadas. Isso é útil quando você tem várias contas e deseja padronizar sua proteção.
Para obter mais informações sobre:
+ AWS Managed Rules para AWS WAF, consulte [AWS Managed Rules para AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html).
+ Usando a restrição geográfica para limitar o acesso à sua CloudFront distribuição, consulte [Restringir a distribuição geográfica do seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html).
+ Usando AWS WAF, consulte:
+ [Começando com AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
+ [Registrando informações ACL de tráfego na web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [Visualizando uma amostra de solicitações da web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample)
+ Configurando regras baseadas em taxas, consulte [Proteger sites e serviços usando regras baseadas em taxas](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) para. AWS WAF
+ Como gerenciar a implantação de regras em seus AWS recursos com o Firewall Manager, consulte:
+ [Introdução às AWS WAF políticas do Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html).
+ [Introdução às políticas avançadas do Firewall Manager Shield](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html).