Comment me défendre contre les attaques DDoS avec Shield Standard ?

Lecture de 5 minute(s)
0

Je souhaite protéger mon application contre les attaques Distributed Denial of Service (DDoS) avec AWS Shield Standard.

Brève description

AWS Shield Standard est un service géré de protection contre les menaces qui protège le périmètre de votre application. Shield Standard assure une protection automatique contre les menaces sans frais supplémentaires. Vous pouvez utiliser Shield Standard pour protéger votre application à la périphérie du réseau AWS au moyen d'Amazon CloudFront, d'AWS Global Accelerator et d'Amazon Route 53. Ces services AWS sont protégés contre toutes les attaques connues sur le réseau et la couche de transport. Pour vous défendre contre les attaques DDoS de couche 7, vous pouvez utiliser AWS WAF.

Pour protéger votre application contre les attaques DDoS avec Shield Standard, il est recommandé de suivre les directives suivantes sur l'architecture de votre application :

  • Réduisez la surface d'attaque
  • Soyez prêt à mettre à l’échelle et à absorber l'attaque
  • Protégez les ressources exposées
  • Surveillez le comportement des applications
  • Élaborez un plan pour les attaques

Résolution

Réduisez la surface d'attaque

Pour plus d'informations, consultez la section Réduction de la surface d'attaque.

Soyez prêt à mettre à l’échelle et à absorber l'attaque DDoS

Pour plus d'informations, consultez la section Techniques d'atténuation.

Protégez les ressources exposées

  • Configurez AWS WAF avec une règle basée sur le taux en mode bloc pour vous protéger contre les attaques par flux de requêtes.
    Remarque : CloudFront, Amazon API Gateway, Application Load Balancer ou AWS AppSync doivent être configurés pour utiliser AWS WAF.
  • Utilisez les restrictions géographiques de CloudFront pour bloquer les utilisateurs provenant de pays auxquels vous désirez interdire l’accès à votre contenu.
  • Utilisez des limites de débordement pour chaque méthode avec vos API REST Amazon API Gateway afin d'éviter que le point de terminaison de votre API ne soit submergé de demandes.
  • Utilisez l'identité d'accès d'origine (OAI) avec vos compartiments Amazon Simple Storage Service (Amazon S3).
  • Configurez la clé d'API comme en-tête X-API-key de chaque demande entrante afin de protéger votre Amazon API Gateway contre tout accès direct.

Surveillez le comportement des applications

Pour plus d'informations, consultez la section Surveillance d'AWS Application Auto Scaling.

Créez un plan pour les attaques DDoS

  • Développez un runbook permettant de répondre aux attaques DDoS de manière efficace et rapide. Pour obtenir des conseils sur la création d'un runbook, consultez le guide de réponse aux incidents de sécurité AWS. Vous pouvez également consulter cet exemple de runbook.
  • Utilisez le script aws-lambda-shield-engagement pour enregistrer rapidement un ticket auprès d'AWS Support lors d'une attaque DDoS importante.
  • Shield Standard offre une protection contre les attaques DDoS basées sur l'infrastructure visant les couches 3 et 4 du modèle OSI. Pour vous défendre contre les attaques DDoS de couche 7, vous pouvez utiliser AWS WAF.

Pour plus d'informations sur la manière de protéger votre application contre les attaques DDoS, consultez les meilleures pratiques d'AWS en matière de résilience DDoS.

Informations connexes

Comment protéger les applications Web dynamiques contre les attaques DDoS au moyen de CloudFront et de Route 53

Comment protéger votre application Web contre les attaques DDoS en utilisant Route 53 et un réseau de diffusion de contenu externe

Comment protéger un service DNS autogéré contre les attaques DDoS au moyen d'AWS Global Accelerator et d'AWS Shield Advanced

Tester et ajuster vos protections AWS WAF

Comment simuler une attaque DDoS pour tester Shield Advanced ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans