If you're experiencing issues with your AWS services, then please refer to the AWS Health Dashboard. You can find the overall status of ongoing outages, the health of AWS services, and the latest updates from AWS engineers.
Comment me défendre contre les attaques DDoS avec Shield Standard ?
Je souhaite protéger mon application contre les attaques Distributed Denial of Service (DDoS) avec AWS Shield Standard.
Brève description
AWS Shield Standard est actif par défaut pour votre compte AWS sans frais supplémentaires. Les services suivants disposent de mesures d'atténuation standard Shield « toujours disponibles » contre les attaques courantes liées au réseau et à la couche transport :
- Amazon CloudFront pour les charges de travail d'appels de procédure à distance HTTP et gRPC
- Amazon Route 53 pour DNS
Résolution
Pour protéger votre application contre les attaques DDoS avec Shield Standard, il est recommandé de suivre les directives suivantes sur l'architecture de votre application :
- Utilisez des services conçus pour la mise à l’échelle.
- Réduisez la surface d'attaque.
- Détectez et filtrez le trafic malveillant.
- Surveillez le comportement des applications.
- Créez un plan pour les attaques DDoS.
Utiliser des services conçus pour la mise à l’échelle
Concevez pour un trafic à grande échelle avec les bonnes pratiques suivantes :
- Protégez votre application à la périphérie du réseau AWS avec CloudFront, Global Accelerator et Route 53.
- Répartissez le trafic avec Elastic Load Balancing, et pour Application Load Balancer, réservez une capacité minimale avec des [réserves de capacité] (http://Capacity reservations for your Application Load Balancer).
- Effectuez une mise à l’échelle horizontale ou verticale à la demande grâce à l’autoscaling d’applications, qui s'intègre à de nombreux services.
Réduire la surface d'attaque
Réduisez la surface d'attaque grâce aux bonnes pratiques suivantes :
- Restreignez l'accès aux origines de CloudFront. Pour une origine Amazon S3, utilisez Origin Access Control (OAC). Pour une origine qui est un Elastic Load Balancer, un Network Load Balancer ou une instance EC2, utilisez Origines du VPC. Si vous utilisez actuellement une liste de préfixes gérée par CloudFront sans origines de VPC, implémentez les origines du VPC.
- Pour vous assurer que seul le trafic prévu atteint votre application, utilisez des listes de contrôle d'accès au réseau (ACL réseau) et des groupes de sécurité.
- Pour réduire les risques de trafic malveillant vers votre application, n'attribuez pas d'adresses IP Elastic publiques à vos ressources dorsales.
Pour plus d'informations, consultez la section Réduction de la surface d'attaque.
Détecter et filtrer le trafic malveillant
Détectez et filtrez le trafic malveillant à l'aide des bonnes pratiques suivantes :
- Utilisez les meilleures pratiques d’AWS WAF décrites dans la section Résilience aux attaques DDoS - Utilisation d'AWS WAF pour vous protéger contre les botnets DDoS.
Remarque : Vous devez utiliser Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync ou Amazon Cognito pour utiliser AWS WAF. - Utilisez la mise en cache du CDN CloudFront pour réduire les requêtes pouvant être mises en cache à votre origine - consultez Résilience aux attaques DDoS - l'incroyable importance de la mise en cache HTTP.
- Activez la mise en cache des API sur API Gateway le cas échéant et utilisez des limites de rafale pour chaque méthode avec vos API REST Amazon API Gateway.
Pour plus d'informations, consultez la section Techniques d'atténuation.
Surveiller le comportement des applications
Surveillez le comportement des applications à l'aide des bonnes pratiques suivantes :
- Créez des tableaux de bord Amazon CloudWatch pour établir une base de référence des métriques clés de votre application tels que modèles de trafic et utilisation des ressources.
- Améliorez la visibilité de vos journaux CloudWatch grâce à la solution de journalisation centralisée.
- Configurez les alarmes CloudWatch pour mettre à l’échelle automatiquement l'application à la suite d’une attaque DDoS.
Pour plus d'informations, consultez la section Surveillance de l’autoscaling d’applications.
Créer un plan pour les attaques DDoS
Développez un dossier d'exploitation permettant de répondre aux attaques DDoS de manière efficace et rapide. Pour obtenir des conseils sur la création d'un dossier d'exploitation, consultez le guide technique de réponse aux incidents de sécurité AWS.
Pour plus d'informations sur la manière de protéger votre application contre les attaques DDoS, consultez la section Bonnes pratiques d'AWS en matière de résilience contres les attaques DDoS.
Informations connexes
- Balises
- AWS Shield
- Langue
- Français
Contenus pertinents
- demandé il y a 7 mois
- demandé il y a 3 ans
- demandé il y a un an
- demandé il y a un an
- demandé il y a 2 ans
- AWS OFFICIELA mis à jour il y a 10 mois
- AWS OFFICIELA mis à jour il y a 10 mois
- AWS OFFICIELA mis à jour il y a un an