Come posso difendermi dagli attacchi DDoS con AWS Shield Standard?
Voglio proteggere la mia applicazione dagli attacchi DDoS (Distributed Denial of Service) con AWS Shield Standard.
Breve descrizione
AWS Shield Standard è un servizio gestito di protezione dalle minacce che protegge il perimetro dell'applicazione. Shield Standard fornisce una protezione automatica dalle minacce senza costi aggiuntivi. Puoi usare Shield Standard per proteggere la tua applicazione ai margini della rete AWS utilizzando Amazon CloudFront, AWS Global Accelerator e Amazon Route 53. Questi servizi AWS ricevono protezione da tutti gli attacchi noti a livello di rete e di trasporto. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.
Per proteggere la tua applicazione dagli attacchi DDoS con Shield Standard, è consigliabile seguire queste linee guida per l'architettura dell'applicazione:
- Riduci la superficie dell'area di attacco
- Preparati a scalare e assorbire l'attacco
- Proteggi le risorse esposte
- Monitora il comportamento delle applicazioni
- Crea un piano per gli attacchi
Risoluzione
Riduci la superficie dell'area di attacco
- Per assicurarti che solo il traffico previsto raggiunga l'applicazione, utilizza la lista di controllo degli accessi alla rete (ACL di rete) e i gruppi di sicurezza.
- Usa l'elenco di prefissi gestito da AWS per CloudFront. Puoi limitare il traffico HTTP o HTTPS in entrata alle tue origini solo dagli indirizzi IP che appartengono ai server di origine di CloudFront.
- Distribuisci le risorse di backend che ospitano la tua applicazione all'interno di sottoreti private.
- Per ridurre la probabilità che il traffico dannoso raggiunga direttamente l'applicazione, evita di assegnare indirizzi IP elastici alle risorse di backend.
Per ulteriori informazioni, consulta Riduzione della superficie di attacco.
Preparati a dimensionare e assorbire gli attacchi DDoS
- Proteggi la tua applicazione ai margini della rete AWS utilizzando CloudFront, Global Accelerator e Route 53.
- Assorbi e distribuisci il traffico in eccesso con Elastic Load Balancing.
- Dimensiona orizzontalmente su richiesta con il dimensionamento automatico AWS.
- Scala verticalmente utilizzando i tipi di istanza Amazon Elastic Compute Cloud (Amazon EC2) ottimali per la tua applicazione.
- Attiva una rete avanzata sulle tue istanze Amazon EC2.
- Attiva la memorizzazione nella cache delle API per migliorare la reattività.
- Ottimizza la memorizzazione nella cache su CloudFront.
- Usa CloudFront Origin Shield per ridurre ulteriormente le richieste di memorizzazione dei contenuti nella cache fino all'origine.
Per ulteriori informazioni, consulta Tecniche di mitigazione.
Proteggi le risorse esposte
- Configura AWS WAF con una regola basata sulla frequenza in modalità a blocchi per difenderti dagli attacchi di flood su richiesta.
Nota: devi avere CloudFront, Amazon API Gateway, Application Load Balancer o AWS AppSync configurati per utilizzare AWS WAF. - Usa le restrizioni geografiche di CloudFront per impedire agli utenti provenienti da paesi in cui non desideri accedere ai tuoi contenuti.
- Usa i limiti di burst per ogni metodo con le API REST di Amazon API Gateway per proteggere il tuo endpoint API dal sovraccarico di richieste.
- Usa l'identità di accesso all'origine (OAI) con i tuoi bucket Amazon Simple Storage Service (Amazon S3).
- Configura la chiave API come intestazione X-API-key di ogni richiesta in arrivo per proteggere Amazon API Gateway dall'accesso diretto.
Monitora il comportamento delle applicazioni
- Crea dashboard di Amazon CloudWatch per stabilire una base delle metriche chiave della tua applicazione, come i modelli di traffico e l'utilizzo delle risorse.
- Migliora la visibilità dei log di CloudWatch con la soluzione di registrazione centralizzata.
- Configura gli allarmi CloudWatch per ridimensionare automaticamente l'applicazione in risposta a un attacco DDoS.
- Crea controlli di integrità di Route 53 per monitorare lo stato della tua applicazione e gestire il failover del traffico per la tua applicazione in risposta a un attacco DDoS.
Per ulteriori informazioni, consulta AWS Application Auto Scaling monitoring.
Crea un piano per gli attacchi DDoS
- Sviluppa in anticipo un runbook in modo da poter rispondere agli attacchi DDoS in modo efficiente e tempestivo. Per indicazioni sulla creazione di un runbook, consulta la guida alla risposta agli incidenti di sicurezza di AWS. Puoi anche leggere questo esempio di runbook.
- Usa lo script aws-lambda-shield-engagement per registrare rapidamente un ticket ad AWS Support durante un attacco DDoS ad impatto.
- Shield Standard offre protezione dagli attacchi DDoS basati sull'infrastruttura che si verificano ai livelli 3 e 4 del modello OSI. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.
Per ulteriori informazioni su come proteggere la tua applicazione dagli attacchi DDoS, consulta le best practice di AWS per la resilienza DDoS.
Informazioni correlate
Test e ottimizzazione delle protezioni AWS WAF
Come posso simulare un attacco DDoS per testare Shield Advanced?
Contenuto pertinente
- AWS UFFICIALEAggiornata 4 anni fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa