Come posso difendermi dagli attacchi DDoS con AWS Shield Standard?

5 minuti di lettura
0

Voglio proteggere la mia applicazione dagli attacchi DDoS (Distributed Denial of Service) con AWS Shield Standard.

Breve descrizione

AWS Shield Standard è un servizio gestito di protezione dalle minacce che protegge il perimetro dell'applicazione. Shield Standard fornisce una protezione automatica dalle minacce senza costi aggiuntivi. Puoi usare Shield Standard per proteggere la tua applicazione ai margini della rete AWS utilizzando Amazon CloudFront, AWS Global Accelerator e Amazon Route 53. Questi servizi AWS ricevono protezione da tutti gli attacchi noti a livello di rete e di trasporto. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.

Per proteggere la tua applicazione dagli attacchi DDoS con Shield Standard, è consigliabile seguire queste linee guida per l'architettura dell'applicazione:

  • Riduci la superficie dell'area di attacco
  • Preparati a scalare e assorbire l'attacco
  • Proteggi le risorse esposte
  • Monitora il comportamento delle applicazioni
  • Crea un piano per gli attacchi

Risoluzione

Riduci la superficie dell'area di attacco

Per ulteriori informazioni, consulta Riduzione della superficie di attacco.

Preparati a dimensionare e assorbire gli attacchi DDoS

Per ulteriori informazioni, consulta Tecniche di mitigazione.

Proteggi le risorse esposte

  • Configura AWS WAF con una regola basata sulla frequenza in modalità a blocchi per difenderti dagli attacchi di flood su richiesta.
    Nota: devi avere CloudFront, Amazon API Gateway, Application Load Balancer o AWS AppSync configurati per utilizzare AWS WAF.
  • Usa le restrizioni geografiche di CloudFront per impedire agli utenti provenienti da paesi in cui non desideri accedere ai tuoi contenuti.
  • Usa i limiti di burst per ogni metodo con le API REST di Amazon API Gateway per proteggere il tuo endpoint API dal sovraccarico di richieste.
  • Usa l'identità di accesso all'origine (OAI) con i tuoi bucket Amazon Simple Storage Service (Amazon S3).
  • Configura la chiave API come intestazione X-API-key di ogni richiesta in arrivo per proteggere Amazon API Gateway dall'accesso diretto.

Monitora il comportamento delle applicazioni

Per ulteriori informazioni, consulta AWS Application Auto Scaling monitoring.

Crea un piano per gli attacchi DDoS

  • Sviluppa in anticipo un runbook in modo da poter rispondere agli attacchi DDoS in modo efficiente e tempestivo. Per indicazioni sulla creazione di un runbook, consulta la guida alla risposta agli incidenti di sicurezza di AWS. Puoi anche leggere questo esempio di runbook.
  • Usa lo script aws-lambda-shield-engagement per registrare rapidamente un ticket ad AWS Support durante un attacco DDoS ad impatto.
  • Shield Standard offre protezione dagli attacchi DDoS basati sull'infrastruttura che si verificano ai livelli 3 e 4 del modello OSI. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.

Per ulteriori informazioni su come proteggere la tua applicazione dagli attacchi DDoS, consulta le best practice di AWS per la resilienza DDoS.

Informazioni correlate

Come contribuire a proteggere le applicazioni Web dinamiche dagli attacchi DDoS utilizzando CloudFront e Route 53

Come proteggere la tua applicazione web dagli attacchi DDoS utilizzando Route 53 e una rete di distribuzione di contenuti esterna

Come proteggere un servizio DNS autogestito dagli attacchi DDoS utilizzando AWS Global Accelerator e AWS Shield Advanced

Test e ottimizzazione delle protezioni AWS WAF

Come posso simulare un attacco DDoS per testare Shield Advanced?

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa