Comment puis-je me défendre contre les attaques DDoS avec Shield Standard ?

Dernière mise à jour : 17/08/2022

Je souhaite protéger mon application contre les attaques par déni de service distribué (DDoS) avec AWS Shield Standard. Comment procéder ?

Courte description

AWS Shield Standard est un service géré de protection contre les menaces qui protège le périmètre de votre application. Shield Standard fournit une protection automatique contre les menaces sans frais supplémentaires. Vous pouvez utiliser Shield Standard pour protéger votre application en périphérie du réseau AWS à l\’aide d\’Amazon CloudFront, d\’AWS Global Accelerator et d\’Amazon Route 53. Ces services AWS bénéficient d\’une protection contre toutes les attaques connues des couches réseau et transport. Pour vous défendre contre les attaques DDoS de couche 7, vous pouvez utiliser AWS WAF.

Pour protéger votre application contre les attaques DDoS avec Shield Standard, il est recommandé de suivre ces directives pour l\’architecture de votre application :

  • Réduire la taille de la surface d\’attaque
  • Être prêt à mettre à l\’échelle et à absorber l\’attaque
  • Protéger les ressources exposées
  • Surveiller le comportement de l\’application
  • Créer un plan pour les attaques

Solution

Réduire la taille de la surface d\’attaque

Pour plus d’informations, voir Réduction de la surface d\’attaque.

Soyez prêt à mettre à l\’échelle et à absorber les attaques DDoS

Pour plus d\’informations, consultez la section Techniques de mitigation.

Protéger les ressources exposées

  • Configurez AWS WAF avec une règle basée sur le débit en mode bloc pour vous défendre contre les attaques par inondation de requêtes.
    Remarque : CloudFront, Amazon API Gateway, Application Load Balancer ou AWS AppSync doivent être configurés pour utiliser AWS WAF.
  • Utilisez les restrictions géographiques CloudFront pour bloquer l\’accès à votre contenu aux utilisateurs originaires de pays spécifiques auxquels vous ne souhaitez pas donner accès.
  • Utilisez des limites de débordement pour chaque méthode avec vos APIs REST d\’Amazon API Gateway afin d\’éviter que votre point de terminaison d\’API ne soit submergé par les demandes.
  • Utilisez l\’identité d\’accès d\’origine (OAI) avec vos compartiments Amazon Simple Storage Service (Amazon S3).
  • Configurez la clé API comme l’en-tête X-API-Key de chaque demande entrante afin de protéger votre Amazon API Gateway contre tout accès direct.

Surveiller le comportement de l\’application

Pour plus d\’informations, consultez la section Surveillance d\’AWS Application Auto Scaling.

Créez un plan pour les attaques DDoS

  • Développez un cahier des charges à l\’avance afin de pouvoir répondre aux attaques DDoS de façon efficace et rapide. Pour obtenir des conseils sur la création d\’un cahier des charges, consultez le Guide de réponse aux incidents de sécurité AWS. Vous pouvez également consulter cet exemple de cahier des charges.
  • Utilisez le script aws-lambda-shield-engagement pour enregistrer rapidement un ticket auprès d’AWS Support lors d\’une attaque DDoS importante.
  • Shield Standard offre une protection contre les attaques DDoS des infrastructures qui se produisent aux couches 3 et 4 du modèle OSI. Pour vous défendre contre les attaques DDoS de couche 7, vous pouvez utiliser AWS WAF.

Pour plus d\’informations sur la façon de protéger votre application contre les attaques DDoS, consultez les meilleures pratiques AWS en matière de résilience DDoS.