Comment puis-je me défendre contre les attaques DDoS avec Shield Standard ?

Dernière mise à jour : 17/08/2022

AWS Shield Standard est un service géré de protection contre les menaces qui protège le périmètre de votre application. Shield Standard fournit une protection automatique contre les menaces sans frais supplémentaires. Vous pouvez utiliser Shield Standard pour protéger votre application en périphérie du réseau AWS à l\’aide d\’Amazon CloudFront, d\’AWS Global Accelerator et d\’Amazon Route 53. Ces services AWS bénéficient d\’une protection contre toutes les attaques connues des couches réseau et transport. Pour vous défendre contre les attaques DDoS de couche 7, vous pouvez utiliser AWS WAF.

Pour protéger votre application contre les attaques DDoS avec Shield Standard, il est recommandé de suivre ces directives pour l\’architecture de votre application :

• Réduire la taille de la surface d\’attaque
• Être prêt à mettre à l\’échelle et à absorber l\’attaque
• Protéger les ressources exposées
• Surveiller le comportement de l\’application
• Créer un plan pour les attaques

• Pour vous assurer que seul le trafic prévu parvient à votre application, utilisez des listes de contrôle d\’accès réseau (ACLs) et des groupes de sécurité.
• Utilisez la liste de préfixes gérés par AWS pour CloudFront. Vous pouvez limiter le trafic HTTP/HTTPS entrant vers vos origines à uniquement les adresses IP appartenant aux serveurs de CloudFront en contact avec les origines.
• Déployez les ressources backend hébergeant votre application dans des sous-réseaux privés.
• Pour réduire la probabilité que du trafic malveillant atteigne directement votre application, évitez d\’allouer des adresses IP Elastic à vos ressources backend.

Pour plus d’informations, voir Réduction de la surface d\’attaque.

• Protégez votre application en périphérie du réseau AWS à l\’aide de CloudFront, Global Accelerator et Route 53.
• Absorbez et répartissez le trafic excédentaire grâce à Elastic.
• Effectuez une mise à l\’échelle horizontale à la demande avec AWS Auto Scaling.
• Effectuez une mise à l\’échelle verticale en utilisant les types d’instances Amazon Elastic Compute Cloud (Amazon EC2) optimaux pour votre application.
• Activez la mise en réseau améliorée sur vos instances Amazon EC2.
• Activez la mise en cache des API pour améliorer la réactivité.
• Optimisez la mise en cache sur CloudFront.
• Utilisez CloudFront Origin Shield pour réduire davantage les demandes de mise en cache du contenu vers l\’origine.

Pour plus d\’informations, consultez la section Techniques de mitigation.

• Configurez AWS WAF avec une règle basée sur le débit en mode bloc pour vous défendre contre les attaques par inondation de requêtes.
  Remarque : CloudFront, Amazon API Gateway, Application Load Balancer ou AWS AppSync doivent être configurés pour utiliser AWS WAF.
• Utilisez les restrictions géographiques CloudFront pour bloquer l\’accès à votre contenu aux utilisateurs originaires de pays spécifiques auxquels vous ne souhaitez pas donner accès.
• Utilisez des limites de débordement pour chaque méthode avec vos APIs REST d\’Amazon API Gateway afin d\’éviter que votre point de terminaison d\’API ne soit submergé par les demandes.
• Utilisez l\’identité d\’accès d\’origine (OAI) avec vos compartiments Amazon Simple Storage Service (Amazon S3).
• Configurez la clé API comme l’en-tête X-API-Key de chaque demande entrante afin de protéger votre Amazon API Gateway contre tout accès direct.

• Créez des tableaux de bord Amazon CloudWatch pour établir une base de référence des métriques clés de votre application, comme des profils de trafic et l\’utilisation des ressources.
• Améliorez la visibilité de vos journaux CloudWatch grâce à la solution de journalisation centralisée.
• Configurez les alarmes CloudWatch pour mettre l\’application à l\’échelle automatiquement en réponse à une attaque DDoS.
• Créez des surveillances de l’état de Route 53 pour contrôler la santé de votre application et gérer le basculement du trafic de votre application en réponse à une attaque DDoS.

Pour plus d\’informations, consultez la section Surveillance d\’AWS Application Auto Scaling.

• Développez un cahier des charges à l\’avance afin de pouvoir répondre aux attaques DDoS de façon efficace et rapide. Pour obtenir des conseils sur la création d\’un cahier des charges, consultez le Guide de réponse aux incidents de sécurité AWS. Vous pouvez également consulter cet exemple de cahier des charges.
• Utilisez le script aws-lambda-shield-engagement pour enregistrer rapidement un ticket auprès d’AWS Support lors d\’une attaque DDoS importante.
• Shield Standard offre une protection contre les attaques DDoS des infrastructures qui se produisent aux couches 3 et 4 du modèle OSI. Pour vous défendre contre les attaques DDoS de couche 7, vous pouvez utiliser AWS WAF.

Pour plus d\’informations sur la façon de protéger votre application contre les attaques DDoS, consultez les meilleures pratiques AWS en matière de résilience DDoS.