Protezione dagli attacchi DDoS
Panoramica
Gli attacchi Distributed Denial of Service (DDoS) sono tentativi malevoli di interrompere il normale traffico di un server, servizio o rete mirati sommergendoli con un flusso di traffico Internet. Se non vengono mitigati in modo efficace, gli attacchi DDoS possono portare a una ridotta disponibilità o a una riduzione dei tempi di risposta per le applicazioni Web. Se l'applicazione è dimensionata per assorbire un attacco, ciò comporta costi di scalabilità indesiderati. Fortunatamente, le applicazioni basate su AWS beneficiano di protezioni da attacchi DDoS native e possono essere progettate per essere altamente resilienti contro questi attacchi utilizzando i servizi e i controlli di sicurezza AWS.
L'approccio di AWS alla protezione dagli attacchi DDoS
La sicurezza è una responsabilità condivisa tra AWS e il cliente. AWS è responsabile della protezione dell'infrastruttura alla base dei servizi cloud AWS. Per salvaguardare la propria infrastruttura, AWS utilizza protezioni native contro gli attacchi DDoS all'infrastruttura (a livello 3 e 4) senza costi aggiuntivi. Queste protezioni sono fornite tramite Shield Standard e si basano sui seguenti componenti:
- I sistemi di monitoraggio analizzano diverse origini come NetFlow dai dispositivi di rete e dai log dei servizi per rilevare gli attacchi DDoS.
- I sistemi di scrubbing sono responsabili della pulizia del traffico dagli attacchi DDoS utilizzando Deep Packet Inspection, firewall e modellazione del traffico. Per servizi come CloudFront e Route 53, i sistemi di scrubbing vengono implementati all'interno dei loro point of presence (POP), consentendo il rilevamento e la mitigazione in meno di un secondo. Al contrario, per i servizi regionali come ALB o EC2, i sistemi di scrubbing mitigano gli attacchi dopo il rilevamento, di solito in pochi minuti.
- The Shield Response Team favorisce una rapida risoluzione degli attacchi DDoS che non vengono rilevati e mitigati automaticamente dai sistemi di monitoraggio e scrubbing.
Nel modello di responsabilità condivisa, la responsabilità per la protezione dagli attacchi DDoS dipende dai servizi cloud AWS utilizzati, che determinano la quantità di lavoro di configurazione da eseguire. Ad esempio, l'esposizione di file da S3 anziché da un'istanza EC2 riduce i controlli di sicurezza necessari contro gli attacchi DDoS. Indipendentemente dai servizi utilizzati, AWS offre funzionalità per proteggere, monitorare e rispondere agli attacchi DDoS nell'ambito delle tue responsabilità.
Sei responsabile della progettazione di architetture resilienti agli attacchi DDoS utilizzando i servizi AWS. Alcune best practice includono:
- Utilizzo di CloudFront per applicazioni Web e Global Accelerator per altri casi d'uso per beneficiare di centinaia di Tb/s di capacità di mitigazione sulla rete edge distribuita AWS. Sia CloudFront che Global Accelerator utilizzano tecniche avanzate di mitigazione degli attacchi DDoS come SYN Proxy, che fornisce protezione contro i SYN flood inviando cookie SYN per sfidare nuove connessioni prima che possano continuare a monte. CloudFront offre la protezione più veloce (inferiore al millisecondo) e completa contro tutti gli attacchi DDoS di livello 3 e 4 noti, nonché contro gli attacchi DDoS mirati al protocollo HTTP come gli attacchi di ripristino rapido Slowloris e HTTP/2.
- Riduzione della superficie di attacco delle origini usando le tecniche di Origin Cloaking.
- Preparazione dell'applicazione alla scalabilità, ad esempio utilizzando la scalabilità automatica con origini basate su EC2.
- Blocco dei flood HTTP con AWS WAF
- Monitoraggio del comportamento delle applicazioni per segnalare attività anomale, analisi delle minacce, quindi risposta utilizzando runbook prestabiliti con la possibilità di contattare AWS per il supporto.
Blocco dei flood HTTP con AWS WAF
Per bloccare efficacemente i flood HTTP (attacchi DDoS a livello 7), AWS WAF fornisce una combinazione di più regole.
- Regole per ridurre l'attacco superficiale dell'applicazione, negando qualsiasi modello di richiesta imprevisto. Ad esempio, puoi scrivere regole per rifiutare le richieste con URL non conformi ai tuoi schemi URL API, richieste con verbi HTTP non supportati dalla tua API o semplicemente valori di intestazione Host che non fanno parte dei tuoi nomi di dominio. Tali regole bloccano immediatamente il traffico indesiderato.
- Regole basate sulla reputazione IP che bloccano il traffico proveniente da IP con cattiva reputazione. Puoi utilizzare le regole Amazon Managed basate sull’intelligence delle minacce raccolta da AWS, le regole gestite per AWS WAF dai fornitori di Marketplace AWS, come Imperva, oppure puoi creare il tuo elenco di reputazione IP e aggiornare automaticamente AWS WAF. Le regole basate sulla reputazione IP tendono a bloccare immediatamente una parte significativa dei flood HTTP.
- Regole di limitazione della frequenza che aggregano le richieste in base a una dimensione configurata (ad esempio IP), quindi bloccano il traffico se il volume di richieste aggregate supera le soglie configurate (ad esempio 100 richieste) entro una determinata durata (ad esempio 1 minuto). I limiti di frequenza bloccano il traffico offensivo entro decine di secondi fino a quando il volume non scende al di sotto delle soglie configurate. Se desideri estendere la durata del blocco dei limiti di frequenza, implementa la soluzione personalizzata descritta in questo blog. Esempi di regole di limitazione della frequenza includono: una regola generica basata su IP con soglia alta (ad esempio 2.000), una regola basata su IP specifica per l'URI (ad es. /login) con soglia inferiore (ad esempio 100), una regola basata sul paese per i paesi in cui non si svolgono attività significative, cookie basati per bloccare le sessioni autenticate offensive, ecc.
- Regole con azione JavaScript Challenge, per bloccare immediatamente il traffico indesiderato generato da strumenti che non riescono a eseguire JavaScript e risolvere i problemi come fanno i browser legittimi.
- Regole di rilevamento dei bot per proteggersi dalle inondazioni HTTP orchestrate da bot evasivi. Le tecniche di gestione dei bot che utilizzano il rilevamento dei bot di AWS WAF includono rilevamenti comportamentali, rilevamento dell'attività coordinata basato su ML, rilevamento dell'automazione del browser e sfide CAPTCHA. Il rilevamento e la mitigazione avvengono entro decine di secondi.
- Regole basate sulla firma degli attacchi create automaticamente dalla mitigazione automatica degli attacchi DDoS a livello di applicazione (L7AM) di Shield Avanzato. Quando questa funzionalità di Shield Avanzato è attivata, viene creato un gruppo di regole gestite vuoto nel tuo AWS WAF WebACL e il traffico dell'applicazione viene monitorato per almeno 72 ore per creare una linea di base del traffico normale. Quando si verifica una deviazione significativa del profilo di traffico dalla linea di base stabilita, Shield Avanzato segnala un rilevamento DDoS e inizia ad analizzare il traffico alla ricerca di una firma di attacco. Se viene trovata una firma, questa viene prima testata sul traffico passato per ridurre il rischio di falsi positivi, quindi, se è sicuro utilizzarla, una regola WAF corrispondente viene inserita nel gruppo di regole creato in precedenza. Dopo un certo periodo di tempo, quando l'attacco viene interrotto, la regola viene automaticamente rimossa dal gruppo di regole. In caso di successo, questo processo richiede alcuni minuti.
Inoltre, è possibile implementare regole WAF dinamiche che si adattano al livello di minaccia percepito, consentendo risposte più aggressive (ad esempio, azioni CAPTCHA o Challenge) durante gli attacchi DDoS di elevata gravità. Scopri di più su come implementare questo modello utilizzando questa soluzione.
Uso di Shield Avanzato
Shield Avanzato è un servizio AWS aggiuntivo che migliora la tua posizione di sicurezza contro gli attacchi DDoS. Fornisce una mitigazione automatica a livello 7 utilizzando AWS WAF per le applicazioni Web e una migliore protezione per le applicazioni non Web, come l'applicazione delle regole NACL (Network Access Control List) nella rete di confine con una maggiore capacità di larghezza di banda. Con Shield Avanzato, gli attacchi che non vengono mitigati automaticamente possono essere inoltrati allo Shield Response Team per la mitigazione manuale.
Per sfruttare tutte le funzionalità di Shield Avanzato, si consiglia di:
- Dopo esserti abbonato a Shield Avanzato, aggiungi le protezioni di Shield Avanzato alle tue risorse AWS rivolte a Internet. Le protezioni devono essere implementate 72 ore prima dell'attacco per garantire che il traffico delle applicazioni sia stabilito adeguatamente e che vengano applicate le misure di mitigazione.
- Per le risorse CloudFront e ALB, associa una WebACL di AWS WAF alle best practice descritte nella sezione precedente (ad esempio Limitazione della velocità, Reputazione IP, ecc.). Abilita la protezione di livello 7 per queste risorse. Facoltativamente, configura la registrazione di AWS WAF.
- Configura un coinvolgimento proattivo per avere contatti diretti con l'AWS Shield Response Team (SRT). È possibile abilitare il coinvolgimento proattivo prima di creare i controlli dell'integrità di Amazon Route53. I controlli dell'integrità associati all'applicazione migliorano la sensibilità di rilevamento di Shield Avanzato. Ad esempio, quando i controlli dell'integrità rilevano un aumento degli errori 5xx restituiti dall'applicazione, Shield Avanzato abbassa le soglie di rilevamento. Guarda questo breve video per scoprire come configurare i controlli dell'integrità.
- Configura gli allarmi CloudWatch per Shield e WAF per ricevere notifiche quando sei sotto attacco.
Per verificare la configurazione di Shield Avanzato, esegui il runbook DDoSResiliencyAssessment in AWS Systems Manager. Raccoglie, analizza e valuta le seguenti risorse: Amazon Route 53, sistemi di bilanciamento del carico Amazon, distribuzioni Amazon CloudFront, AWS Global Accelerator e AWS Elastic IP per le loro impostazioni di configurazione in conformità con le best practice consigliate per la protezione di AWS Shield Avanzato.
Test della resilienza agli attacchi DDoS
I test di simulazione DDoS sono consentiti su AWS e sono soggetti ai termini e alle condizioni descritti in questa pagina. AWS offre due opzioni per eseguire test di simulazione DDoS: un attacco DDoS simulato nel traffico di produzione con un partner AWS autorizzato e preapprovato come NCC Group plc, RedWolf e Red Button; oppure un attacco DDoS simulato sintetico con lo Shield Response Team, noto anche come firedrill.
Risorse
- Trova i partner di distribuzione AWS WAF
- Whitepaper: Best practice AWS per la resilienza agli attacchi DDoS
- Blog: Informazioni sui test di simulazione DDoS in AWS
- Blog: Le tre più importanti regole basate sulla frequenza di AWS WAF
- Blog: Scopri i vantaggi delle regole avanzate basate sulla frequenza di AWS WAF