Come posso difendermi dagli attacchi DDoS con AWS Shield Standard?

5 minuti di lettura

Voglio proteggere la mia applicazione dagli attacchi DDoS (Distributed Denial of Service) con AWS Shield Standard.

Breve descrizione

AWS Shield Standard è un servizio gestito di protezione dalle minacce che protegge il perimetro dell'applicazione. Shield Standard fornisce una protezione automatica dalle minacce senza costi aggiuntivi. Puoi usare Shield Standard per proteggere la tua applicazione ai margini della rete AWS utilizzando Amazon CloudFront, AWS Global Accelerator e Amazon Route 53. Questi servizi AWS ricevono protezione da tutti gli attacchi noti a livello di rete e di trasporto. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.

Per proteggere la tua applicazione dagli attacchi DDoS con Shield Standard, è consigliabile seguire queste linee guida per l'architettura dell'applicazione:

Riduci la superficie dell'area di attacco
Preparati a scalare e assorbire l'attacco
Proteggi le risorse esposte
Monitora il comportamento delle applicazioni
Crea un piano per gli attacchi

Risoluzione

Riduci la superficie dell'area di attacco

Per assicurarti che solo il traffico previsto raggiunga l'applicazione, utilizza la lista di controllo degli accessi alla rete (ACL di rete) e i gruppi di sicurezza.
Usa l'elenco di prefissi gestito da AWS per CloudFront. Puoi limitare il traffico HTTP o HTTPS in entrata alle tue origini solo dagli indirizzi IP che appartengono ai server di origine di CloudFront.
Distribuisci le risorse di backend che ospitano la tua applicazione all'interno di sottoreti private.
Per ridurre la probabilità che il traffico dannoso raggiunga direttamente l'applicazione, evita di assegnare indirizzi IP elastici alle risorse di backend.

Per ulteriori informazioni, consulta Riduzione della superficie di attacco.

Preparati a dimensionare e assorbire gli attacchi DDoS

Proteggi la tua applicazione ai margini della rete AWS utilizzando CloudFront, Global Accelerator e Route 53.
Assorbi e distribuisci il traffico in eccesso con Elastic Load Balancing.
Dimensiona orizzontalmente su richiesta con il dimensionamento automatico AWS.
Scala verticalmente utilizzando i tipi di istanza Amazon Elastic Compute Cloud (Amazon EC2) ottimali per la tua applicazione.
Attiva una rete avanzata sulle tue istanze Amazon EC2.
Attiva la memorizzazione nella cache delle API per migliorare la reattività.
Ottimizza la memorizzazione nella cache su CloudFront.
Usa CloudFront Origin Shield per ridurre ulteriormente le richieste di memorizzazione dei contenuti nella cache fino all'origine.

Per ulteriori informazioni, consulta Tecniche di mitigazione.

Proteggi le risorse esposte

Configura AWS WAF con una regola basata sulla frequenza in modalità a blocchi per difenderti dagli attacchi di flood su richiesta.
Nota: devi avere CloudFront, Amazon API Gateway, Application Load Balancer o AWS AppSync configurati per utilizzare AWS WAF.
Usa le restrizioni geografiche di CloudFront per impedire agli utenti provenienti da paesi in cui non desideri accedere ai tuoi contenuti.
Usa i limiti di burst per ogni metodo con le API REST di Amazon API Gateway per proteggere il tuo endpoint API dal sovraccarico di richieste.
Usa l'identità di accesso all'origine (OAI) con i tuoi bucket Amazon Simple Storage Service (Amazon S3).
Configura la chiave API come intestazione X-API-key di ogni richiesta in arrivo per proteggere Amazon API Gateway dall'accesso diretto.

Monitora il comportamento delle applicazioni

Crea dashboard di Amazon CloudWatch per stabilire una base delle metriche chiave della tua applicazione, come i modelli di traffico e l'utilizzo delle risorse.
Migliora la visibilità dei log di CloudWatch con la soluzione di registrazione centralizzata.
Configura gli allarmi CloudWatch per ridimensionare automaticamente l'applicazione in risposta a un attacco DDoS.
Crea controlli di integrità di Route 53 per monitorare lo stato della tua applicazione e gestire il failover del traffico per la tua applicazione in risposta a un attacco DDoS.

Per ulteriori informazioni, consulta AWS Application Auto Scaling monitoring.

Crea un piano per gli attacchi DDoS

Sviluppa in anticipo un runbook in modo da poter rispondere agli attacchi DDoS in modo efficiente e tempestivo. Per indicazioni sulla creazione di un runbook, consulta la guida alla risposta agli incidenti di sicurezza di AWS. Puoi anche leggere questo esempio di runbook.
Usa lo script aws-lambda-shield-engagement per registrare rapidamente un ticket ad AWS Support durante un attacco DDoS ad impatto.
Shield Standard offre protezione dagli attacchi DDoS basati sull'infrastruttura che si verificano ai livelli 3 e 4 del modello OSI. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.

Per ulteriori informazioni su come proteggere la tua applicazione dagli attacchi DDoS, consulta le best practice di AWS per la resilienza DDoS.

Informazioni correlate

Come contribuire a proteggere le applicazioni Web dinamiche dagli attacchi DDoS utilizzando CloudFront e Route 53

Come proteggere la tua applicazione web dagli attacchi DDoS utilizzando Route 53 e una rete di distribuzione di contenuti esterna

Come proteggere un servizio DNS autogestito dagli attacchi DDoS utilizzando AWS Global Accelerator e AWS Shield Advanced

Test e ottimizzazione delle protezioni AWS WAF

Come posso simulare un attacco DDoS per testare Shield Advanced?

Argomenti

Sicurezza, identità e conformità

Tag

AWS Shield

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso simulare un attacco DDoS per testare Shield Advanced?
AWS UFFICIALEAggiornata 2 anni fa
Come posso usare AWS WAF con AWS Global Accelerator per proteggere la mia applicazione da attacchi dannosi?
AWS UFFICIALEAggiornata un anno fa
Come posso mitigare gli attacchi DDoS utilizzando AWS WAF?
AWS UFFICIALEAggiornata 2 anni fa
Come posso configurare AWS WAF per proteggere le mie risorse dagli attacchi più comuni?
AWS UFFICIALEAggiornata 3 anni fa