Come posso difendermi dagli attacchi DDoS con Shield Standard?

Ultimo aggiornamento: 2022-08-17

AWS Shield Standard è un servizio di protezione dalle minacce gestito che protegge il perimetro dell'applicazione. Shield Standard fornisce protezione automatica dalle minacce senza costi aggiuntivi. Puoi usare Shield Standard per proteggere la tua applicazione nell’edge della rete AWS usando Amazon CloudFront, AWS Global Accelerator e Amazon Route 53. Questi servizi AWS ricevono protezione contro tutti gli attacchi noti a livello di rete e trasporto. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.

Per proteggere la tua applicazione dagli attacchi DDoS con Shield Standard, è consigliabile seguire queste linee guida per l'architettura dell'applicazione:

• Ridurre la superficie dell'area di attacco
• Prepararsi a dimensionare e assorbire l'attacco
• Salvaguardare le risorse esposte
• Controllare il comportamento delle applicazioni
• Creare un piano per gli attacchi

• Per assicurarti che solo il traffico previsto raggiunga l'applicazione, utilizza le liste di controllo degli accessi (ACL) di rete e i gruppi di sicurezza.
• Usa l'elenco dei prefissi gestiti di AWS per CloudFront. È possibile limitare il traffico HTTP/HTTPS in ingresso alle origini solo dagli indirizzi IP che appartengono ai server di origine di CloudFront.
• Distribuisci le risorse di backend che ospitano la tua applicazione all'interno di sottoreti private.
• Per ridurre la probabilità che il traffico dannoso raggiunga direttamente la tua applicazione, evita di allocare gli indirizzi IP elastici alle tue risorse di backend.

Per ulteriori informazioni, consulta Riduzione della superficie di attacco.

• Proteggi la tua applicazione a livello di edge della rete AWS usando CloudFront, Global Accelerator e Route 53.
• Assorbi e distribuisci il traffico in eccesso con Elastic Load Balancing.
• Dimensiona orizzontalmente su richiesta conAWS Auto Scaling (Dimensionamento automatico AWS).
• Dimensiona verticalmente usando i tipi di istanza Amazon Elastic Compute Cloud (Amazon EC2) ottimali per la tua applicazione.
• Attiva una rete avanzata sulle tue istanze Amazon EC2.
• Attiva il caching dell'API per migliorare la velocità di risposta.
• Ottimizza il caching su CloudFront.
• Usa CloudFront Origin Shield per ridurre ulteriormente le richieste di memorizzazione dei contenuti nella cache all'origine.

Per ulteriori informazioni, consulta Tecniche di mitigazione.

• Configura AWS WAF con una regola basata sulla frequenza in modalità di blocco per difenderti dagli attacchi di tipo “request flood”.
  Nota: devi disporre di CloudFront, Amazon API Gateway (Gateway Amazon API), Application Load Balancer o AWS AppSync configurati per utilizzare AWS WAF.
• Usa le restrizioni geografiche di CloudFront per impedire agli utenti provenienti da Paesi indesiderati di accedere ai tuoi contenuti.
• Usa i limiti di burst per ogni metodo con le tue REST API di Amazon API Gateway (Gateway Amazon API) per proteggere il tuo endpoint API dal sovraccarico di richieste.
• Usa l'identità di accesso origine (OAI) con i tuoi bucket Amazon Simple Storage Service (Amazon S3).
• Imposta la chiave API come intestazione X-API-key di ogni richiesta in arrivo per proteggere il tuo Amazon API Gateway (Gateway Amazon API) dall'accesso diretto.

• Crea dashboard di Amazon CloudWatch per stabilire una linea di base delle metriche chiave della tua applicazione, come i modelli di traffico e l'uso delle risorse.
• Migliora la visibilità dei registri di CloudWatch con la soluzione di registrazione centralizzata.
• Configura gli allarmi CloudWatch per dimensionare automaticamente l'applicazione in risposta a un attacco DDoS.
• Crea controlli dell’integrità di Route 53 per monitorare lo stato della tua applicazione e gestire il failover del traffico per la tua applicazione in risposta a un attacco DDoS.

Per ulteriori informazioni, consulta Monitoraggio del dimensionamento automatico delle applicazioni AWS.

• Sviluppa un runbook in anticipo in modo da poter rispondere agli attacchi DDoS in modo efficiente e tempestivo. Per indicazioni sulla creazione di un runbook, consulta la Guida sulla risposta agli incidenti di sicurezza di AWS. Puoi anche rivedere questo esempio di runbook.
• Usa lo script aws-lambda-shield-engagement per registrare rapidamente un ticket sul Supporto AWS durante un attacco DDoS di impatto.
• Shield Standard offre protezione contro gli attacchi DDoS basati sull'infrastruttura, che si verificano nei livelli 3 e 4 del modello OSI. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.

Per ulteriori informazioni su come proteggere la tua applicazione dagli attacchi DDoS, consulta le best practice di AWS per la resilienza agli attacchi DDoS.