Come posso difendermi dagli attacchi DDoS con Shield Standard?

Ultimo aggiornamento: 2022-08-17

Voglio proteggere la mia applicazione dagli attacchi Distributed Denial Of Service (DDoS) con AWS Shield Standard. Come posso farlo?

Breve descrizione

AWS Shield Standard è un servizio di protezione dalle minacce gestito che protegge il perimetro dell'applicazione. Shield Standard fornisce protezione automatica dalle minacce senza costi aggiuntivi. Puoi usare Shield Standard per proteggere la tua applicazione nell’edge della rete AWS usando Amazon CloudFront, AWS Global Accelerator e Amazon Route 53. Questi servizi AWS ricevono protezione contro tutti gli attacchi noti a livello di rete e trasporto. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.

Per proteggere la tua applicazione dagli attacchi DDoS con Shield Standard, è consigliabile seguire queste linee guida per l'architettura dell'applicazione:

  • Ridurre la superficie dell'area di attacco
  • Prepararsi a dimensionare e assorbire l'attacco
  • Salvaguardare le risorse esposte
  • Controllare il comportamento delle applicazioni
  • Creare un piano per gli attacchi

Risoluzione

Ridurre la superficie dell'area di attacco

Per ulteriori informazioni, consulta Riduzione della superficie di attacco.

Preparati a dimensionare e assorbire gli attacchi DDoS

Per ulteriori informazioni, consulta Tecniche di mitigazione.

Salvaguardare le risorse esposte

  • Configura AWS WAF con una regola basata sulla frequenza in modalità di blocco per difenderti dagli attacchi di tipo “request flood”.
    Nota: devi disporre di CloudFront, Amazon API Gateway (Gateway Amazon API), Application Load Balancer o AWS AppSync configurati per utilizzare AWS WAF.
  • Usa le restrizioni geografiche di CloudFront per impedire agli utenti provenienti da Paesi indesiderati di accedere ai tuoi contenuti.
  • Usa i limiti di burst per ogni metodo con le tue REST API di Amazon API Gateway (Gateway Amazon API) per proteggere il tuo endpoint API dal sovraccarico di richieste.
  • Usa l'identità di accesso origine (OAI) con i tuoi bucket Amazon Simple Storage Service (Amazon S3).
  • Imposta la chiave API come intestazione X-API-key di ogni richiesta in arrivo per proteggere il tuo Amazon API Gateway (Gateway Amazon API) dall'accesso diretto.

Controllare il comportamento delle applicazioni

Per ulteriori informazioni, consulta Monitoraggio del dimensionamento automatico delle applicazioni AWS.

Creare un piano per gli attacchi DDoS

  • Sviluppa un runbook in anticipo in modo da poter rispondere agli attacchi DDoS in modo efficiente e tempestivo. Per indicazioni sulla creazione di un runbook, consulta la Guida sulla risposta agli incidenti di sicurezza di AWS. Puoi anche rivedere questo esempio di runbook.
  • Usa lo script aws-lambda-shield-engagement per registrare rapidamente un ticket sul Supporto AWS durante un attacco DDoS di impatto.
  • Shield Standard offre protezione contro gli attacchi DDoS basati sull'infrastruttura, che si verificano nei livelli 3 e 4 del modello OSI. Per difenderti dagli attacchi DDoS di livello 7, puoi usare AWS WAF.

Per ulteriori informazioni su come proteggere la tua applicazione dagli attacchi DDoS, consulta le best practice di AWS per la resilienza agli attacchi DDoS.