O blog da AWS

Melhores práticas para proteger suas aplicações contra ataques de negação de serviço usando o AWS Shield Advanced

Por Omner Barajas, Arquiteto de Soluções especializado em Segurança na AWS México

 

AWS Shield é um serviço distribuído de proteção contra ataques de negação de serviço (DDoS) que protege aplicações em execução na AWS. Há dois níveis de serviço do AWS Shield: Standard e Advanced.

O AWS Shield fornece mitigação de forma automatizada e detecção sempre ativa dos ataques DDoS mais comuns, que normalmente ocorrem na rede e na camada de transporte, e são direcionados à sua aplicação ou website. Todos os clientes da AWS se beneficiam da proteção do AWS Shield Standard sem custos adicionais.

Se você deseja um nível mais alto de proteção contra ataques que visam suas aplicações, pode se inscrever no AWS Shield Advanced. Além das proteções comuns de transporte e camada de rede incluídas no Standard, o AWS Shield Advanced oferece detecção e mitigação adicional contra ataques DDoS sofisticados e em larga escala, visibilidade de ataques quase em tempo real e integração com o AWS WAF, um firewall de aplicação web. O AWS Shield Advanced também fornece acesso à equipe de resposta a incidentes DDoS (DRT) da AWS e proteção contra picos relacionados ao DDoS no custo dos recursos que protege.

 

Melhores práticas para o uso do serviço AWS Shield Advanced

Abaixo estão as cinco melhores práticas para aproveitar e alavancar o serviço AWS Shield Advanced em todo o seu potencial:

1. Ative o serviço em todas as contas de sua organização. Há um único pagamento mensal para todas as contas sob uma conta de administração central do AWS Organizations. Você pode revisar os detalhes na página de preços do serviço.

2. Proteja todos os seus recursos expostos à Internet. A AWS oferece um whitepaper para a construção de arquiteturas de aplicação resistentes a ataques de negação de serviço. Na documentação do serviço você pode encontrar o roteiro sobre como habilitar a proteção de seus recursos da AWS (ELB, endereços IP de instâncias EC2 – EIPs, distribuições CloudFront, etc.).

3. Inclua regras de proteção (WebACL) contra ataques da camada 7 (aplicação) usando o serviço AWS WAF, que está disponível sem custo adicional para os recursos protegidos pelo AWS Shield Advanced. Deve-se observar que a contratação de regras gerenciadas por parceiros da AWS geram um custo adicional.

Para proteger sua aplicação de ataques de negação de serviço por volume, não se esqueça de usar regras baseadas em frequência (rate-based) para identificar e bloquear picos repentinos que possam indicar comportamento malicioso.

4. Configure alarmes e painéis de controle para dar visibilidade dos eventos de ataque de negação de serviço usando o Amazon CloudWatch.

5. Para eventos de ataque ou durante uma emergência, treine sua equipe em como contatar a equipe de respostas da AWS (DRT), seja abrindo um caso através do Centro de Suporte da AWS ou proativamente. Certifique-se de que o AWS DRT tenha as permissões necessárias para acessar sua conta da AWS e possa reagir rapidamente durante um evento.

 


Sobre o autor

Omner Barajas é Arquiteto de Soluções especializado em Segurança na AWS México.

 

 

 

 

 

Sobre os revisores

Maria Ane Dias é arquiteta de soluções na AWS e gosta/atua bastante da área de Segurança, Desenvolvimento e IoT além da vertical de Manufatura. Atua auxiliando clientes iniciantes em suas jornadas para a nuvem. Tem 16 anos de experiência em desenvolvimento e arquitetura de software e 2 com arquitetura de soluções.

 

 

 

Bruno Silveira, Arquiteto de Soluções da AWS no time de Setor Publico com foco em ISV Partners e Startups. Com carreira prévia em instituições como Globalweb, Hepta Tecnologia, Caixa, Itaipu Binacional, Parque Tecnológico Itaipu, Ministério de Minas e Energia e Ministério da Cultura, Bruno é entusiasta em práticas ágeis como Lean e Scrum e gosta muito de um bom rock’n roll com uma boa cerveja.