Como posso me defender contra ataques de DDoS com o Shield Standard?

Data da última atualização: 17/08/2022

O AWS Shield Standard é um serviço gerenciado de proteção contra ameaças que protege o perímetro da sua aplicação. O Shield Standard oferece proteção automática contra ameaças sem custo adicional. Você pode usar o Shield Standard para proteger sua aplicação na borda da rede da AWS usando o Amazon CloudFront, o AWS Global Accelerator e o Amazon Route 53. Esses serviços da AWS recebem proteção contra todos os ataques conhecidos de rede e camada de transporte. Para se defender contra ataques de DDoS na camada 7, você pode usar o AWS WAF.

Para proteger sua aplicação contra ataques de DDoS com o Shield Standard, é uma prática recomendada seguir as diretrizes abaixo para a arquitetura da sua aplicação:

• Reduzir a superfície da área de ataque
• Esteja pronto para escalar e absorver o ataque
• Proteja os recursos expostos
• Monitore o comportamento do aplicativo
• Crie um plano para ataques

• Para garantir que apenas o tráfego esperado chegue à sua aplicação, use listas de controle de acesso (ACLs) à rede e grupos de segurança.
• Use a lista de prefixos gerenciados da AWS para o CloudFront. Você pode limitar o tráfego HTTP/HTTPS de entrada às suas origens apenas a partir dos endereços IP que pertencem aos servidores voltados para origens do CloudFront.
• Implante os recursos de backend que hospedam sua aplicação dentro de sub-redes privadas.
• Para reduzir a probabilidade de um tráfego mal-intencionado chegar diretamente à sua aplicação, evite alocar endereços IP elásticos aos seus recursos de backend.

Para obter mais informações, consulte Redução da superfície de ataque.

• Proteja sua aplicação na borda da rede da AWS usando o CloudFront, o Global Accelerator e o Route 53.
• Absorva e distribua o excesso de tráfego com o Elastic Load Balancing.
• Escale horizontalmente sob demanda com o AWS Auto Scaling.
• Escale verticalmente usando os tipos de instâncias ideais do Amazon Elastic Compute Cloud (Amazon EC2) para sua aplicação.
• Ative a rede aprimorada nas suas instâncias do Amazon EC2.
• Ative o armazenamento em cache da API para melhorar a capacidade de resposta.
• Otimize o armazenamento em cache no CloudFront.
• Use o CloudFront Origin Shield para reduzir ainda mais as solicitações de armazenamento em cache de conteúdo na origem.

Para obter mais informações, consulte Técnicas de mitigação.

• Configure o AWS WAF com uma regra baseada em taxa no modo de bloqueio para se defender contra ataques de inundação de solicitações.
  Observação: você deve ter o CloudFront, o Amazon API Gateway, o Application Load Balancer ou o AWS AppSync configurado para usar o AWS WAF.
• Use restrições geográficas do CloudFront para impedir que os usuários sejam provenientes de países que você não deseja que acessem seu conteúdo.
• Use limites de intermitência para cada método com as suas APIs REST do Amazon API Gateway para impedir que seu endpoint de API seja sobrecarregado por solicitações.
• Use a identidade do acesso de origem (OAI) com seus buckets do Amazon Simple Storage Service (Amazon S3).
• Configure a chave de API como o cabeçalho X-API-Key de cada solicitação recebida para proteger seu Amazon API Gateway contra acesso direto.

• Crie painéis do Amazon CloudWatch para estabelecer uma linha de base das principais métricas da sua aplicação, como padrões de tráfego e uso de recursos.
• Melhore a visibilidade dos seus logs do CloudWatch com a solução de registro em log centralizado.
• Configure alarmes do CloudWatch para escalar automaticamente a aplicação em resposta a um ataque de DDoS.
• Crie verificações de integridade do Route 53 para monitorar a integridade da sua aplicação e gerenciar o failover de tráfego para sua aplicação em resposta a um ataque de DDoS.

Para obter mais informações, consulte Monitoramento do AWS Application Auto Scaling.

• Desenvolva um runbook com antecedência para que você possa responder a ataques de DDoS de maneira eficiente e em tempo hábil. Para obter orientação sobre a criação de um runbook, consulte o Guia de resposta a incidentes de segurança da AWS. Você também pode revisar este exemplo de runbook.
• Use o script aws-lambda-shield-engagement para registrar rapidamente um tíquete no AWS Support durante um ataque de DDoS impactante.
• O Shield Standard oferece proteção contra ataques de DDoS baseados em infraestrutura que ocorrem nas camadas 3 e 4 do modelo OSI. Para se defender contra ataques de DDoS na camada 7, você pode usar o AWS WAF.

Para obter mais informações sobre como proteger sua aplicação contra ataques de DDoS, consulte as práticas recomendadas da AWS para resiliência contra DDoS.