Como posso me defender contra ataques de DDoS com o Shield Standard?

Data da última atualização: 17/08/2022

Quero proteger minha aplicação contra ataques de negação de serviço distribuída (DDoS) com o AWS Shield Standard. Como faço isso?

Breve descrição

O AWS Shield Standard é um serviço gerenciado de proteção contra ameaças que protege o perímetro da sua aplicação. O Shield Standard oferece proteção automática contra ameaças sem custo adicional. Você pode usar o Shield Standard para proteger sua aplicação na borda da rede da AWS usando o Amazon CloudFront, o AWS Global Accelerator e o Amazon Route 53. Esses serviços da AWS recebem proteção contra todos os ataques conhecidos de rede e camada de transporte. Para se defender contra ataques de DDoS na camada 7, você pode usar o AWS WAF.

Para proteger sua aplicação contra ataques de DDoS com o Shield Standard, é uma prática recomendada seguir as diretrizes abaixo para a arquitetura da sua aplicação:

  • Reduzir a superfície da área de ataque
  • Esteja pronto para escalar e absorver o ataque
  • Proteja os recursos expostos
  • Monitore o comportamento do aplicativo
  • Crie um plano para ataques

Resolução

Reduzir a superfície da área de ataque

Para obter mais informações, consulte Redução da superfície de ataque.

Esteja pronto para escalar e absorver o ataque de DDoS

Para obter mais informações, consulte Técnicas de mitigação.

Proteja os recursos expostos

  • Configure o AWS WAF com uma regra baseada em taxa no modo de bloqueio para se defender contra ataques de inundação de solicitações.
    Observação: você deve ter o CloudFront, o Amazon API Gateway, o Application Load Balancer ou o AWS AppSync configurado para usar o AWS WAF.
  • Use restrições geográficas do CloudFront para impedir que os usuários sejam provenientes de países que você não deseja que acessem seu conteúdo.
  • Use limites de intermitência para cada método com as suas APIs REST do Amazon API Gateway para impedir que seu endpoint de API seja sobrecarregado por solicitações.
  • Use a identidade do acesso de origem (OAI) com seus buckets do Amazon Simple Storage Service (Amazon S3).
  • Configure a chave de API como o cabeçalho X-API-Key de cada solicitação recebida para proteger seu Amazon API Gateway contra acesso direto.

Monitore o comportamento do aplicativo

Para obter mais informações, consulte Monitoramento do AWS Application Auto Scaling.

Criar um plano para ataques de DDoS

  • Desenvolva um runbook com antecedência para que você possa responder a ataques de DDoS de maneira eficiente e em tempo hábil. Para obter orientação sobre a criação de um runbook, consulte o Guia de resposta a incidentes de segurança da AWS. Você também pode revisar este exemplo de runbook.
  • Use o script aws-lambda-shield-engagement para registrar rapidamente um tíquete no AWS Support durante um ataque de DDoS impactante.
  • O Shield Standard oferece proteção contra ataques de DDoS baseados em infraestrutura que ocorrem nas camadas 3 e 4 do modelo OSI. Para se defender contra ataques de DDoS na camada 7, você pode usar o AWS WAF.

Para obter mais informações sobre como proteger sua aplicação contra ataques de DDoS, consulte as práticas recomendadas da AWS para resiliência contra DDoS.