Como posso me defender contra ataques de DDoS com o Shield Básico?

Breve descrição

O AWS Shield Básico é um serviço gerenciado de proteção contra ameaças que protege o perímetro do seu aplicativo. O Shield Básico oferece proteção automática contra ameaças sem custo adicional. Você pode usar o Shield Básico para proteger seu aplicativo na borda da rede da AWS usando o Amazon CloudFront, o AWS Global Accelerator e o Amazon Route 53. Esses serviços da AWS recebem proteção contra todos os ataques conhecidos contra camadas de rede e transporte. Para se defender contra ataques de DDoS de camada 7, você pode usar o AWS WAF.

Para proteger seu aplicativo contra ataques de DDoS com o Shield Básico, é uma prática recomendada seguir estas diretrizes para sua arquitetura de aplicativos:

• Reduza a superfície da área de ataque
• Esteja pronto para ajustar a escala e absorver o ataque
• Proteja os recursos expostos
• Monitore o comportamento dos aplicativos
• Crie um plano para ataques

Resolução

Reduza a superfície da área de ataque

• Para garantir que somente o tráfego esperado chegue ao seu aplicativo, use listas de controle de acesso à rede (ACLs da rede) e grupos de segurança.
• Use a lista de prefixos gerenciados pela AWS para o CloudFront. Você pode limitar o tráfego HTTP ou HTTPS de entrada às suas origens a partir somente dos endereços IP que pertencem aos servidores voltados para a origem do CloudFront.
• Implante os recursos de back-end que hospedam seu aplicativo em sub-redes privadas.
• Para reduzir a probabilidade de tráfego malicioso atingir diretamente seu aplicativo, evite alocar endereços IP elásticos para seus recursos de back-end.

Para mais informações, consulte Redução da superfície de ataque.

Esteja pronto para ajustar a escala e absorver o ataque de DDoS

• Proteja seu aplicativo na borda da rede da AWS usando o CloudFront, o Global Accelerator e o Route 53.
• Absorva e distribua o excesso de tráfego com o Elastic Load Balancing.
• Ajuste a escala horizontalmente sob demanda com o AWS Auto Scaling.
• Ajuste a escala verticalmente usando os tipos de instância ideais do Amazon Elastic Compute Cloud (Amazon EC2) para seu aplicativo.
• Ative a rede aprimorada em suas instâncias do Amazon EC2.
• Ative o armazenamento em cache da API para melhorar a capacidade de resposta.
• Otimize o armazenamento em cache no CloudFront.
• Use o CloudFront Origin Shield para reduzir ainda mais as solicitações de armazenamento de conteúdo em cache na origem.

Para mais informações, consulte Técnicas de mitigação.

Proteja os recursos expostos

• Configure o AWS WAF com uma regra baseada em taxas no modo de bloqueio para se defender contra ataques de inundação de solicitações.
  Observação: você deve ter o CloudFront, o Amazon API Gateway, o Application Load Balancer ou o AWS AppSync configurados para usar o AWS WAF.
• Use as restrições geográficas do CloudFront para evitar que usuários originários de certos países acessem seu conteúdo.
• Use limites de expansão para cada método com suas APIs REST do Amazon API Gateway para proteger seu endpoint de API contra sobrecarga de solicitações.
• Use a identidade de acesso de origem (OAI) com seus buckets do Amazon Simple Storage Service (Amazon S3).
• Configure a chave de API como o cabeçalho X-API-Key de cada solicitação recebida para proteger seu Amazon API Gateway contra acesso direto.

Monitore o comportamento dos aplicativos

• Crie painéis do Amazon CloudWatch para estabelecer uma linha de base das principais métricas do seu aplicativo, como padrões de tráfego e uso de recursos.
• Melhore a visibilidade dos seus logs do CloudWatch com a solução Centralized Logging.
• Configure os alarmes do CloudWatch para ajustar a escala automaticamente do aplicativo em resposta a um ataque de DDoS.
• Crie verificações de integridade do Route 53 para monitorar a integridade do seu aplicativo e gerenciar o failover de tráfego do seu aplicativo em resposta a um ataque de DDoS.

Para mais informações, consulte Monitoramento do AWS Application Auto Scaling.

Crie um plano para ataques de DDoS

• Desenvolva um runbook com antecedência para que você possa responder aos ataques de DDoS de maneira eficiente e oportuna. Para obter orientação sobre como criar um runbook, consulte o guia de resposta a incidentes de segurança da AWS. Você também pode consultar este exemplo de runbook.
• Use o script aws-lambda-shield-engagement para registrar rapidamente um log no AWS Support durante um ataque de DDoS impactante.
• O Shield Básico oferece proteção contra ataques de DDoS baseados em infraestrutura que ocorrem nas camadas 3 e 4 do modelo OSI. Para se defender contra ataques de DDoS de camada 7, você pode usar o AWS WAF.

Para mais informações sobre como proteger seu aplicativo contra ataques de DDoS, consulte as práticas recomendadas da AWS para resiliência de DDoS.

Informações relacionadas

Como ajudar a proteger aplicativos web dinâmicos contra ataques de DDoS usando o CloudFront e o Route 53

Como proteger seu aplicativo web contra ataques de DDoS usando o Route 53 e uma rede externa de entrega de conteúdo

Como proteger um serviço de DNS autogerenciado contra ataques de DDoS usando o AWS Global Accelerator e o AWS Shield Avançado

Teste e ajuste das proteções do AWS WAF

Como posso simular um ataque de DDoS para testar o Shield Avançado?