Prácticas recomendadas para utilizar la mitigación automática de DDoS en la capa de aplicación

Siga las instrucciones que se proporcionan en esta sección cuando utilice la mitigación automática.

Administración de protecciones generales

Siga estas pautas para planificar e implementar sus protecciones de mitigación automática.

Administre todas sus protecciones de mitigación automática a través de Shield Advanced o, si utiliza AWS Firewall Manager para administrar la configuración de mitigación automática de Shield Advanced, a través de Firewall Manager. No mezcle el uso de Shield Advanced y Firewall Manager para administrar estas protecciones.
Administre recursos similares con las mismas ACL web y la misma configuración de protección, y administre recursos distintos con ACL web diferentes. Cuando Shield Advanced mitiga un ataque DDoS en un recurso protegido, define las reglas para la ACL web asociada al recurso y, a continuación, las compara con el tráfico de todos los recursos asociados a la ACL web. Shield Advanced solo aplicará las reglas si no afectan negativamente a ninguno de los recursos asociados. Para obtener más información, consulte Cómo administra Shield Advanced la mitigación automática.
En el caso de los equilibradores de carga de aplicaciones que tienen todo el tráfico de Internet redirigido mediante proxy a través de una distribución de Amazon CloudFront, habilite únicamente la mitigación automática en la distribución de CloudFront. La distribución de CloudFront siempre tendrá el mayor número de atributos de tráfico originales, que Shield Advanced aprovecha para mitigar los ataques.

Optimización de la detección y mitigación

Siga estas pautas para optimizar las protecciones que la mitigación automática proporciona a los recursos protegidos. Para obtener una descripción general de la detección y mitigación de la capa de aplicación, consulte Lista de factores que afectan a la detección y mitigación de eventos de la capa de aplicación con Shield Avanzado.

Configure la comprobación de estado de sus recursos protegidos y utilícelos para habilitar la detección basada en el estado en sus protecciones de Shield Avanzado. Para obtener instrucciones, consulte Detección basada en el estado mediante comprobaciones de estado con Shield Avanzado y Route 53.
Active la mitigación automática en el modo Count hasta que Shield Avanzado haya establecido una línea base para el tráfico normal e histórico. Shield Avanzado requiere de 24 horas a 30 días para establecer una referencia.

Para establecer una base de patrones de tráfico normales se requiere lo siguiente:
- La asociación de una ACL web con el recurso protegido. Puede utilizar AWS WAF directamente para asociar su ACL web o puede hacer que Shield Avanzado la asocie cuando active la protección de la capa de aplicaciones de Shield Avanzado y especifique la ACL web que desee utilizar.
- Flujo de tráfico normal hacia su aplicación protegida. Si su aplicación no experimenta un tráfico normal, por ejemplo, antes de que se inicie, o si no cuenta con tráfico de producción durante períodos prolongados, no se podrán recopilar los datos históricos.

Administración de ACL web

Siga estas pautas para administrar las ACL web que se utilizan con la mitigación automática.

Si necesita reemplazar la ACL web asociada al recurso protegido, realice los siguientes cambios en este orden:
1. En Shield Avanzado, active la mitigación automática.
2. En AWS WAF, desconecte la antigua ACL web y asocie la nueva ACL web.
3. En Shield Avanzado, active la mitigación automática.
Shield Avanzado no transfiere automáticamente la mitigación automática de la antigua ACL web a la nueva.
No elimine ninguna regla de grupo de reglas de las ACL web cuyo nombre comience por ShieldMitigationRuleGroup. Si elimina este grupo de reglas, deshabilite las protecciones que proporciona la mitigación automática de Shield Avanzado para cada recurso asociado a la ACL web. Además, Shield Advanced puede tardar algún tiempo en recibir la notificación del cambio y actualizar su configuración. Durante este tiempo, las páginas de la consola de Shield Advanced proporcionarán información incorrecta.

Para obtener más información acerca de este grupo de reglas, consulte Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado.
No modifique el nombre de una regla del grupo de reglas que comience por ShieldMitigationRuleGroup. Si lo hace, puede interferir en las protecciones que proporciona la mitigación automática de Shield Advanced a través de la ACL web.
Al crear reglas y grupos de reglas, no utilice nombres que comiencen por ShieldMitigationRuleGroup. Shield Advanced utiliza esta cadena para gestionar las mitigaciones automáticas.
Al administrar sus reglas de ACL web, no asigne una configuración de prioridad de 10.000.000. Shield Advanced asigna esta configuración de prioridad a su regla del grupo de reglas de mitigación automática cuando la agrega.
Mantenga la prioridad de la regla ShieldMitigationRuleGroup en relación con las demás reglas de su ACL web para que se ejecute cuando desee. Shield Advanced añade la regla del grupo de reglas a la ACL web con una prioridad de 10.000.000 para que se ejecute después de las demás reglas. Si usa el asistente de la consola de AWS WAF para administrar su ACL web, ajuste la configuración de prioridad según sea necesario después de agregar reglas a la ACL web.
Si las utiliza AWS CloudFormation para administrar sus ACL web, no necesita administrar la regla ShieldMitigationRuleGroup del grupo de reglas. Siga las instrucciones de Uso de AWS CloudFormation con la mitigación automática de DDoS en la capa de aplicación.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Automatización de la mitigación de DDoS en la capa de aplicación

Habilitación de la mitigación automática