HTTP DDoS Conjunto de reglas gestionadas de protección contra ataques
El conjunto de reglas gestionado CIS HTTP DDoS Attack Protection es un conjunto de reglas preconfiguradas diseñadas para detectar y mitigar vectores de ataque conocidos de Capa 7 (capa de aplicación) DDoS en toda la red global CIS.
Actualmente, el conjunto de reglas HTTP DDoS Attack Protection sólo está disponible mediante la API CIS.
El conjunto de reglas gestionadas ayuda a proteger contra:
- Patrones y herramientas de ataque conocidos de DDoS
- Comportamiento sospechoso de las solicitudes
- Violaciones del protocolo
- Solicitudes que generan excesivos errores de origen
- Inundaciones de tráfico dirigidas al origen o a la caché
- Otros vectores de ataque en la capa de aplicación
El conjunto de reglas gestionadas HTTP DDoS Attack Protection siempre está activado para todos los clientes de CIS y no se puede desactivar. Sin embargo, puede personalizar la forma en que el conjunto de reglas responde a los ataques detectados.
El conjunto de reglas también proporciona visibilidad de los ataques de Capa 7 DDoS mitigados por CIS, lo que le permite revisar tanto la actividad de ataque activa como la histórica.
Configuración de conjunto de reglas
Si espera grandes volúmenes de tráfico legítimo, puede personalizar la configuración de HTTP DDoS Attack Protection para reducir los falsos positivos, en los que las solicitudes legítimas se detectan incorrectamente como tráfico de ataque y se bloquean o cuestionan.
Puede ajustar el comportamiento de las reglas en el conjunto de reglas gestionado modificando los siguientes parámetros:
- La acción realizada cuando se detecta un ataque.
- El nivel de sensibilidad de los mecanismos de detección de ataques.
Determinadas acciones y niveles de sensibilidad sólo están disponibles en planes específicos de CIS.
Actualmente, puede definir anulaciones a nivel de cuenta para el conjunto de reglas gestionadas HTTP DDoS Attack Protection sólo a través de la API.
Para ajustar el comportamiento de las reglas, utilice las API del conjunto de reglas con la fase ddos_l7.
Disponibilidad
El conjunto de reglas gestionadas HTTP DDoS Attack Protection protege a los clientes de CIS en todos los planes y se aplica a todas las zonas. Los clientes pueden configurar el conjunto de reglas tanto a nivel de zona como de cuenta.
Los clientes de los planes Enterprise pueden crear hasta 10 anulaciones (o hasta 10 reglas al utilizar la API) con expresiones personalizadas para adaptar la protección de DDoS a las distintas categorías de solicitudes entrantes.
Los clientes de los planes Estándar sólo pueden crear una anulación y no pueden personalizar la expresión de la regla. En este caso, la anulación única (que contiene uno o más ajustes de configuración) se aplica a todas las solicitudes entrantes.
Parámetros
Configure el conjunto de reglas gestionado HTTP DDoS Attack Protection para cambiar la acción que se aplica a un ataque determinado o modificar el nivel de sensibilidad del mecanismo de detección.
Puede definir anulaciones mediante la API de conjuntos de reglas.
Los siguientes parámetros están disponibles en el conjunto de reglas gestionadas HTTP DDoS Attack Protection:
- Acción
- Nivel de confidencialidad
Acción
Nombre de la propiedad API: action.
La acción determina cómo CIS gestiona las solicitudes de HTTP que coinciden con las reglas del conjunto de reglas gestionado HTTP DDoS Attack Protection.
| Acción | Valor API | Descripción |
|---|---|---|
| Bloquear | block |
Bloquea las solicitudes de HTTP que coincidan con la expresión de la regla. |
| Reto gestionado | managed_challenge |
|
| Reto interactivo | challenge |
Presenta un desafío interactivo a los clientes que realizan solicitudes a HTTP que coinciden con la expresión de la regla. |
| Registro | log |
Disponible sólo en planes Enterprise con Advanced DDoS Protection. Registra las solicitudes que coinciden con la expresión de una regla que detecta ataques HTTP DDoS. Recomendado para validar una regla antes de emprender una acción más severa. |
| Cierre de conexión | No aplicable (acción de regla interna que no se puede utilizar en anulaciones) | Indica al cliente que establezca una nueva conexión desactivando keep-alive, en lugar de reutilizar la conexión existente. Las solicitudes existentes no se verán afectadas. |
| Forzar cierre de conexión | No aplicable (acción de regla interna que no se puede utilizar en anulaciones). |
|
| DDoS Dinámico | No aplicable (acción de regla interna que no se puede utilizar en anulaciones). | Realiza una acción específica de acuerdo con un conjunto de directrices internas definidas por CIS. La acción ejecutada puede ser una de las acciones enumeradas u otra mitigación no revelada. |
Nivel de confidencialidad
Nombre de la propiedad API: sensitivity_level.
El nivel de sensibilidad define la agresividad con la que la regla detecta los ataques ajustando los umbrales de mitigación:
- Una mayor sensibilidad utiliza umbrales más bajos y detecta los ataques de forma más agresiva.
- La sensibilidad baja utiliza umbrales más altos y es menos agresiva.
Los niveles de sensibilidad disponibles son:
| Valor de IU | Valor API |
|---|---|
| Alto | default |
| Medio | medium |
| Bajo | low |
| Fundamentalmente desactivado | eoff |
El nivel de sensibilidad por defecto es Alto.
Si selecciona Esencialmente desactivado, la regla no suele activar acciones de mitigación, incluido el registro. Sin embargo, si un ataque alcanza una escala excepcional, los sistemas de protección de CIS seguirán aplicando mitigaciones para proteger la red CIS.
Al seleccionar Esencialmente desactivado se establece un nivel de sensibilidad extremadamente bajo. En la mayoría de los casos, el tráfico no se mitiga, pero los ataques excepcionalmente grandes siguen mitigándose para mantener la estabilidad de la red.
La sensibilidad controla si el tráfico se detecta como un ataque. La acción controla lo que ocurre cuando se detecta un ataque.
Si selecciona Registrar, las solicitudes se registran y se muestran en el panel de control sin atenuantes. Al igual que en Esencialmente desactivado, los ataques excepcionalmente grandes siguen mitigándose para proteger la red CIS.
Categorías de reglas
Las reglas gestionadas de HTTP DDoS Attack Protection se agrupan en las siguientes categorías (etiquetas) basadas en el tipo de tráfico y el comportamiento de mitigación.
| Nombre | Descripción |
|---|---|
botnets |
Reglas que detectan solicitudes procedentes de redes de bots conocidas. Estas reglas tienen una precisión de detección muy alta y un bajo riesgo de falsos positivos. Se recomienda mantener estas reglas activadas. |
unusual-requests |
Reglas que identifican solicitudes con características sospechosas que no suelen observarse en el tráfico legítimo. |
advanced |
Reglas asociadas a las funciones disponibles para los clientes Enterprise. |
generic |
Reglas que detectan y mitigan las avalanchas de solicitudes. Estas reglas son efectivas contra ataques sin firmas conocidas, pero también pueden activarse durante volúmenes inusualmente altos de tráfico legítimo. Para reducir el riesgo de falsos positivos, estas reglas utilizan un umbral de activación de solicitudes por segundo (rps) más alto. Por defecto, estas reglas limitan o impugnan el tráfico, pero puede anularlas para bloquear el tráfico si es necesario. |
read-only |
Reglas muy específicas diseñadas para mitigar los ataques de DDoS con un alto índice de confianza. Estas normas son read-only. No se puede anular su nivel de sensibilidad ni su acción. |
test |
Reglas utilizadas para probar las capacidades de detección, mitigación y alerta de los productos de protección de CIS DDoS. |