FAQ sur AWS Shield

Questions d’ordre général

AWS Shield Advanced renforce la protection de vos applications s'exécutant sur les ressources protégées Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, et Route 53 contre les attaques de plus grande ampleur et plus sophistiquées. La protection AWS Shield Advanced fournit une surveillance toujours active et basée sur les flux du trafic réseau et une surveillance active des applications pour proposer des notifications quasiment en temps réel des incidents par déni de service distribué soupçonnés. AWS Shield Advanced utilise également des techniques avancées de routage et d'atténuation des attaques pour atténuer automatiquement les attaques. Les clients qui ont souscrit à un plan de support Business ou Enterprise peuvent également interagir avec l'équipe Shield Response Team (SRT) 24h/24 et 7j/7 afin de gérer et d'atténuer les attaques DDoS ciblant leur couche d'applications. La protection contre les coûts DDoS pour la mise à l'échelle met votre facture AWS à l'abri des frais plus élevés dus aux pics d'utilisation des ressources protégées Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53 lors d'une attaque DDoS.

Oui. Toutes les fonctionnalités de détection et de limitations d'impact d'AWS Shield fonctionnent avec les protocoles IPv6 et IPv4 sans aucun changement perceptible au niveau des performances, de la scalabilité ou de la disponibilité du service.

AWS Shield Standard est disponible sur tous les services AWS dans toutes les régions AWS et sur tous les emplacements périphériques AWS du monde entier.

Pour plus d’informations sur la disponibilité régionale d’AWS Shield Standard, consultez la section relative aux produits et services régionaux.

La version avancée d'AWS Shield est disponible sur tous les emplacements périphériques Amazon CloudFront, AWS Global Accelerator et Amazon Route 53 du monde entier. Vous pouvez protéger vos applications web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Les serveurs d'origine peuvent être de type Amazon Simple Storage Service (S3), Amazon EC2, Elastic Load Balancing ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer AWS Shield Advanced directement sur Elastic Load Balancing ou Amazon EC2 dans les régions AWS suivantes : Virginie du Nord, Ohio, Oregon, Californie du Nord, Montréal, São Paulo, Irlande, Francfort, Londres, Paris, Stockholm, Singapour, Tokyo, Sydney, Séoul, Mumbai, Milan, Le Cap, Hong Kong, Bahreïn, Malaisie et Émirats arabes unis.

Pour des informations à jour sur la disponibilité régionale d’AWS Shield Advanced, consultez la section relative aux produits et services régionaux.

Oui, AWS a étendu son programme de conformité HIPAA et comprend désormais AWS Shield en tant que service éligible HIPAA. Si vous disposez d'un accord de partenariat (BAA) exécuté avec AWS, vous pouvez utiliser AWS Shield pour protéger les applications Web exécutées sur AWS contre les attaques par déni de service distribué (DDoS). Pour plus d'informations, consultez la section relative à la conformité à la loi HIPAA.

Configuration des protections

AWS Shield Standard protège automatiquement les applications Web s'exécutant sur AWS contre les attaques ciblant la couche d’infrastructure les plus fréquentes, notamment les flux UDP, et les attaques de type « state exhaustion », comme les flux TCP SYN. Les clients peuvent également utiliser AWS WAF pour se prémunir des attaques visant la couche d'application, comme les flux HTTP POST ou GET. Vous trouverez davantage d’informations sur le déploiement de protections de couche d’application dans le Guide du développeur AWS WAF et AWS Shield Advanced.

Aucune limite ne s'applique au nombre de ressources soumises à la protection AWS Shield Standard. Vous pouvez bénéficier de tous les avantages qu’offrent les protections AWS Shield Standard en suivant les bonnes pratiques en matière de résilience DDoS sur AWS.

Vous pouvez activer jusqu'à 1 000 ressources AWS pour chaque type de ressource pris en charge (équilibreurs de charge d'application/classiques, distributions Amazon CloudFront, zones d'hébergement Amazon Route 53, adresses IP Elastic, accélérateurs AWS Global Accelerator) pour la protection AWS Shield Advanced. Si vous souhaitez activer plus de 1 000 ressources, vous pouvez demander une augmentation de la limite en créant un dossier AWS Support.

En général, l'impact de 99 % des attaques ciblant la couche d'infrastructure détectées par AWS Shield est réduit en moins d'une seconde si elles visent Amazon CloudFront et Amazon Route 53 et en moins de 5 minutes si elles visent Elastic Load Balancing. Les 1 % d'attaques ciblant l'infrastructure restants voient généralement leur impact limité en moins de 20 minutes. L'impact des attaques visant la layer d'application est limité en rédigeant des règles sur AWS WAF, qui sont examinées et modérées en ligne avec le trafic entrant.

Oui, un certain nombre de nos clients choisissent d'utiliser les points de terminaison AWS devant leurs instances backend. Le plus souvent, ces points de terminaison sont nos services CloudFront et Route 53 distribués à l'échelle mondiale. Ces services font également partie de nos suggestions de bonnes pratiques pour la résilience DDoS. Les clients peuvent protéger ces distributions CloudFront et zones hébergées par Route 53 avec Shield Advanced. Veuillez noter que vous devez verrouiller leurs ressources backend pour accepter uniquement le trafic provenant de ces points de terminaison AWS.

Réponse aux attaques

AWS Shield Advanced gère la réduction de l'impact des attaques DDoS ciblant les couches 3 et 4. Vos applications sont ainsi protégées des attaques comme les flux UDP ou les flux TCP SYN. De plus, AWS Shield Advanced peut détecter des attaques, telles que les flux HTTP et DNS, qui ciblent la couche d'applications (couche 7). Vous pouvez utiliser AWS WAF pour appliquer vos propres mécanismes d'atténuation. Ou, si vous disposez d'un plan de support Business ou Enterprise, vous pouvez contacter 24 h/24 et 7 j/7 l'équipe AWS Shield Response Team (SRT), qui peut rédiger des règles à votre place pour limiter l'impact des attaques DDoS ciblant la couche 7.

Oui, vous avez besoin d'un plan de support Business ou Enterprise pour vous adresser directement à l'équipe AWS Shield Response Team (SRT) ou pour échanger avec elle. Consultez le site web AWS Support pour en savoir plus sur les formules AWS Support.

Les temps de réponse de l'équipe SRT dépendent du plan AWS Support auquel vous êtes abonné. Nous prenons toutes les mesures raisonnables pour répondre à votre demande initiale dans les délais impartis. Consultez le site web AWS Support pour en savoir plus sur les formules AWS Support.

Visibilité et rapports

Oui. Avec AWS Shield Advanced, vous recevez des notifications d'attaques DDoS via les métriques CloudWatch.

Oui, les clients AWS Shield Advanced ont accès au tableau de bord de l'environnement de menace globale, qui fournit une vue anonymisée et échantillonnée de toutes les attaques DDoS observées sur AWS au cours des 2 dernières semaines.

AWS WAF offre deux manières différentes de voir comment votre site Web est protégé : des mesures à une fréquence d'une minute sont disponibles dans CloudWatch et des échantillons de requêtes web sont mis à votre disposition dans l'API AWS WAF ou la Console de gestion AWS. De plus, vous pouvez activer des journaux complets, qui sont distribués via Amazon Kinesis Firehose vers la destination de votre choix. Vous pouvez ainsi vérifier quelles requêtes ont été bloquées, autorisées ou décomptées et quelle règle a été assortie à une requête donnée (par exemple, cette requête web a été bloquée à cause d'une condition concernant l'adresse IP, etc.). Pour plus d’informations, consultez le Guide du développeur AWS WAF et AWS Shield Advanced.

Veuillez consulter test de pénétration sur AWS. Toutefois, cela n'inclut pas de « test de charge DDoS », lequel n'est pas autorisé sur AWS. Si vous souhaitez effectuer un test DDoS en direct, vous pouvez demander l'autorisation à cet effet en créant un dossier via AWS Support. L'autorisation pour ce test implique un accord sur les conditions du test entre AWS, le client et le fournisseur de tests DDoS. Veuillez noter que nous travaillons uniquement avec des fournisseurs de tests DDoS agréés et que l'ensemble du processus dure entre trois et quatre semaines.

Facturation

AWS Shield Standard est intégré aux services AWS que vous utilisez déjà pour vos applications Web. Par conséquent, aucuns frais supplémentaires ne s'appliquent à l'utilisation d'AWS Shield Standard.

Avec AWS Shield Advanced, vous payez des frais mensuels de 3 000 USD par organisation. En outre, vous payez également des frais d'utilisation pour le transfert des données AWS Shield Advanced pour les ressources AWS activées dans le cadre de la protection avancée. Les frais facturés pour l'utilisation d'AWS Shield Advanced s'ajoutent aux frais standard appliqués sur Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53. Pour en savoir plus, consultez la page tarification AWS Shield.

Si votre organisation possède plusieurs comptes AWS, vous pouvez abonner plusieurs comptes AWS à AWS Shield Advanced en l'activant individuellement sur chaque compte à l'aide de la Console de gestion AWS ou de l'API. Vous payez les frais mensuels tant que les comptes AWS dépendent tous d'une seule facturation consolidée, et vous possédez tous les comptes AWS et les ressources qui s'y trouvent.