AWS Shield est un service de protection DDoS (déni de service distribué) géré qui protège les applications s'exécutant sous AWS. Il assure une détection dynamique et une atténuation automatique des risques pour minimiser les temps d'arrêt et la latence des applications, afin qu'il ne soit pas nécessaire d'avoir recours à AWS Support pour bénéficier de la protection DDoS. Deux niveaux d'AWS Shield sont proposés : Standard et Advanced.
Tous les clients AWS bénéficient des protections automatiques d'AWS Shield Standard, sans frais supplémentaires. AWS Shield Standard protège contre les attaques de déni de services DDoS les plus courantes et les plus fréquemment rencontrées sur les couches de réseau et de transport qui ciblent vos applications ou votre site web. Lorsque vous utilisez AWS Shield Standard avec Amazon CloudFront et Amazon Route 53, vous bénéficiez d'une protection de disponibilité complète contre toutes les attaques d'infrastructure (couches 3 et 4) connues.
AWS Shield Standard assure une surveillance continue du flux du réseau qui inspecte le trafic entrant vers les services AWS et applique une combinaison de signatures de trafic, d'algorithmes d'anomalie et d'autres techniques d'analyse pour détecter le trafic malveillant en temps réel. Shield Standard fixe des seuils statiques pour chaque type de ressource AWS, mais ne fournit pas de protection personnalisée à vos applications.
Des techniques d'atténuation automatisées sont intégrées à AWS Shield Standard, offrant aux services AWS sous-jacents une protection contre les attaques courantes et fréquentes des infrastructures. Les atténuations automatiques étant appliquées en ligne pour protéger les services AWS, il n'existe aucun impact sur la latence. Shield Standard utilise des techniques comme le filtrage déterministe des paquets et la mise en forme du trafic en fonction des priorités pour atténuer automatiquement les attaques de la couche réseau de base.
Pour obtenir des niveaux de protection supérieurs contre les attaques ciblant vos applications s'exécutant sur des ressources Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53, vous pouvez souscrire un abonnement à AWS Shield Advanced. Outre les protections des couches réseau et de transport fournies avec la version standard, Shield Advanced fournit davantage de fonctions de détection et d'atténuation des risques contre les attaques DDoS plus vastes et complexes, une visibilité quasiment en temps réel des attaques, et l'intégration à AWS WAF, un pare-feu pour applications Web. Shield Advanced vous permet également d’avoir accès 24 h/24 et 7 j/7 à l’équipe de support AWS Shield Response Team (SRT), et de bénéficier de la protection contre les pics associés aux événements DDoS dans vos frais EC2, ELB, CloudFront, Global Accelerator et Route 53.
AWS Shield Advanced fournit une détection personnalisée basée sur des modèles de trafic à votre adresse IP élastique, à ELB, à CloudFront, à Global Accelerator ou aux ressources Route 53. Grâce aux techniques supplémentaires de surveillance adaptées aux ressources et aux régions, Shield Advanced détecte les attaques DDoS plus discrètes et vous en informe. Shield Advanced détecte également les attaques de la couche application telles que les inondations HTTP ou les inondations de requêtes DNS en basant le trafic sur votre application et en identifiant les anomalies.
AWS Shield Advanced utilise l'état de vos applications pour améliorer la réactivité et la précision dans la détection et l'atténuation des attaques. Vous pouvez définir une surveillance de l'état dans Route 53 et l'associer à une ressource protégée par Shield Advanced via la console ou l'API. Ainsi, Shield Advanced peut détecter les attaques ayant un impact sur l'état de votre application plus rapidement et à des seuils de trafic plus bas, améliorant ainsi la résilience aux attaques DDoS de votre application et empêchant les fausses notifications positives. Le statut de l'état de la ressource est également accessible à l'équipe SRT afin qu'elle puisse hiérarchiser de manière appropriée la réponse aux applications malsaines. Vous pouvez appliquer la détection basée sur l'état à tous les types de ressources que Shield Advanced prend en charge, à savoir les adresses IP Elastic, ELB, CloudFront, Global Accelerator et Route 53.
AWS Shield Advanced fournit d'autres atténuations automatiques plus sophistiquées pour les attaques ciblant vos applications s'exécutant sur des ressources protégées EC2, ELB, CloudFront, Global Accelerator et Route 53. Grâce à des techniques de routage avancées, Shield Advanced déploie automatiquement des fonctionnalités d'atténuation supplémentaires pour protéger votre application contre les attaques DDoS. Pour les clients disposant d'un support Business ou Enterprise, l'équipe SRT applique également des mesures d'atténuation manuelles pour les attaques DDoS plus complexes et sophistiquées qui pourraient être propres à votre application. Pour les attaques au niveau de la couche applicative, vous pouvez utiliser AWS WAF sans frais supplémentaires pour les ressources protégées par Shield Advanced afin de configurer des règles proactives (telles que le blocage basé sur le taux afin d'empêcher automatiquement les requêtes web d'attaquer les adresses IP sources) ou de répondre immédiatement aux incidents dès qu'ils se produisent. Vous pouvez également contacter directement l'équipe SRT pour qu'elle fixe des règles AWS WAF personnalisées pour vous en réponse à une attaque DDoS de la couche applicative. L'équipe SRT diagnostique l'attaque et, avec votre autorisation, applique des mesures d'atténuation pour vous, réduisant ainsi la durée pendant laquelle vos applications pourraient être affectées par une attaque DDoS en cours.
AWS Shield Advanced peut automatiquement protéger les applications web en atténuant les événements DDoS de la couche applicative (C7) sans intervention manuelle de votre part ni de la part de l'équipe AWS SRT. Shield Advanced peut créer des règles WAF dans vos WebACL pour atténuer automatiquement une attaque, ou vous pouvez les activer en mode comptage uniquement. Cela vous permet de répondre rapidement aux événements DDoS afin d'éviter une période d'indisponibilité de l'application à la suite d'une attaque DDoS sur la couche applicative.
AWS Shield Advanced fournit un engagement proactif de l’équipe de support SRT lorsqu’un événement DDoS est détecté. Lorsque vous activez l'engagement proactif, l'équipe SRT vous contacte directement si une surveillance de l'état Route 53 associée à votre ressource protégée détecte l'état malsain lors d'un événement DDoS. Ainsi, vous pouvez entrer en contact avec des experts plus rapidement lorsque la disponibilité de votre application est affectée par une attaque suspecte. L'intervention proactive est disponible pour les événements de la couche transport et réseau sur les adresses IP Elastic et des accélérateurs Global Accelerator, ainsi que pour les attaques de la couche application dans les distributions CloudFront et Application Load Balancer ( les équilibreurs de charge d'application).
AWS Shield Advanced vous permet de regrouper les ressources dans des groupes de protection, vous offrant ainsi un moyen en libre-service de personnaliser l'étendue de la détection et de l'atténuation de votre application en traitant plusieurs ressources comme une seule unité. Le regroupement de ressources améliore la fiabilité de détection, réduit les faux positifs, simplifie la protection automatique des ressources nouvellement créées et réduit le délai d'atténuation des attaques portées contre plusieurs ressources. Par exemple, si une application se compose de quatre distributions CloudFront, vous pouvez leur ajouter un groupe de protection à des fins de détection et de protection pour l'ensemble des ressources. Les rapports peuvent également être consommés au niveau du groupe de protection, ce qui offre une vision plus holistique de l'état général des applications.
AWS Shield Advanced offre une visibilité totale sur les attaques DDoS, avec une notification en temps quasi réel via Amazon CloudWatch et des diagnostics détaillés sur la console AWS WAF et AWS Shield ou les API. Vous pouvez également afficher un résumé des attaques antérieures depuis la console.
AWS Shield Advanced intègre la protection contre les coûts DDoS. Il s'agit d'une mesure destinée à empêcher des attaques DDoS de générer des surcoûts en provoquant des pics d'utilisation des ressources EC2, ELB, CloudFront, Global Accelerator et Route 53 protégées. Si l'une ou l'autre de ces ressources protégées se met à augmenter en réponse à une attaque DDoS, vous pouvez demander des crédits Shield Advanced via votre support AWS habituel.
Pour les clients bénéficiant des plans de support Business ou Enterprise, AWS Shield Advanced vous donne accès à l’équipe de support SRT 24 h/24 et 7 j/7. Vous pouvez la contacter à tout moment : avant, pendant ou après une attaque DDoS. L'équipe SRT trie les incidents, identifie les causes racines et applique des mesures d'atténuation pour vous. L'équipe SRT a une grande expertise pour réagir et atténuer rapidement les attaques DDoS chez les clients AWS.
AWS Shield Advanced est disponible sur tous les emplacements périphériques CloudFront, Global Accelerator et Route 53. Vous pouvez protéger vos applications Web hébergées n'importe où dans le monde en déployant CloudFront devant votre application. Les serveurs d'origine peuvent être de type Amazon Simple Storage Service (S3), EC2, ELB ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer des protections directement sur des adresses IP Elastic ou des instances ELB dans toutes les régions AWS où Shield Advanced est disponible.
Les clients AWS Shield Advanced peuvent utiliser AWS Firewall Manager pour appliquer des protection Shield Advanced et AWS WAF dans l'ensemble de leur organisations. Le coût de Firewall Manager est inclus dans les frais d'abonnement à Shield Advanced. Avec Firewall Manager, vous pouvez configurer automatiquement des stratégies qui protègent plusieurs comptes et ressources. Firewall Manager audite automatiquement les comptes pour rechercher les ressources nouvelles ou non protégées, et vérifie que Shield Advanced et AWS WAF sont appliqués universellement. Ainsi, les développeurs peuvent agir rapidement et déployer de nouvelles applications avec la certitude que les protections appropriées seront automatiquement appliquées. Pour en savoir plus sur ce service de gestion de la sécurité, consultez la section AWS Firewall Manager.