Geral
O AWS Shield é um serviço gerenciado que fornece proteção contra ataques distribuídos de negação de serviço (DDoS) para os aplicativos executados na AWS. O AWS Shield Standard é habilitado automaticamente a todos os clientes da AWS sem custo adicional. O AWS Shield Advanced é um serviço pago opcional. O AWS Shield Advanced oferece proteções adicionais contra ataques maiores e mais sofisticados para aplicações executadas no Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Route 53.
P. O que é o AWS Shield Standard?
O AWS Shield Standard oferece a todos os clientes da AWS proteção contra ataques comuns e mais frequentes à infraestrutura (camadas 3 e 4), como floods de SYN/UDP, ataques de reflexão e outros tipos de ataque, proporcionando alta disponibilidade aos aplicativos na AWS.
P: O que é o AWS Shield Advanced?
O AWS Shield Advanced oferece melhor proteção contra ataques maiores e mais sofisticados para aplicativos executados nos recursos protegidos do Amazon EC2, do Elastic Load Balancing (ELB), do Amazon CloudFront, do AWS Global Accelerator e do Route 53. A proteção do AWS Shield Advanced oferece monitoramento sempre ativo com base no fluxo do tráfego de rede e monitoramento ativo de aplicativos para provisionar notificações de incidentes suspeitos de ataques de DDoS em tempo quase real. O AWS Shield Advanced também emprega técnicas avançadas de mitigação e roteamento de ataques para mitigar ataques automaticamente. Clientes com suporte Business ou Enterprise também podem acionar o Shield Response Team (SRT) 24 horas por dia, 7 dias na semana, para gerenciar e mitigar ataques de DDoS na camada de aplicações. A proteção contra custos de ataques de DDoS para escalabilidade protege sua fatura da AWS contra o aumento de taxas resultante de picos de uso do Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53 durante um ataque de DDoS.
P: O que é a proteção contra custos de ataques de DDoS para escalabilidade?
O AWS Shield Advanced inclui a proteção contra custos de ataques de DDoS, uma proteção contra o aumento da cobrança de escalabilidade resultante de picos de uso dos recursos protegidos do Amazon EC2, do Elastic Load Balancing (ELB), do Amazon CloudFront, do AWS Global Accelerator ou do Amazon Route 53. Se qualquer um dos recursos protegidos pelo AWS Shield Advanced aumentar a escala como resposta a um ataque de DDoS, você poderá solicitar créditos por meio do canal normal do AWS Support.
P: Posso usar o AWS Shield para proteger sites que não estão hospedados na AWS?
Sim, o AWS Shield está integrado com o Amazon CloudFront, que permite origens personalizadas fora da AWS.
P: Posso usar o IPv6 com todos os recursos do AWS Shield?
Sim. Todas as detecções e mitigações do AWS Shield funcionam com IPv6 e IPv4, sem qualquer alteração perceptível de desempenho, escalabilidade ou disponibilidade do serviço.
P: Como faço para testar o AWS Shield?
A política de uso aceitável da AWS descreve o comportamento permitido e proibido na AWS e inclui descrições das proibições de violações de segurança e abuso de rede. No entanto, como geralmente não é possível distinguir o teste de simulação de DDoS, teste de penetração e outros eventos simulados dessas atividades, estabelecemos políticas para que os clientes solicitem uma permissão para conduzir testes de DDoS e de penetração e verificações de vulnerabilidades. Acesse nossa página de teste de penetração e a política de teste de simulação de DDoS para obter mais detalhes.
P: Em quais regiões da AWS o AWS Shield Standard está disponível?
O AWS Shield Standard está disponível em todos os serviços da AWS de cada região da AWS e ponto de presença da AWS em todo o mundo.
Consulte os Produtos e serviços regionais para obter detalhes sobre a disponibilidade do AWS Shield Standard por região.
P: O AWS Shield Advanced está disponível em quais regiões da AWS?
O AWS Shield Advanced está disponível globalmente em todos os pontos de presença do Amazon CloudFront, do AWS Global Accelerator e do Amazon Route 53 em todo o mundo. Você pode proteger suas aplicações Web hospedadas em qualquer lugar do mundo implantando o Amazon CloudFront na frente de sua aplicação. Os servidores de origem podem ser o Amazon Simple Storage Service (S3), Amazon EC2, Elastic Load Balancing ou um servidor personalizado fora da AWS. Você também pode ativar o AWS Shield Avançado diretamente no Elastic Load Balancing ou no Amazon EC2 nas seguintes regiões da AWS: Norte da Virgínia, Ohio, Oregon, Norte da Califórnia, Montreal, São Paulo, Irlanda, Frankfurt, Londres, Paris, Estocolmo, Singapura, Tóquio, Sydney, Seul, Mumbai, Milão, Cidade do Cabo, Hong Kong, Bahrain, Malásia e Emirados Árabes Unidos.
Consulte Produtos e serviços regionais para obter detalhes atualizados sobre a disponibilidade do AWS Shield Avançado por região.
P: O AWS Shield é qualificado para a HIPAA?
Sim. A AWS expandiu seu programa de conformidade com a HIPAA para incluir o AWS Shield como um serviço qualificado para a HIPAA. Se você assinou um acordo de associado comercial (BAA) com a AWS, poderá usar o AWS Shield para proteger aplicativos web executados na AWS contra ataques de negação de serviço distribuída (DDoS). Para obter mais informações, consulte Compatibilidade com a HIPAA.
Configuração de proteções
P. Que tipos de ataque o AWS Shield Standard pode ajudar a evitar?
O AWS Shield Standard oferece proteção automática para aplicativos web executados na AWS contra os ataques na camada de infraestrutura mais comuns, como floods de UDP, e ataques de exaustão de estado, como floods de TCP SYN. Além disso, os clientes podem usar o AWS WAF para obter proteção contra ataques na camada de aplicativo, como floods de HTTP POST ou floods de HTTP GET. Encontre mais detalhes sobre como implantar proteções da camada de aplicativo no Guia do desenvolvedor do AWS WAF and AWS Shield Advanced.
P: Em quantos recursos posso ativar a proteção do AWS Shield Standard?
Não há limite para o número de recursos protegidos pelo AWS Shield Standard. Você pode obter todos os benefícios das proteções do AWS Shield Standard seguindo as práticas recomendadas de resiliência contra DDoS na AWS.
P: Em quantos recursos posso habilitar a proteção do AWS Shield Advanced?
É possível habilitar até mil recursos da AWS de cada tipo de recurso compatível (Classic/Application Load Balancers, distribuições do Amazon CloudFront, zonas de hospedagem do Amazon Route 53, IPs elásticos, aceleradores do AWS Global Accelerator) com a proteção do AWS Shield Advanced. Para habilitar a proteção em mais de mil recursos, faça uma solicitação de aumento de limite abrindo um caso no AWS Support.
P. Posso ativar a proteção do AWS Shield Advanced por meio de uma API?
Sim. O AWS Shield Advanced pode ser ativado por meio de APIs. Também é possível adicionar ou remover recursos da AWS da proteção do AWS Shield Advanced usando APIs.
P: Com que rapidez os ataques são mitigados?
Normalmente, 99% dos ataques na camada de infraestrutura detectados pelo AWS Shield são mitigados em menos de um segundo no Amazon CloudFront e no Amazon Route 53, e em menos de cinco minutos no Elastic Load Balancing. O 1% restante dos ataques de infraestrutura é normalmente mitigado em menos de 20 minutos. Os ataques na camada de aplicativos são mitigados pela criação de regras no AWS WAF, inspecionadas e mitigadas em linha com o tráfego de entrada.
P: Posso proteger recursos fora da AWS?
Sim. Vários dos nossos clientes optam por usar endpoints da AWS na frente de instâncias de backend. Na situação mais comum, esses endpoints são nossos serviços distribuídos globalmente do CloudFront e Route 53. Esses serviços também são a nossa sugestão de melhores práticas para resiliência contra DDoS. Os clientes podem proteger essas distribuições do CloudFront e zonas hospedadas do Route 53 com o Shield Advanced. Você precisa bloquear os recursos de back-end para aceitar tráfego apenas desses endpoints da AWS.
Resposta a ataques
P: Quais as ferramentas oferecidas pelo AWS Shield Standard para mitigar ataques de DDoS?
O AWS Shield Standard protege automaticamente aplicativos web executados na AWS contra os ataques de DDoS mais comuns e frequentes. Você pode obter todos os benefícios do AWS Shield Standard seguindo as melhores práticas de resiliência contra DDoS na AWS.
P: Quais as ferramentas oferecidas pelo AWS Shield Advanced para mitigar ataques de DDoS?
O AWS Shield Advanced gerencia a mitigação de ataques de DDoS nas camadas 3 e 4. Isso significa que seus aplicativos designados são protegidos contra ataques como os floods de UDP ou os floods de TCP SYN. Além disso, para ataques na camada de aplicações (camada 7), o AWS Shield Advanced pode detectar ataques como os floods de HTTP e os floods de DNS. É possível usar o AWS WAF para aplicar suas próprias mitigações ou, se você contar com o suporte Business ou Enterprise, acionar o AWS Shield Response Team (SRT) 24 horas, 7 dias na semana, para criar regras de mitigação de ataques de DDoS na camada 7 para você.
P: Preciso de um plano de suporte especial para entrar em contato com o AWS Shield Response Team?
Sim, você precisa de um plano de suporte Business ou Enterprise para escalar ou interagir com o AWS Shield Response Team (SRT). Consulte o site do AWS Support para obter mais detalhes sobre os planos do AWS Support.
P: Como faço para entrar em contato com o AWS Shield Response Team?
Você pode acionar o AWS Shield Response Team (SRT) por meio do suporte regular da AWS ou entrar em contato com o AWS Support.
P: Com que rapidez posso acionar o AWS Shield Response Team (SRT)?
Os tempos de resposta do SRT dependem do plano de AWS Support que você assinou. Faremos o possível para responder à sua solicitação inicial nos tempos previstos. Consulte o site do AWS Support para obter mais detalhes sobre os planos do AWS Support.
Visibilidade e relatórios
P: O AWS Shield notifica sobre a ocorrência de ataques?
Sim. Com o AWS Shield Advanced, você será notificado sobre ataques de DDoS por meio de métricas do CloudWatch.
P. Com que rapidez receberei uma notificação de ataque?
Normalmente, o AWS Shield Advanced notifica sobre a ocorrência de um ataque poucos minutos após a detecção.
P: Posso obter um histórico de todos os ataques de DDoS em meus recursos da AWS?
Sim. Com o AWS Shield Advanced, você poderá ver o histórico de todos os incidentes nos últimos 13 meses.
P: Posso ver os ataques na AWS?
Sim, os clientes do AWS Shield Advanced obtêm acesso ao painel do ambiente de ameaças global, que fornece uma visualização anônima e com amostras de todos os ataques de DDoS vistos na AWS nas últimas duas semanas.
P: Como posso verificar se as regras do AWS WAF estão funcionando?
O AWS WAF conta com duas maneiras diferentes de verificar como seu site está sendo protegido: métricas de um minuto são disponibilizadas no CloudWatch e exemplos de solicitações da Web são disponibilizados na API do AWS WAF ou no Console de Gerenciamento da AWS. Além disso, você pode habilitar logs abrangentes que são entregues pelo Amazon Kinesis Firehose para um destino de sua preferência. Essas opções permitem que você veja quais solicitações foram bloqueadas, permitidas ou contadas, e qual regra foi utilizada em uma determinada solicitação (por exemplo, esta solicitação da Web foi bloqueada devido a uma condição de endereço IP etc.). Para obter mais informações, consulte o Guia do desenvolvedor do AWS WAF e AWS Shield Advanced.
P: Preciso realizar um teste de penetração para avaliar o serviço e meu aplicativo. Qual é o procedimento aprovado?
Consulte Teste de penetração na AWS. No entanto, isso não inclui um “teste de carga de DDoS”, que não é autorizado na AWS. Se você quiser fazer um teste de DDoS em produção, poderá solicitar aprovação criando um tíquete no AWS Support. A aprovação envolve a concordância entre a AWS, o cliente e o fornecedor de testes de DDoS sobre as condições do teste. Trabalhamos apenas com fornecedores de testes de DDoS aprovados, e o processo completo demora de três a quatro semanas.
Faturamento
P: Como sou cobrado pelo AWS Shield Standard?
O AWS Shield Standard é incorporado aos serviços da AWS que você já usa para aplicativos web. Não há custos adicionais para o AWS Shield Standard.
P: Como sou cobrado pelo AWS Shield Advanced?
Com o AWS Shield Advanced, você paga uma taxa mensal de 3.000 USD por mês por organização. Além disso, você paga as taxas de uso de transferência de dados do AWS Shield Advanced para os recursos da AWS que contam com a proteção avançada. As cobranças do AWS Shield Advanced são adicionadas às taxas padrão do Amazon EC2, do Elastic Load Balancing (ELB), do Amazon CloudFront, do AWS Global Accelerator e do Amazon Route 53. Visite a página de definição de preço do AWS Shield para obter mais detalhes.
P: Posso escolher proteger somente alguns dos meus recursos com o AWS Shield Advanced?
Sim, o AWS Shield Advanced permite a flexibilidade de escolher os recursos que você gostaria de proteger. Você será cobrado somente pela transferência de dados do AWS Shield Advanced nesses recursos protegidos.
P: Como posso habilitar o AWS Shield Advanced em várias contas da AWS?
Se sua organização tiver várias contas da AWS, você poderá assinar várias contas da AWS no AWS Shield Advanced, habilitando-o individualmente em cada conta usando o Console de Gerenciamento da AWS ou a API. A taxa mensal será paga uma vez, desde que as contas da AWS estejam todas em um único faturamento consolidado e desde que você seja proprietário de todas as contas e todos os recursos da AWS dessas contas.
Saiba mais sobre a definição de preço do AWS Shield