AWS Shield 功能
為何選擇 AWS Shield?
AWS Shield 是一種受管的分散式拒絕服務 (DDoS) 保護服務,可保護 AWS 上執行的應用程式不受攻擊。其提供動態偵測服務和自動的內嵌風險降低功能,可將應用程式停機與延遲時間縮到最短,因此您無須聯絡 AWS Support 也能輕鬆享受 DDoS 保護。AWS Shield 有兩種方案:Standard 與 Advanced。
AWS Shield 是一種受管的分散式拒絕服務 (DDoS) 保護服務,可保護 AWS 上執行的應用程式不受攻擊。其提供動態偵測服務和自動的內嵌風險降低功能,可將應用程式停機與延遲時間縮到最短,因此您無須聯絡 AWS Support 也能輕鬆享受 DDoS 保護。AWS Shield 有兩種方案:Standard 與 Advanced。
所有 AWS 客戶都能使用 AWS Shield Standard 提供的自動保護,無須額外付費。AWS Shield Standard 可保護您的網站或應用程式,免於常見且經常發生的網路與傳輸層 DDoS 攻擊。當您將 AWS Shield Standard 與 Amazon CloudFront 和 Amazon Route 53 搭配使用時,可獲得所有已知基礎設施 (Layer 3 和 4) 攻擊的全面可用性保護。
AWS Shield Standard 提供永遠啟用的網路流量監控功能,可檢測連入 AWS 服務的流量,並搭配使用流量簽章、不規則演算法與其他分析技術,即時偵測惡意流量。Shield Standard 針對每種 AWS 資源類型設定靜態閾值,但不為您的應用程式提供任何自訂保護。
自動風險降低技術內建於 AWS Shield Standard 中,可保護基礎 AWS 服務不受常見且經常發生的基礎設施攻擊。內嵌自動風險降低功能以保護 AWS 服務,因此不會有延遲的影響。Shield Standard 採用如決定性封包篩選及依據流量管制設定的優先順序等技術來自動降低基本網路層攻擊。
如果 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 資源上執行的應用程式需要更高水準的攻擊防護,可訂閱 AWS Shield Advanced。除了 Standard 配備的網路與傳輸層保護之外,Shield Advanced 也針對大型精密 DDoS 攻擊提供額外偵測與防護功能,除了能近乎即時地掌握攻擊情況,也整合 Web 應用程式防火牆 AWS WAF。此外,您還可以透過 Shield Advanced 全天候存取 AWS Shield 回應團隊 (SRT),並同時享有與 DDoS 相關的 EC2、ELB、CloudFront、Global Accelerator 或 Route 53 高峰費用保護。
AWS Shield Advanced 會針對您受保護的彈性 IP 地址、ELB、CloudFront、Global Accelerator 和 Route 53 資源的流量模式,提供自訂偵測。使用額外的區域和資源特定的監控技術,Shield Advanced 可以偵測到較小的 DDoS 攻擊並發出警報。透過制訂應用程式流量基準及識別異常現象,Shield Advanced 還能偵測到 HTTP 泛洪或 DNS 查詢泛洪等應用程式層的攻擊。
AWS Shield Advanced 能利用應用程式的運作狀態,提升偵測攻擊和降低損害的回應能力和準確度。您可以透過主控台或 API,設定 Route 53 的運作狀態檢查作業,並將其與 Shield Advanced 保護的資源建立關聯。如此一來,Shield Advanced 便能更快偵測到影響應用程式運作狀態的攻擊,而且減少流量閾值,進而提升應用程式的 DDoS 彈性,並避免誤判通知。資源運作狀態也會提供給 SRT,以便他們確定對不健康應用程式做出回應的優先級。這種以運作狀態為基礎的偵測功能可套用至 Shield Advanced 支援的所有資源類型,包括 Elastic IP、ELB、CloudFront、Global Accelerator 或 Route 53。
AWS Shield Advanced 可提供更精密的自動防護功能,防禦針對在受保護的 EC2、ELB、CloudFront、Global Accelerator 和 Route 53 資源上執行之應用程式的攻擊。Shield Advanced 採用進階路由技術,可自動部署額外的風險防護功能,進而保護您的應用程式免受 DDoS 攻擊。對於擁有商業或企業支援的客戶,SRT 也可針對可能對於您的應用程式特有的更複雜且精密的 DDoS 攻擊提供手動防護。對於應用程式層攻擊,您可以使用 AWS WAF 免費為受 Shield Advanced 保護的資源設定主動式規則,(如基於速率的封鎖,以自動阻止來自攻擊來源 IP 地址的 Web 請求),或在事件發生時立即回應事件。您也可以直接與 SRT 溝通,讓其代您放置自訂 AWS WAF 規則,以因應應用程式層 DDoS 攻擊。SRT 會診斷攻擊,並在您的許可下,可代您運用緩解措施,從而減少持續的 DDoS 攻擊可能影響您應用程式的時間。
AWS Shield Advanced 可以透過減輕應用程式層 (L7) DDoS 事件來自動保護 Web 應用程式,而無需您或 AWS SRT 進行手動干預。Shield Advanced 可以在您的 WebACL 中建立 WAF 規則以自動緩解攻擊,或者您可以在僅計數模式下啟用。這讓您可以快速回應 DDoS 事件,以防止由於應用程式層 DDoS 攻擊而導致應用程式停機。
AWS Shield Advanced 讓 SRT 在偵測到 DDoS 事件時能夠主動參與。啟用主動參與後,如果在 DDoS 事件期間,關聯至您受保護之資源的 Route 53 運作狀態檢查狀況不良時,SRT 會直接聯絡您。如此一來,在應用程式可用性受到可疑攻擊的影響時,您即可更快速地聯繫專家。您現在可以接收下列事件的主動參與:彈性 IP 地址和 Global Accelerator 加速器上的網路層和傳輸層事件,以及 CloudFront 分發和 Application Load Balancer 上的應用程式層攻擊。
AWS Shield Advanced 可讓您將資源捆綁到保護群組中,從而可藉助自助方式,透過將多個資源視為單個單元來自訂應用程式的偵測和風險降低範圍。資源分組可提高偵測的準確性,減少誤報,輕鬆實現新建立資源的自動保護,以及加快降低針對多個資源的攻擊風險。例如,如果一個應用程式包含四個 CloudFront 分發,則可以將它們新增至一個保護群組中,以實現針對整個資源集合的偵測和保護。還可以在保護群組層面使用報告,從而更全面地了解整個應用程式的運行狀況。
AWS Shield Advanced 透過 Amazon CloudWatch 近乎即時的通知和 AWS WAF and AWS Shield 主控台或 API 上的詳細診斷資訊,可讓您完全看清 DDoS 攻擊。您也可以從主控台檢視先前攻擊摘要。
AWS Shield Advanced 自帶「DDoS 費用保護」功能,可針對受保護的 EC2、ELB、CloudFront、Global Accelerator 或 Route 53 資源上的 DDoS 相關用量高峰導致的暴增費用提供保護。如上述任一受保護資源因 DDoS 攻擊而導致用量上升,您可以透過一般 AWS Support 管道申請 Shield Advanced 服務抵扣。
對於擁有商業/企業支援的客戶,使用 AWS Shield Advanced,您可全天候使用 SRT 服務,在 DDoS 攻擊前後與期間取得協助。SRT 可協助分類事件、找出根本原因,並代您套用風險降低功能。SRT 在快速回應和降低 AWS 客戶間 DDoS 攻擊方面擁有精深的專業知識。
所有 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 節點都可使用 AWS Shield Advanced。您可以藉由在應用程式前部署 CloudFront,保護在世界各地託管的 Web 應用程式。原始伺服器可以是 Amazon Simple Storage Service (S3)、EC2、ELB,或位於 AWS 外部的自訂伺服器。您還可以在所有提供 Shield Advanced 的 AWS 區域中直接在彈性 IP 或 ELB 執行個體上啟用保護。
Shield Advanced 客戶可以使用 AWS Firewall Manager 在整個組織中應用 AWS Shield Advanced 和 AWS WAF 保護。Firewall Manager 的費用包含在 Shield Advanced 訂閱費用中。使用 Firewall Manager,您可以自動配置覆蓋多個帳戶和資源的政策。Firewall Manager 會自動稽核帳戶,以找到新的或未受保護的資源,並確保 Shield Advanced 和 AWS WAF 保護功能得到普遍應用。這讓開發人員能夠快速移動並部署新的應用程式,對自動運用適當的保護充滿信心。 若要進一步了解此安全管理服務,請參閱 AWS Firewall Manager。