AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的防护应用程序。AWS Shield 可以提供持续检测和自动内联缓解功能,能够尽可能缩短应用程序的停机时间和延迟,因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield 有两种套餐,分别为 Standard 和 Advanced。
所有 AWS 客户都可以使用 AWS Shield Standard 的自动防护功能,不需要额外支付费用。AWS Shield Standard 可以防护大多数以网站或应用程序为目标并且频繁出现的网络和传输层 DDoS 攻击。将 AWS Shield Standard 与 Amazon CloudFront 和 Amazon Route 53 一起使用时,您将获得针对所有已知基础设施 (第 3 层和第 4 层) 攻击的全面可用性保护。
对于以在 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 资源上运行的应用程序为目标的攻击,如果想要获得更高级别的防护,您可以使用 AWS Shield Advanced。除了 Standard 版本提供的网络和传输层防护之外,AWS Shield Advanced 还可以针对复杂的大型 DDoS 攻击提供额外的检测和缓解服务,让您能够近实时查看各种攻击,并与 AWS WAF 这一 Web 应用程序防火墙集成。使用 AWS Shield Advanced,您还可以联系全天候 AWS DDoS 响应团队 (DRT) 并可以获得针对您 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 费用中出现的 DDoS 相关高峰的全天候防护。
目前,客户可在全球所有 Amazon CloudFront 和 Amazon Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 Amazon CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的源服务器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB) 或 AWS 外部的自定义服务器。您还可以在以下 AWS 地区直接在弹性 IP 或 Elastic Load Balancing (ELB) 上启用 AWS Shield Advanced:弗吉尼亚北部、俄勒冈、爱尔兰、东京和 加利福尼亚北部。
AWS Shield Standard 可以为您的 AWS 资源自动防护大多数频繁出现的网络和传输层 DDoS 攻击。如果您想要使用管理控制台或 API 来保护弹性 IP、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 资源,则可以通过启用 AWS Shield Advanced 来实现更高级别的防护。
借助 AWS Shield Advanced,您可以灵活地制定各种自定义规则来缓解复杂的应用层攻击。自定义规则可以立即部署,帮助您快速缓解攻击。您可以设置主动式规则,用于自动阻止恶意流量或在事件发生时自动处理事件。您还可以联系全天候 AWS DDoS 响应团队 (DRT),该团队可以为您制定规则以便缓解应用层 DDoS 攻击。
AWS 客户可以利用 AWS Shield Standard 来自动获得针对最常见的 DDoS 攻击的网络层防护。启动这一防护不需要额外的费用、资源或时间。AWS Shield Advanced 可以提供“DDoS 费用保护”功能,这一功能可以在因 DDoS 攻击而出现 EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 使用高峰时,保护您的 AWS 费用不受影响。
| 日期 | 公告 | |
|---|---|---|
| Nov 21 | AWS Shield 为 EC2 和网络负载均衡器增加了高级 DDoS 保护 | |
| Nov 01 | 全球威胁环境控制面板:查看整个 AWS 中的 DDoS 攻击趋势 | |
快速检测
AWS Shield Standard 可以提供网络流量持续监控功能,这一功能可以检测传入 AWS 的流量,并采用流量签名、异常算法和其他分析技术来实时检测恶意流量。
内联攻击缓解
AWS Shield Standard 内置多种自动缓解技术,可以防护最频繁出现的常见基础设施攻击。自动缓解功能以内联方式应用于您的应用程序,因此不会受到延迟的影响。AWS Shield Standard 采用确定性数据包过滤和基于优先级的流量整形等多种技术,可以自动缓解攻击并且不对应用程序产生影响。您也可以使用 AWS WAF 来制定规则,以便缓解应用层 DDoS 攻击。对于 AWS WAF,您只需按实际使用量付费。
持续检测和内联缓解功能可以尽可能缩短应用程序的停机时间,因此您不需要联系 AWS Support 来获得 DDoS 防护
增强型检测
您可以通过 AWS Shield Advanced 联系全天候 AWS DDoS 响应团队 (DRT),该团队可以在 DDoS 攻击发生之前、发生过程中或发生之后为您提供服务。DRT 会帮助您对攻击进行诊断、确定根本原因并采取缓解措施。您也可以联系 DRT 进行攻击后分析。
高级攻击缓解
AWS Shield Advanced 提供更复杂的自动缓解功能。AWS Shield Advanced 利用先进的路由技术,可以自动提供更多缓解能力,以防护较大型的 DDoS 攻击。AWS DDoS 响应团队 (DRT) 也可以为您手动缓解更复杂的 DDoS 攻击。对于应用层攻击,您可以使用 AWS WAF 来处理各种事件。您可以通过 AWS WAF 来设置基于评级的黑名单等主动式规则,用于自动阻止恶意流量或在事件发生时自动处理事件。使用 AWS WAF 进行应用层防护不需要支付额外费用。您也可以直接与 DRT 联系,以您的名义发布 AWS WAF 规则,以便响应应用层 DDoS 攻击。DRT 会对攻击进行诊断,并在获得您的许可后采取缓解措施。
可见性与攻击通知
AWS Shield Advanced 通过 Amazon CloudWatch 为您提供 DDoS 攻击的完整可见性以及近乎实时的通知,并在“AWS WAF and AWS Shield”管理控制台上提供详细的诊断。DDoS 响应团队 (DRT) 可以为您提供事件发生后的分析和调查结果。您也可以从“AWS WAF and AWS Shield”管理控制台查看汇总显示的之前发生过的攻击。
专业支持
AWS Shield Advanced 的增强型检测功能可以检测网络流量,并监控传入弹性 IP 地址、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 资源的应用层流量。AWS Shield Advanced 采用针对特定资源的监控等附加技术,可以深入检测各种 DDoS 攻击。AWS Shield Advanced 可以针对资源上的流量建立基线并识别异常情况,从而检测 HTTP 洪泛或 DNS 查询洪泛等应用层 DDoS 攻击。
DDoS 费用保护
AWS Shield Advanced 具有“DDoS 费用保护”功能,这一功能可以在因 DDoS 攻击而出现 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 使用高峰时,防止您的费用增加。如果上述任何服务的使用量因 DDoS 攻击而增加,则 AWS 会针对因使用高峰而产生的费用向您提供服务退款。有关如何申请服务补偿的更多详细信息,请参阅 AWS WAF 和 AWS Shield Advanced 文档。
DNS
使用 Amazon Route 53
AWS Shield Standard 可自动保护受到 DDoS 攻击的基础设施层中 Amazon Route 53 托管的区域,不额外收取任何费用。这包括频繁以 DNS 为目标的反射攻击或 SYN 洪流等攻击。AWS Shield Standard 自动使用标头验证、基于优先级的流量控制等各种技术来自动缓解这些 DDoS 攻击。
此外,当您需要联系全天候 AWS DDoS 响应团队以进行手动干预时, AWS Shield Advanced 还会针对极端场景提供额外防护,而且,AWS Shield Advanced 还可以针对 Route 53 基础设施上的攻击提供可见性。
内联攻击缓解
AWS Shield Standard 内置多种自动缓解技术,可以防护最频繁出现的常见基础设施攻击。自动缓解功能以内联方式应用于您的应用程序,因此不会受到延迟的影响。持续检测和内联缓解功能可以尽可能缩短应用程序的停机时间,因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield Standard 采用确定性数据包过滤和基于优先级的流量整形等多种技术,可以自动缓解攻击并且不对应用程序产生影响。您也可以使用 AWS WAF 来制定规则,以便缓解应用层 DDoS 攻击。对于 AWS WAF,您只需按实际使用量付费。
增强型检测
AWS Shield Advanced 的增强型检测功能可以检测网络流量,并监控传入弹性 IP 地址、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 资源的应用层流量。AWS Shield Advanced 采用针对特定资源的监控等附加技术,可以深入检测各种 DDoS 攻击。AWS Shield Advanced 可以针对资源上的流量建立基线并识别异常情况,从而检测 HTTP 洪泛或 DNS 查询洪泛等应用层 DDoS 攻击。
高级攻击缓解
除了 AWS Shield Standard 提供的防护功能之外,AWS Shield Advanced 还可以提供更高级的自动缓解功能。AWS DDoS 响应团队 (DRT) 也可以为您手动缓解更复杂的 DDoS 攻击。AWS Shield Advanced 利用先进的路由技术,可以自动提供更多缓解能力,以防护较大型的 DDoS 攻击。对于应用层攻击,您可以使用 AWS WAF 来处理各种事件。您可以通过 AWS WAF 来设置基于评级的黑名单等主动式规则,用于自动阻止恶意流量或在事件发生时自动处理事件。使用 AWS WAF 进行应用层防护不需要支付额外费用。您也可以直接与 DRT 联系,以您的名义发布 AWS WAF 规则,以便响应应用层 DDoS 攻击。DRT 会对攻击进行诊断,并在获得您的许可后采取缓解措施。
可见性与攻击通知
WS Shield Advanced 通过 Amazon CloudWatch 为您提供 DDoS 攻击的完整可见性以及近乎实时的通知,并在“AWS WAF and AWS Shield”管理控制台上提供详细的诊断。AWS DDoS 响应团队 (DRT) 可以为您提供事件发生后的分析和调查结果。您也可以从“AWS WAF and AWS Shield”管理控制台查看汇总显示的之前发生过的攻击。
专业支持
您可以通过 AWS Shield Advanced 联系全天候 AWS DDoS 响应团队 (DRT),该团队可以在 DDoS 攻击发生之前、发生过程中或发生之后为您提供服务。DRT 会帮助您对攻击进行诊断、确定根本原因并采取缓解措施。您也可以联系 DRT 进行攻击后分析。
DDoS 费用保护
AWS Shield Advanced 具有“DDoS 费用保护”功能,这一功能可以在因 DDoS 攻击而出现 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 使用高峰时,防止您的费用增加。如果上述服务的使用量因 DDoS 攻击而增加,则 AWS 会针对因使用高峰而产生的费用向您提供服务退款。有关如何申请服务补偿的更多详细信息,请参阅 AWS WAF 和 AWS Shiel d 高级文档。
您在 AWS 上运行的 Web 应用程序已经处于 AWS Shield Standard 的保护之下。要使用 AWS Shield Advanced,请前往“AWS WAF and AWS Shield”管理控制台,然后选择您想要为其启用 Advanced 防护的资源。
