AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的 Web 应用程序。AWS Shield 可以提供持续检测和自动内联缓解功能,能够尽可能缩短应用程序的停机时间和延迟,因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield 有两种套餐,分别为 Standard 和 Advanced。
所有 AWS 客户都可以使用 AWS Shield Standard 的自动防护功能,不需要额外支付费用。AWS Shield Standard 可以防护大多数以网站或应用程序为对象并且频繁出现的网络和传输层 DDoS 攻击。
对于以 Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 资源上运行的 Web 应用程序为对象的攻击,如果想要获得更高级别的防护,您可以使用 AWS Shield Advanced。除了 Standard 版本提供的常见网络和传输层防护之外,AWS Shield Advanced 还可以针对复杂的大型 DDoS 攻击提供额外的检测和缓解服务、让您能够近实时查看各种攻击,并且集成了 AWS WAF 这一 Web 应用程序防火墙。您还可以通过 AWS Shield Advanced 来联系 AWS DDoS 响应团队 (DRT),并防止 ELB、CloudFront 或 Route 53 的使用费受到 DDoS 相关流量峰值的影响。
目前,客户可在全球所有 Amazon CloudFront 和 Amazon Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 Amazon CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的来源服务器可以是 Amazon S3、Amazon EC2、Elastic Load Balancing 或 AWS 外部的自定义服务器。在以下 AWS 地区,您还可以直接在 Elastic Load Balancing 上启用 AWS Shield Advanced:弗吉尼亚北部、俄勒冈、爱尔兰和东京。
AWS Shield Standard 可以为您的 AWS 资源自动防护大多数频繁出现的网络和传输层 DDoS 攻击。如果您想要使用管理控制台或 API 来保护 Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 资源,则可以通过 AWS Shield Advanced 来实现更高级别的防护。
借助 AWS Shield Advanced,您可以灵活地制定各种自定义规则来缓解复杂的应用层攻击。自定义规则可以立即部署,帮助您快速缓解攻击。您可以设置主动式规则,用于自动阻止恶意流量或在事件发生时自动处理事件。您还可以联系全天候 AWS DDoS 响应团队 (DRT),该团队可以为您制定规则以便缓解应用层 DDoS 攻击。
AWS 客户可以利用 AWS Shield Standard 来自动获得针对某些最常见的 DDoS 攻击的网络层防护。启动这一防护不需要额外的费用、资源或时间。而 AWS Shield Advanced 可以提供“DDoS 费用保护”功能,这一功能可以在因 DDoS 攻击而出现 Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 使用高峰时,保护您的 AWS 费用不受影响。
快速检测
AWS Shield Standard 可以提供网络流量持续监控功能,这一功能可以检测传入 AWS 的流量,并采用流量签名、异常算法和其他分析技术来实时检测恶意流量。
内联攻击缓解
AWS Shield Standard 内置多种自动缓解技术,可以防护最频繁出现的常见基础设施 (第 3 层和第 4 层) 攻击。自动缓解功能以内联方式应用于您的应用程序,因此不会受到延迟的影响。持续检测和内联缓解功能可以尽可能缩短应用程序的停机时间,因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield Standard 采用确定性数据包过滤和基于优先级的流量整形等多种技术,可以自动缓解攻击并且不对应用程序产生影响。您也可以使用 AWS WAF 来制定规则,以便缓解应用层 DDoS 攻击。对于 AWS WAF,您只需按实际使用量付费。
增强型检测
AWS Shield Advanced 的增强型检测功能可以检测网络流量,并监控传入 Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 资源的应用层流量。AWS Shield Advanced 采用针对特定资源的监控等附加技术,可以深入检测各种 DDoS 攻击。AWS Shield Advanced 可以针对资源上的流量建立基线并识别异常情况,从而检测 HTTP 洪泛或 DNS 查询洪泛等应用层 DDoS 攻击。
高级攻击缓解
除了 AWS Shield Standard 提供的防护功能之外,AWS Shield Advanced 还可以提供更高级的自动缓解功能。AWS DDoS 响应团队 (DRT) 也可以为您手动缓解更复杂的 DDoS 攻击。AWS Shield Advanced 利用先进的路由技术,可以自动提供更多缓解能力,以便防护大型 DDoS 攻击。对于应用层攻击,您可以使用 AWS WAF 来处理各种事件。您可以通过 AWS WAF 来设置基于评级的黑名单等主动式规则,用于自动阻止恶意流量或在事件发生时自动处理事件。使用 AWS WAF 进行应用层防护不需要支付额外费用。您也可以针对具体事件联系 DRT 或提前授权 DRT 为您提供服务。DRT 会对攻击进行诊断,并在获得您的许可后采取缓解措施。
可见性与攻击通知
AWS Shield Advanced 让您可以全面查看各种 DDoS 攻击,并通过 Amazon CloudWatch 发出近实时通知。DDoS 响应团队 (DRT) 可以为您提供事件发生后的分析和调查结果。您也可以从“AWS WAF and AWS Shield”管理控制台查看汇总显示的之前发生过的攻击。
专业支持
您可以通过 AWS Shield Advanced 联系全天候 DDoS 响应团队 (DRT),该团队可以在 DDoS 攻击发生之前、发生过程中或发生之后为您提供服务。DRT 会帮助您对攻击进行诊断、确定根本原因并采取缓解措施。您也可以联系 DRT 进行攻击后分析。
DDoS 费用保护
AWS Shield Advanced 具有“DDoS 费用保护”功能,这一功能可以在因 DDoS 攻击而出现 Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 使用高峰时,防止您的费用增加。如果上述服务的使用量因 DDoS 攻击而增加,则 AWS 会针对因使用高峰而产生的费用向您提供服务退款。有关如何申请服务补偿的更多详细信息,请参阅 AWS WAF 和 AWS Shiel d 高级文档。
您在 AWS 上运行的 Web 应用程序已经处于 AWS Shield Standard 的保护之下。要使用 AWS Shield Advanced,请前往“AWS WAF and AWS Shield”管理控制台,然后选择您想要为其启用 Advanced 防护的资源。