Fitur AWS Shield

AWS Shield adalah layanan perlindungan terhadap distributed denial of service (DDoS) terkelola yang menjaga aplikasi yang berjalan di AWS. Layanan ini menyediakan deteksi dinamis serta mitigasi inline otomatis yang meminimalkan waktu henti dan latensi aplikasi, sehingga tidak perlu melibatkan Dukungan AWS untuk mendapatkan manfaat dari perlindungan DDoS. AWS Shield memiliki dua tingkatan: Standard dan Advanced.

Semua pelanggan AWS mendapatkan manfaat dari prediksi otomatis AWS Shield Standard tanpa biaya tambahan. AWS Shield Standard memberikan pertahanan terhadap serangan DDoS jaringan dan lapisan transportasi yang paling umum dan sering terjadi yang menargetkan situs web atau aplikasi Anda. Ketika menggunakan AWS Shield Standard dengan Amazon CloudFront dan Amazon Route 53, Anda menerima perlindungan ketersediaan yang komprehensif terhadap semua serangan infrastruktur (Lapisan 3 dan 4) yang diketahui.

AWS Shield Standard menyediakan pemantauan aliran jaringan selalu aktif yang memeriksa lalu lintas masuk ke layanan AWS dan menerapkan kombinasi tanda tangan lalu lintas, algoritma anomali, dan teknik analisis lainnya untuk mendeteksi lalu lintas berbahaya secara waktu nyata. Shield Standard menetapkan ambang batas statis untuk setiap tipe sumber daya AWS tetapi tidak memberikan perlindungan khusus untuk aplikasi Anda.

Teknik mitigasi otomatis dibangun ke dalam AWS Shield Standard untuk memberikan perlindungan layanan AWS yang mendasari terhadap serangan infrastruktur yang umum dan paling sering terjadi. Mitigasi otomatis diterapkan secara inline untuk melindungi layanan AWS sehingga tidak ada dampak latensi. Shield Standard menggunakan teknik seperti pemfilteran paket deterministik dan pembentukan lalu lintas berbasis prioritas untuk memitigasi serangan lapisan jaringan dasar secara otomatis.

Anda dapat berlangganan AWS Shield Advanced untuk tingkat perlindungan yang lebih tinggi terhadap serangan yang menargetkan aplikasi Anda yang berjalan di sumber daya Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, dan Amazon Route 53. Selain perlindungan lapisan jaringan dan transportasi yang hadir di tingkat Standard, Shield Advanced menyediakan deteksi dan mitigasi tambahan terhadap serangan DDoS yang besar dan canggih, visibilitas mendekati waktu nyata ke dalam serangan, dan integrasi dengan AWS WAF, firewall aplikasi web. Shield Advanced juga memberi Anda akses 24/7 ke Tim Respons AWS Shield (SRT) dan perlindungan terhadap lonjakan terkait DDoS dalam biaya EC2, ELB, CloudFront, Global Accelerator, dan Route 53 Anda.

AWS Shield Advanced menyediakan deteksi khusus berdasarkan pola lalu lintas ke alamat IP Elastis, sumber daya ELB, CloudFront, Global Accelerator, dan Route 53 yang dilindungi. Shield Advanced mendeteksi dan memberi tahu Anda tentang serangan DDoS yang lebih kecil menggunakan teknik pemantauan khusus wilayah dan sumber daya tambahan. Shield Advanced juga mendeteksi serangan lapisan aplikasi seperti banjir HTTP atau banjir kueri DNS dengan membuat dasar lalu lintas pada aplikasi Anda dan mengidentifikasi anomali.

AWS Shield Advanced menggunakan kondisi aplikasi Anda untuk meningkatkan respons dan akurasi dalam deteksi dan mitigasi serangan. Anda dapat menentukan pemeriksaan kondisi di Route 53 dan mengaitkannya dengan sumber daya yang dilindungi oleh Shield Advanced melalui konsol atau API. Tindakan ini memungkinkan Shield Advanced mendeteksi serangan yang memengaruhi kondisi aplikasi Anda secara lebih cepat dan pada ambang batas lalu lintas yang lebih rendah, sehingga meningkatkan ketahanan DDoS aplikasi Anda dan mencegah pemberitahuan positif palsu. Status kondisi sumber daya juga tersedia untuk SRT sehingga mereka dapat dengan tepat memprioritaskan respons terhadap aplikasi yang tidak sehat. Anda dapat menerapkan deteksi berbasis kondisi ke semua tipe sumber daya yang didukung Shield Advanced: IP Elastis, ELB, CloudFront, Global Accelerator, dan Route 53.

AWS Shield Advanced memberikan mitigasi otomatis yang lebih canggih untuk serangan yang menargetkan aplikasi Anda yang berjalan di sumber daya EC2, ELB, CloudFront, Global Accelerator, dan Route 53 yang dilindungi. Dengan menggunakan teknik perutean tingkat lanjut, Shield Advanced secara otomatis melakukan deployment kapasitas mitigasi tambahan untuk melindungi aplikasi Anda terhadap serangan DDoS. Untuk pelanggan dengan dukungan Business atau Enterprise, SRT juga menerapkan mitigasi manual untuk serangan DDoS yang lebih kompleks dan canggih yang mungkin unik untuk aplikasi Anda. Untuk serangan lapisan aplikasi, Anda dapat menggunakan AWS WAF tanpa biaya tambahan untuk sumber daya yang dilindungi oleh Shield Advanced guna menyiapkan aturan proaktif (seperti pemblokiran berbasis laju untuk memblokir permintaan web secara otomatis agar tidak menyerang alamat IP sumber) atau segera merespons insiden saat terjadi. Anda juga dapat terlibat langsung dengan SRT untuk menempatkan aturan AWS WAF kustom atas nama Anda sebagai respons terhadap serangan DDoS lapisan aplikasi. SRT akan mendiagnosis serangan dan, dengan izin Anda, menerapkan mitigasi atas nama Anda, sehingga mengurangi jumlah waktu aplikasi yang mungkin terpengaruh oleh serangan DDoS yang sedang berlangsung.

AWS Shield Advanced dapat melindungi aplikasi web secara otomatis dengan memitigasi peristiwa DDoS lapisan aplikasi (L7) tanpa intervensi manual yang diperlukan oleh Anda atau AWS SRT. Shield Advanced dapat membuat aturan WAF di WebACL Anda untuk memitigasi serangan secara otomatis, atau Anda dapat mengaktifkannya dalam mode hanya hitung. Tindakan ini memungkinkan Anda merespons peristiwa DDoS dengan cepat untuk mencegah waktu henti aplikasi akibat serangan DDoS lapisan aplikasi.

AWS Shield Advanced menawarkan keterlibatan proaktif dari SRT ketika peristiwa DDoS terdeteksi. Saat Anda mengaktifkan keterlibatan proaktif, SRT akan langsung menghubungi Anda jika pemeriksaan kondisi Route 53 terkait sumber daya Anda yang dilindungi menjadi tidak sehat selama peristiwa DDoS. Tindakan ini memungkinkan Anda terlibat dengan para ahli lebih cepat ketika ketersediaan aplikasi Anda dipengaruhi oleh dugaan serangan. Anda dapat menerima keterlibatan proaktif untuk lapisan jaringan dan peristiwa lapisan transportasi pada alamat IP Elastis dan akselerator Global Accelerator, serta untuk serangan lapisan aplikasi pada distribusi CloudFront dan Penyeimbang Beban Aplikasi.

AWS Shield Advanced memungkinkan Anda menggabungkan sumber daya ke dalam grup perlindungan, yang memberi Anda cara layanan mandiri untuk menyesuaikan cakupan deteksi dan mitigasi bagi aplikasi Anda dengan memperlakukan beberapa sumber daya sebagai satu unit. Pengelompokan sumber daya meningkatkan akurasi deteksi, mengurangi positif palsu, memudahkan perlindungan otomatis sumber daya yang baru dibuat, dan mempercepat waktu untuk memitigasi serangan terhadap beberapa sumber daya. Misalnya, jika aplikasi terdiri dari empat distribusi CloudFront, Anda dapat menambahkannya ke satu grup perlindungan untuk menerima deteksi dan perlindungan bagi sekumpulan sumber daya secara keseluruhan. Pelaporan juga dapat dikonsumsi di tingkat grup perlindungan, sehingga memberikan pandangan yang lebih menyeluruh tentang kondisi aplikasi secara keseluruhan.

AWS Shield Advanced memberi Anda visibilitas lengkap ke serangan DDoS dengan pemberitahuan yang mendekati waktu nyata melalui Amazon CloudWatch dan diagnostik terperinci di konsol atau API AWS WAF dan AWS Shield. Anda juga dapat melihat ringkasan serangan sebelumnya dari konsol.

AWS Shield Advanced dilengkapi dengan perlindungan biaya DDoS untuk melindungi dari biaya penskalaan akibat lonjakan penggunaan terkait DDoS pada sumber daya EC2, ELB, CloudFront, Global Accelerator, dan Route 53 yang dilindungi. Jika salah satu sumber daya yang dilindungi ini menaikkan skala sebagai respons terhadap serangan DDoS, Anda dapat meminta kredit layanan Shield Advanced melalui saluran Dukungan AWS reguler.

Untuk pelanggan dengan paket dukungan Business atau Enterprise, AWS Shield Advanced memberi Anda akses 24/7 ke SRT yang dapat dilibatkan sebelum, selama, atau setelah serangan DDoS. SRT akan membantu triase insiden, mengidentifikasi akar masalah, dan menerapkan mitigasi atas nama Anda. SRT memiliki keahlian mendalam dalam merespons dan memitigasi serangan DDoS dengan cepat di seluruh pelanggan AWS.

AWS Shield Advanced tersedia secara global di semua lokasi edge CloudFront, Global Accelerator, dan Route 53. Anda dapat melindungi aplikasi web Anda yang di-host di mana saja di dunia dengan melakukan deployment CloudFront di aplikasi Anda. Server asal Anda dapat berupa Amazon Simple Storage Service (S3), EC2, ELB, atau server kustom di luar AWS. Anda juga dapat mengaktifkan perlindungan secara langsung pada IP Elastis atau instans ELB di semua Wilayah AWS tempat Shield Advanced tersedia.

Pelanggan AWS Shield Advanced dapat menggunakan AWS Firewall Manager untuk menerapkan perlindungan Shield Advanced dan AWS WAF di seluruh organisasi mereka. Biaya Firewall Manager sudah termasuk dalam biaya berlangganan Shield Advanced. Dengan menggunakan Firewall Manager, Anda dapat secara otomatis mengonfigurasi kebijakan yang mencakup beberapa akun dan sumber daya. Firewall Manager secara otomatis mengaudit akun untuk menemukan sumber daya baru atau tidak dilindungi, dan memastikan bahwa perlindungan Shield Advanced serta AWS WAF diterapkan secara universal. Tindakan ini memungkinkan developer bergerak cepat dan melakukan deployment aplikasi baru dengan keyakinan bahwa perlindungan yang sesuai akan diterapkan secara otomatis. Untuk mempelajari selengkapnya tentang layanan manajemen keamanan ini, lihat AWS Firewall Manager.