AWS 全球网络

AWS 采用多层安全防护方法，确保在其网络上运行的应用程序及工作负载的安全。例如，AWS 利用包含数十亿节点的大规模图谱模型生成威胁情报，每天平均检测并拦截 12.4 万个新的恶意互联网域名。同样，AWS 借助其独特的全球传感器网络收集数据，每天分析超过 1 亿次网络交互，并自动缓解威胁。此外，AWS 威胁情报工具能够在全球范围内，于数分钟内识别并阻断每天超过 70 亿次针对 AWS 服务的未经授权外部扫描尝试。

AWS 通过资源公钥基础设施（RPKI）等技术对路由公告进行数字签名，并拦截带有无效路由信息的流量，以此阻止恶意边界网关协议（BGP）劫持攻击。作为互联网上已签名 IP 空间合并持有量最大的机构，AWS 提供全面的 BGP 劫持防护，确保您的数据在网络传输过程中的安全。  

AWS 全球基础设施覆盖范围让用户能够向最终用户和设备提供低至几毫秒的延迟，为延迟敏感型应用程序带来最佳性能，例如高频交易、在线游戏以及用于实时决策的边缘人工智能/机器学习推理。

与 AWS 全球网络骨干网互联的绝大多数网络容量采用 400 GbE 技术，这一速度是此前 100 GbE 标准的四倍，为人工智能/机器学习训练、高性能计算、大数据分析等数据密集型工作负载场景提供卓越的吞吐量。

AWS 借助先进的机器学习模型分析海量网络使用数据，并在客户需求增长前主动部署额外的网络容量。过去 12 个月，AWS 网络容量增长近 80%，以满足客户不断增长的工作负载需求。 

AWS 采用一整套定制化网络管理工具，持续监控网络健康状态、识别潜在问题并自动解决网络故障。AWS“自愈型”网络管理工具可自动修复或缓解超过 96% 的网络事件，无需人工干预。 

与公共互联网不同（公共互联网中每个网络设备只能基于有限信息做路由决策），AWS 集中式实时流量监控系统可洞察全球网络内的每一条链路，确保客户流量始终使用最可用、性能最优的路径。该系统每天执行数百万次调整，优化 AWS 私有网络和公共互联网上的流量路由，在客户应用受影响前提前规避拥堵和中断问题。 

所有离开 AWS 设施的流量均通过多层加密保障安全，例如第 1 层的量子安全光加密、第 2 层的 MACsec 加密，或第 4 层基于 TLS/SSL 和 QUIC 加密传输协议的 AWS 开源实现。VPC 跨区域对等连接还额外采用一层加密并融入匿名化机制，防止传输中的流量被追溯到具体组织。对于需要额外保护的客户，AWS 支持多种客户管理的加密解决方案。

每年，AWS 能在数分钟甚至数秒内自动阻止数百万次由僵尸网络发起的分布式阻断服务（DDoS）攻击，防止其干扰业务运营；同时配备训练有素的响应团队，解决所有未被自动检测和缓解的 DDoS 攻击。对于更高级别的应用层 DDoS 防护，用户可使用 AWS Shield Advanced 来识别与缓解攻击。AWS 还与外部机构合作，每年破坏僵尸网络、禁用伪造数据包放大和反射攻击生成器，并铲除数千次 L7/HTTP DDoS 攻击的真正源头。 

AWS 确保将其在私有全球网络和公共互联网中发现的健康事件都会通过 Amazon CloudWatch 网络状况监测仪提供给您，确保为您提供网络性能问题的完全透明度，同时简化支持流程。此外，客户观测到的事件会反馈至 AWS 内部监控系统，帮助 AWS 将单个客户的问题与更广泛的网络模式进行关联分析。

AWS Direct Connect 通过在全球 140 多个 AWS Direct Connect 地点创建您的 AWS 资源与企业办公室、数据中心之间的私有专用网络连接，进一步降低延迟并减少网络抖动。您还可选择由数十家 AWS Direct Connect 交付合作伙伴托管的专用连接，获得更高的灵活性与选择权。Direct Connect 能提升应用性能、增强传输中数据的安全性，并有助于降低数据传输成本。

借助 AWS，您无需提前数周或数月规划和部署网络基础设施。AWS 全面的网络服务套件，包括 Amazon Virtual Private Cloud、Amazon VPC Lattice、Amazon CloudFront 和 AWS 云 WAN，支持您快速部署网络资源，且这些资源能随工作负载自动扩展。

AWS 自主设计并研发定制化网络软件（控制器）与硬件（路由器、交换机及光设备），这使其不仅能更快提升网络容量，还能每年节省数百万美元成本，这些成本节省将通过更低的价格传递给客户。此外，凭借自研网络设备，AWS 可快速缓解突发威胁，无需等待补丁或软件更新。