AWS Shield
AWS 云

AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的防护应用程序。AWS Shield 可以提供持续检测和自动内联缓解功能,能够尽可能缩短应用程序的停机时间和延迟,因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield 有两种套餐,分别为 Standard 和 Advanced。

所有 AWS 客户都可以使用 AWS Shield Standard 的自动防护功能,不需要额外支付费用。AWS Shield Standard 可以防护大多数以网站或应用程序为目标并且频繁出现的网络和传输层 DDoS 攻击。将 AWS Shield Standard 与 Amazon CloudFront 和 Amazon Route 53 一起使用时,您将获得针对所有已知基础设施 (第 3 层和第 4 层) 攻击的全面可用性保护。

对于以在 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFrontAmazon Route 53 资源上运行的应用程序为目标的攻击,如果想要获得更高级别的防护,您可以使用 AWS Shield Advanced。除了 Standard 版本提供的网络和传输层防护之外,AWS Shield Advanced 还可以针对复杂的大型 DDoS 攻击提供额外的检测和缓解服务,让您能够近实时查看各种攻击,并与 AWS WAF 这一 Web 应用程序防火墙集成。使用 AWS Shield Advanced,您还可以联系全天候 AWS DDoS 响应团队 (DRT) 并可以获得针对您 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFrontAmazon Route 53 费用中出现的 DDoS 相关高峰的全天候防护。

目前,客户可在全球所有 Amazon CloudFront 和 Amazon Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 Amazon CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的源服务器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB) 或 AWS 外部的自定义服务器。您还可以在以下 AWS 地区直接在弹性 IP 或 Elastic Load Balancing (ELB) 上启用 AWS Shield Advanced:弗吉尼亚北部、俄勒冈、爱尔兰、东京和 加利福尼亚北部。

100x100_benefit_ingergration

AWS Shield Standard 可以为您的 AWS 资源自动防护大多数频繁出现的网络和传输层 DDoS 攻击。如果您想要使用管理控制台或 API 来保护弹性 IP、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 资源,则可以通过启用 AWS Shield Advanced 来实现更高级别的防护。

100x100_benefit_customize

借助 AWS Shield Advanced,您可以灵活地制定各种自定义规则来缓解复杂的应用层攻击。自定义规则可以立即部署,帮助您快速缓解攻击。您可以设置主动式规则,用于自动阻止恶意流量或在事件发生时自动处理事件。您还可以联系全天候 AWS DDoS 响应团队 (DRT),该团队可以为您制定规则以便缓解应用层 DDoS 攻击。

100x100_benefit_lowcost-affordable

AWS 客户可以利用 AWS Shield Standard 来自动获得针对最常见的 DDoS 攻击的网络层防护。启动这一防护不需要额外的费用、资源或时间。AWS Shield Advanced 可以提供“DDoS 费用保护”功能,这一功能可以在因 DDoS 攻击而出现 EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 使用高峰时,保护您的 AWS 费用不受影响。

快速检测

AWS Shield Standard 可以提供网络流量持续监控功能,这一功能可以检测传入 AWS 的流量,并采用流量签名、异常算法和其他分析技术来实时检测恶意流量。

内联攻击缓解

AWS Shield Standard 内置多种自动缓解技术,可以防护最频繁出现的常见基础设施攻击。自动缓解功能以内联方式应用于您的应用程序,因此不会受到延迟的影响。AWS Shield Standard 采用确定性数据包过滤和基于优先级的流量整形等多种技术,可以自动缓解攻击并且不对应用程序产生影响。您也可以使用 AWS WAF 来制定规则,以便缓解应用层 DDoS 攻击。对于 AWS WAF,您只需按实际使用量付费。

持续检测和内联缓解功能可以尽可能缩短应用程序的停机时间,因此您不需要联系 AWS Support 来获得 DDoS 防护


增强型检测

您可以通过 AWS Shield Advanced 联系全天候 AWS DDoS 响应团队 (DRT),该团队可以在 DDoS 攻击发生之前、发生过程中或发生之后为您提供服务。DRT 会帮助您对攻击进行诊断、确定根本原因并采取缓解措施。您也可以联系 DRT 进行攻击后分析。

高级攻击缓解

AWS Shield Advanced 提供更复杂的自动缓解功能。AWS Shield Advanced 利用先进的路由技术,可以自动提供更多缓解能力,以防护较大型的 DDoS 攻击。AWS DDoS 响应团队 (DRT) 也可以为您手动缓解更复杂的 DDoS 攻击。对于应用层攻击,您可以使用 AWS WAF 来处理各种事件。您可以通过 AWS WAF 来设置基于评级的黑名单等主动式规则,用于自动阻止恶意流量或在事件发生时自动处理事件。使用 AWS WAF 进行应用层防护不需要支付额外费用。您也可以直接与 DRT 联系,以您的名义发布 AWS WAF 规则,以便响应应用层 DDoS 攻击。DRT 会对攻击进行诊断,并在获得您的许可后采取缓解措施。

可见性与攻击通知

AWS Shield Advanced 通过 Amazon CloudWatch 为您提供 DDoS 攻击的完整可见性以及近乎实时的通知,并在“AWS WAF 和 AWS Shield”管理控制台上提供详细的诊断。DDoS 响应团队 (DRT) 可以为您提供事件发生后的分析和调查结果。您也可以从“AWS WAF and AWS Shield”管理控制台查看汇总显示的之前发生过的攻击。

专业支持

AWS Shield Advanced 的增强型检测功能可以检测网络流量,并监控传入弹性 IP 地址、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 资源的应用层流量。AWS Shield Advanced 采用针对特定资源的监控等附加技术,可以深入检测各种 DDoS 攻击。AWS Shield Advanced 可以针对资源上的流量建立基线并识别异常情况,从而检测 HTTP 洪泛或 DNS 查询洪泛等应用层 DDoS 攻击。

DDoS 费用保护

AWS Shield Advanced 具有“DDoS 费用保护”功能,这一功能可以在因 DDoS 攻击而出现 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 使用高峰时,防止您的费用增加。如果上述任何服务的使用量因 DDoS 攻击而增加,则 AWS 会针对因使用高峰而产生的费用向您提供服务退款。有关如何申请服务补偿的更多详细信息,请参阅 AWS WAF 和 AWS Shield Advanced 文档

DNS

使用 Amazon Route 53

AWS Shield Standard 可自动保护受到 DDoS 攻击的基础设施层中 Amazon Route 53 托管的区域,不额外收取任何费用。这包括频繁以 DNS 为目标的反射攻击或 SYN 洪流等攻击。AWS Shield Standard 自动使用标头验证、基于优先级的流量控制等各种技术来自动缓解这些 DDoS 攻击。

此外,当您需要联系全天候 AWS DDoS 响应团队以进行手动干预时, AWS Shield Advanced 还会针对极端场景提供额外防护,而且,AWS Shield Advanced 还可以针对 Route 53 基础设施上的攻击提供可见性。

详细了解如何使用 Amazon Route 53 和 AWS Shield 降低 DDoS 风险


Web 应用程序和 API
使用 Amazon CloudFront 或 Application Load Balancer

当使用 Amazon CloudFront 时,AWS Shield Standard 自动针对 SYN 泛洪、UDP 泛洪或其他反射攻击等基础设施层攻击提供全面保护。AWS Shield Standard 始终启用检测和缓解系统,以自动净化第 3 层和第 4 层的欠佳流量,以保护您的应用程序。在 AWS Shield Standard 检测到的基础设施层攻击中,超过 99% 会在不到 1 秒内自动缓解 Amazon CloudFront 上的攻击。

了解如何使用 Amazon CloudFront 保护动态应用程序免受 DDoS 攻击

了解 Slack 如何使用 Amazon CloudFront 防止遭到 DDoS 攻击

演讲者:
Alex Graham,Slack Technologies, Inc. 高级运营工程师

Alex Graham, Sr. Operations Manager, Slack

为了进一步防止复杂的大型 DDoS 攻击,您还可以在 Amazon CloudFront 上使用 AWS Shield Advanced。使用 Shield Advanced,客户可以随时联系 AWS DDoS 响应团队 (DRT),该团队会使用流量工程等额外技术,积极落实各种缓解措施来防止所有复杂的基础设施层(第 3 层或第 4 层)攻击。此外,AWS Shield Advanced 还可以保护您免受应用程序层攻击,例如 HTTP 泛洪。AWS Shield Advanced 始终启用内置的检测系统,以将客户的稳态应用程序流量维持在基准水平并监控任何异常情况。AWS Shield Advanced 中包括 AWS WAF,无需额外成本,允许您自定义任何应用程序层缓解方案。


其他应用程序(如基于 UDP 的应用程序)
使用弹性 IP 地址

对于其他非基于 TCP(如 UDP 和 SIP 等)的自定义应用程序,您不能使用 Amazon CloudFront 或 Elastic Load Balancing 等服务。在这些情况下,您通常需要直接在面向 Internet 的 Amazon EC2 实例上运行应用程序。AWS Shield Standard 还保护您的 Amazon EC2 实例免受常见基础架构层(第 3 层和第 4 层)DDoS 攻击,例如 UDP 反射攻击(DNS 反射、NTP 反射和 SSDP 反射等)。AWS Shield Standard 使用了基于优先级的流量定形等各种技术,当检测到定义明确的 DDoS 攻击签名时,这些技术会自动实施。

您还可以在弹性 IP 地址上启用 AWS Shield Advanced,进一步保护这些应用程序免受复杂的大型 DDoS 攻击。AWS Shield Advanced 的增强型 DDoS 检测技术可以自动检测 AWS 资源的类型和 EC2 实例的大小,并应用适当的预定义缓解配置文件。使用 AWS Shield Advanced,客户还能请求随时待命的 AWS DDoS 响应团队 (DRT) 帮助自己创建自定义缓解配置文件。AWS Shield Advanced 还确保在 DDoS 攻击期间,所有 Amazon VPC 网络访问控制列表 (ACL) 自动在 AWS 网络的边界上强制执行,这将为您提供额外的带宽,并让您足以缓解大型 DDoS 攻击。使用 AWS Shield Advanced,您可以获得额外的保护,免受 SYN 泛洪等 DDoS 攻击或 UDP 泛洪等其他攻击。

详细了解如何将弹性 IP 附加到 Amazon EC2 实例

您在 AWS 上运行的 Web 应用程序已经处于 AWS Shield Standard 的保护之下。要使用 AWS Shield Advanced,请前往“AWS WAF and AWS Shield”管理控制台,然后选择您想要为其启用 Advanced 防护的资源。

AWS Shield 入门