一般性问题
AWS Shield 是一项托管服务,用于保护 AWS 上运行的应用程序免受分布式拒绝服务 (DDoS) 攻击。可自动为所有 AWS 客户启用 AWS Shield Standard,且无需额外付费。AWS Shield Advanced 是一项可选的付费服务。AWS Shield Advanced 能为 Amazon Elastic Compute Cloud(EC2)、Elastic Load Balancing(ELB)、Amazon CloudFront、AWS Global Accelerator 和 Route 53 上运行的应用程序提供额外保护,使其免受更复杂、更大型的攻击。
问:什么是 AWS Shield Standard?
AWS Shield Standard 可以提供保护所有 AWS 客户免受常见的、最为频繁的基础设施层(第 3 层和第 4 层)攻击(如 SYN/UDP 洪泛、反射攻击和其他攻击),确保 AWS 上的应用程序具有较高的可用性。
问:什么是 AWS Shield Advanced?
AWS Shield Advanced 可以为受保护的 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Route 53 资源上运行的应用程序提供增强保护,防护更复杂、更大型的攻击。利用 AWS Shield Advanced 提供的保护,您可以实现基于流的持续网络流量监控和主动应用程序监控,并近乎实时地发送可疑 DDoS 事件通知。AWS Shield Advanced 还采用先进的攻击缓解和路由技术来自动缓解攻击。此外,借助业务或企业支持,客户还可以联系提供全天候服务的 Shield 响应团队(SRT)来管理和缓解应用程序层的 DDoS 攻击。适用于扩展的 DDoS 成本保护功能可以在因 DDoS 攻击而出现受保护的 Amazon EC2、Elastic Load Balancing(ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 使用高峰时防止您的 AWS 费用增加。
问:什么是适用于扩展的 DDoS 费用保护?
AWS Shield Advanced 具有 DDoS 费用保护功能,在因 DDoS 攻击而出现受保护的 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 使用高峰时,该功能可以防止您的费用增加。如果上述任一受 AWS Shield Advanced 保护的资源的费用因 DDoS 攻击而增加,您可以通过常规的 AWS Support 渠道申请退款。
问:是否可以使用 AWS Shield 来保护未在 AWS 上托管的网站?
可以。AWS Shield 已与 Amazon CloudFront 实现集成,支持为 AWS 外部的自定义来源提供保护。
问:AWS Shield 的所有功能是否都支持 IPv6?
是的。AWS Shield 的所有检测和缓解功能都支持 IPv6 和 IPv4,且不会对该服务的性能、可扩展性或可用性产生任何显著的影响。
问:如何测试 AWS Shield?
AWS 可接受使用策略描述了 AWS 允许和禁止的行为,还描述了禁止的安全违规和网络滥用行为。但是,因为 DDoS 模拟测试、渗透测试及其他模拟事件常与此类活动混在一起,难以区分,所以我们制订了一项政策,要求客户先申请权限,然后才能执行 DDoS 测试、渗透测试和漏洞扫描。请访问我们的渗透测试页面和 DDoS 模拟测试政策以便了解更多详细信息。
问:目前可在哪些 AWS 区域使用 AWS Shield Standard?
目前,客户可在全球各个 AWS 区域和 AWS 边缘站点,在各种 AWS 服务上使用 AWS Shield Standard。
请参阅区域性产品和服务,详细了解 AWS Shield Standard 在各区域的可用性。
问:目前可在哪些 AWS 区域使用 AWS Shield Advanced?
目前,客户可在全球所有 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 Amazon CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的原始服务器可以是 Amazon Simple Storage Service(S3)、Amazon EC2、Elastic Load Balancing 或 AWS 以外的自定义服务器。您还可以在以下 AWS 区域直接在 Elastic Load Balancing 或 Amazon EC2 上启用 AWS Shield Advanced:弗吉尼亚北部、俄亥俄、俄勒冈、加利福尼亚北部、蒙特利尔、圣保罗、爱尔兰、法兰克福、伦敦、巴黎、斯德哥尔摩、新加坡、东京、悉尼、首尔、孟买、米兰、开普敦、中国香港、巴林、马来西亚和阿联酋。
请参阅区域性产品和服务,了解 AWS Shield Advanced 在各个区域的可用性的最新详细信息。
问:AWS Shield 是否符合 HIPAA 要求?
符合,AWS 已对其 HIPAA 合规性计划进行扩展,其中已将 AWS Shield 作为一项符合 HIPAA 要求的服务包括进来。如果您已与 AWS 签订商业合伙协议 (BAA),则可以使用 AWS Shield 来保护您在 AWS 上运行的 Web 应用程序,使其免受分布式拒绝服务 (DDoS) 攻击。有关更多信息,请参阅 HIPAA 合规性。
配置保护
问:AWS Shield Standard 可以针对哪些类型的攻击提供防护?
AWS Shield Standard 可以自动保护 AWS 上运行的 Web 应用程序,使其免受最常见且频繁发生的基础设施层攻击(如 UDP 洪泛)和状态耗尽攻击(如 TCP SYN 洪泛)。客户也可以使用 AWS WAF 来针对 HTTP POST 或 GET 洪泛等应用程序层攻击提供防护。要详细了解如何部署应用程序层防护,请参阅 AWS WAF 和 AWS Shield Advanced 开发人员指南。
问:可以使用 AWS Shield Standard 保护多少资源?
AWS Shield Standard 对于接受保护的资源没有数量限制。您可以遵循 AWS 的 DDoS 攻击弹性最佳实践,以享受 AWS Shield Standard 防护带来的全部好处。
问:可以使用 AWS Shield Advanced 保护多少资源?
您可以针对 AWS Shield Advanced 保护为每种受支持的资源类型(Classic/Application Load Balancer、Amazon CloudFront 分配、Amazon Route 53 托管区域、弹性 IP、AWS Global Accelerator 加速器)最多启用 1000 项 AWS 资源。如果您要保护的资源超过 1000 个,您可以创建 AWS Support 案例来申请提高限额。
问:是否可以使用 API 激活 AWS Shield Advanced 防护?
可以。您可以使用 API 激活 AWS Shield Advanced,还可以使用 API 添加或删除使用 AWS Shield Advanced 保护的 AWS 资源。
问:攻击缓解的速度有多快?
通常情况下,对于 AWS Shield 检测到的基础设施层攻击,若攻击位于 Amazon CloudFront 和 Amazon Route 53 上,其中 99% 的攻击可在 1 秒内缓解,若攻击位于 Elastic Load Balancing 上,则可在 5 秒内缓解。剩余 1% 的基础设施层攻击通常会在 20 分钟内缓解。您可以使用 AWS WAF 编写规则来缓解应用程序层攻击,AWS WAF 会在流量传入过程中检测和缓解这些攻击。
问:我可以保护 AWS 之外的资源吗?
可以,我们的一些客户选择在他们的后端实例前面使用 AWS 端点。最常见的情况是,这些端点是全球分布的 CloudFront 和 Route 53 服务。这些服务也是我们针对 DDoS 弹性提出的最佳实践建议。客户可以使用 Shield Advanced 保护这些 CloudFront 分布和 Route 53 托管区域。请注意,您需要锁定后端资源,以便仅接受来自这些 AWS 端点的流量。
响应攻击
问:AWS Shield Standard 可以提供哪些工具来缓解 DDoS 攻击?
AWS Shield Standard 可以自动保护在 AWS 上运行的 Web 应用程序,使其免受最常见且频繁发生的 DDoS 攻击。您可以遵循 AWS 的 DDoS 攻击弹性最佳实践,以享受 AWS Shield Standard 防护带来的所有好处。
问:AWS Shield Advanced 可以提供哪些工具来缓解 DDoS 攻击?
AWS Shield Advanced 可以管理第 3 层和第 4 层的 DDoS 攻击缓解。这意味着,该服务可以保护您指定的应用程序免受 UDP 洪泛、TCP SYN 洪泛等攻击。此外,对于应用程序层(第 7 层)攻击,AWS Shield Advanced 可以检测 HTTP 洪泛和 DNS 洪泛等攻击。您可以使用 AWS WAF 来应用自身的缓解措施,或者如果您具有业务或企业支持,则可以联系提供全天候服务的 AWS Shield 响应团队 (SRT),他们可以帮助您编写规则来缓解第 7 层 DDoS 攻击。
问:我是否需要有特殊的支持计划才能联系 AWS Shield 响应团队?
是的,您需要有业务或企业支持计划,以便上报或接洽 AWS Shield 响应团队(SRT)。有关 AWS 支持计划的更多详细信息,请访问 AWS Support 网站。
问:如何联系 AWS Shield 响应团队?
您可以通过常规的 AWS 支持方式联系 AWS Shield 响应团队 (SRT),也可以联系 AWS Support。
问:可以在多长时间内联系到 AWS Shield 响应团队 (SRT)?
SRT 的响应时间取决于您订阅的 AWS Support 计划。我们将会尽一切合理努力,在相应时间期限内响应您的初始请求。有关 AWS 支持计划的更多详细信息,请访问 AWS Support 网站。
可见性和报告
会。使用 AWS Shield Advanced 时,您可以通过 CloudWatch 指标获得 DDoS 攻击通知。
问:需要多长时间才能收到攻击通知?
通常情况下,AWS Shield Advanced 在检测到攻击后,会在几分钟内发出攻击通知。
问:我是否可以获取一份 AWS 资源的所有 DDoS 攻击历史记录?
可以。使用 AWS Shield Advanced,您可以查看过去 13 个月内发生的所有事件的历史记录。
问:是否可以通过 AWS 发现攻击?
可以,AWS Shield Advanced 客户可以访问全球威胁环境控制面板,该控制面板提供过去两周内在 AWS 上发现的所有 DDoS 攻击的匿名和采样视图。
问:如何了解 AWS WAF 规则是否正常发挥作用?
AWS WAF 提供两种不同的方式,帮助您确认您的网站受保护情况:您可以在 CloudWatch 获取每分钟的指标,同时您也可以通过 AWS WAF API 或 AWS 管理控制台获取 Web 请求采样。此外,您还可以启用通过 Amazon Kinesis Firehose 发送到您选择的目的地的综合日志。您可以通过查阅这些信息,查阅到所有被阻止、获允许或经计数的请求,同时能看到每个请求是符合哪条规则(例如,此 Web 请求因符合 IP 地址条件而受阻止,等等)。有关详情,请参阅 AWS WAF 和 AWS Shield Advanced 开发人员指南。
问:我需要进行渗透测试来评估服务和应用程序。经过批准的程序是怎样的?
请参阅 AWS 上的渗透测试。但是,这不包括“DDoS 加载测试”,AWS 上没有授权进行这个测试。如果您要进行在线 DDoS 测试,可以通过 AWS Support 发起工单,申请批准进行这项测试。该测试批准需要 AWS、客户和 DDoS 测试供应商就测试条件达成一致。请注意,我们仅与经过批准的 DDoS 测试供应商合作,整个流程大约需要 3-4 周。
计费
问:AWS Shield Standard 如何收费?
AWS Shield Standard 内置于您已用于 Web 应用程序的 AWS 服务中。因此,您无需额外付费,即可使用 AWS Shield Standard。
问:AWS Shield Advanced 如何收费?
对于 AWS Shield Advanced,您需要支付每月每个组织 3000 USD 的月度费用。此外,您还需要为启用高级防护的 AWS 资源支付 AWS Shield Advanced 数据传输使用费。AWS Shield Advanced 的费用不包含在 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 的标准费用内。请参阅 AWS Shield 定价页面了解更多详细信息。
问:是否可以选择仅使用 AWS Shield Advanced 来保护我的一些资源?
可以,AWS Shield Advanced 允许您灵活选择要保护的资源。您只需为这些受保护资源上的 AWS Shield Advanced 数据传输付费。
问:如何在多个 AWS 账户中启用 AWS Shield Advanced?
如果您的企业拥有多个 AWS 账户,您可以使用 AWS 管理控制台或 API 在每个 AWS 账户上单独启用 AWS Shield Advanced,从而使用这些账户来订阅 AWS Shield Advanced。只要这些 AWS 账户均在同一个整合账单下,且您拥有所有这些 AWS 账户及其中的资源,您就可以一次性支付月度费用。
了解有关 AWS Shield 定价的更多信息