AWS Shield 功能
为什么选择 AWS Shield?
AWS Shield 通过识别网络安全配置问题、保护应用程序免受活跃的 Web 攻击和分布式阻断服务(DDoS)事件侵害,为网络和应用程序提供保护。 AWS Shield 通过提供以下两项关键功能来实现这一目的:
AWS Shield 网络安全分析器(预览版)会对您的资源进行分析,以帮助您直观了解网络拓扑结构,识别配置问题,并获得可采取的补救建议。
AWS Shield Advanced 提供托管式 DDoS 防护,以持续自动缓解复杂的 DDoS 事件,从而最大程度减少应用程序的停机时间和延迟。您可以通过特定于应用程序的安全控制措施来定制您的 DDoS 防护策略,并在发生 DDoS 事件时借助 Shield 响应团队的专业指导来进行处理。
AWS Shield Standard
全部打开
所有 AWS 客户都可以使用 AWS Shield Standard 的自动防护功能,不需要额外支付费用。AWS Shield Standard 可以防护大多数以网站或应用程序为攻击对象并且频繁出现的网络和传输层 DDoS 事件。将 AWS Shield Standard 与 Amazon CloudFront 和 Amazon Route 53 一起使用时,您将获得针对所有已知基础设施(第 3 层和第 4 层)事件的全面可用性保护。
AWS Shield Standard 可以提供网络流量持续监控功能,这一功能可以检测传入到 AWS 服务的流量,并采用流量签名、异常算法和其他分析技术来实时检测恶意流量。Shield Standard 为每个 AWS 资源类型设置了静态阈值,但不会为应用程序提供任何自定义保护。
AWS Shield Standard 内置多种自动缓解技术,使基础 AWS 服务保护能够防护频繁出现的常见基础设施事件。自动缓解功能以内联方式应用,以保护 AWS 服务,因此不会受到延迟的影响。Shield Standard 采用确定性数据包过滤和基于优先级的流量整形等技术,可以自动缓解基本网络层攻击。
AWS Shield Advanced
全部打开为了获得更高级别的保护,防范针对在 Amazon Elastic Compute Cloud(EC2)、弹性负载均衡(ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 资源上运行的应用程序的攻击,您可以订阅 AWS Shield Advanced。除了 Standard 版本提供的常见网络和传输层防护之外,Shield Advanced 还可以针对复杂的大型 DDoS 攻击提供额外的检测和缓解服务,让您能够近实时查看各种攻击,并且集成了 AWS WAF 这一 Web 应用程序防火墙。您还可以通过 Shield Advanced 来联系 AWS Shield Response Team(SRT),并防止 EC2、ELB、CloudFront、Global Accelerator 或 Route 53 的使用费受到 DDoS 相关流量峰值的影响。
AWS Shield Advanced 为受保护的弹性 IP 地址、ELB、CloudFront、Global Accelerator 或 Route 53 资源提供基于流量模式的自定义检测功能。Shield Advanced 使用其他特定于区域和资源的监控技术,检测较小的 DDoS 攻击并向您发出警报。Shield Advanced 还可以针对应用程序上的流量建立基线并识别异常情况,从而检测 HTTP 洪泛或 DNS 查询洪泛等应用程序层攻击。
AWS Shield Advanced 可根据应用程序的运行状况来提高攻击检测和缓解的响应能力和准确性。您可以在 Route 53 中定义运行状况检查,然后通过控制台或 API 将其与受 Shield Advanced 保护的资源关联。这样的话,Shield Advanced 能以更低的流量阈值更快地检测影响应用程序运行状况的攻击,提高应用程序的 DDoS 弹性,并防止误报。资源运行状态还会提供给 SRT,使他们能够相应地优先对运行不正常的应用程序作出响应。您可以将基于运行状况的检测应用于 Shield Advanced 支持的所有资源类型:Elastic IP、ELB、CloudFront、Global Accelerator 或 Route 53。
AWS Shield Advanced 可以为您提供更为精细的自动缓解机制,用于防护以在受保护的 EC2、ELB、CloudFront、Global Accelerator 和 Route 53 资源上运行的应用程序为目标的事件。Shield Advanced 利用先进的路由技术,可以自动部署更多缓解能力,使您的应用程序不受 DDoS 事件影响。对于采用商业或企业支持计划的客户,SRT 也可以为您手动缓解针对您的应用程序的更复杂、更高级的 DDoS 事件。对于应用层事件,您可以使用 AWS Shield Advanced 订阅中包含的 AWS WAF 应用层(L7)DDoS 防护 AWS 托管规则组。该规则组旨在在数秒内自动检测并缓解应用层 DDoS 事件。作为订阅的一部分,每个订阅付款人账户在一个月内将可获得最高 500 亿次对 AWS WAF 保护的资源的访问请求。由此 AMR 检测到的属于 DDoS 类别的流量,只要未处于计数模式,就不计入 500 亿的流量总量之中。超过 500 亿的请求将按照 AWS Shield Advanced 定价页面标准进行计费。您也可以直接与 SRT 联系,以您的名义发布自定义 AWS WAF 规则,以便响应应用层 DDoS 攻击。SRT 将诊断事件,并且在您允许的情况下,代表您应用缓解,从而缩短您的应用程序受持续 DDoS 事件影响的时间。
AWS Shield Advanced 可以通过阻止应用程序层(第 7 层)DDoS 事件来自动保护 Web 应用程序,无需您或 AWS SRT 手动干预。AWS WAF 规则在 WebACL 中创建,以自动缓解事件,或者您可在纯计数模式下激活。这样您可以快速响应 DDoS 事件,阻止因应用程序层 DDoS 事件导致应用程序停机。
AWS Shield Advanced 使 SRT 能够在检测到 DDoS 事件时进行主动参与。当您启用主动参与后,如果与您的保护资源相关的 Route 53 运行状况检查在发生 DDoS 事件时变为运行不良状况,SRT 将直接联系您。这样一来,当您的应用程序可用性受到疑似攻击影响时,您可以与专家更加快速地互动。对于弹性 IP 地址和 Global Accelerator 加速器上的网络层和传输层事件,以及对 CloudFront 发行版和应用程序负载均衡器上的应用程序层攻击,您可以接收主动参与。
AWS Shield Advanced 让您可以将资源绑定到保护组中,通过将多个资源作为单个单元处理,为您提供一种自助方式来定制应用程序的检测和缓解范围。资源分组提高了检测的准确性,减少了误报,简化了新创建资源的自动保护过程,并加快了缓解针对多个资源的攻击的时间。例如,如果一个应用程序包含四个 CloudFront 发行版,您可以将它们添加到一个保护组中,以接收对整个资源集合的检测和保护。报告还可以在保护组级别使用,从而提供整个应用程序运行状况的更全面视图。
AWS Shield Advanced 通过 Amazon CloudWatch 为您提供 DDoS 事件的完整可见性以及近乎实时的通知,并在“AWS WAF 和 AWS Shield 控制台或 API 上提供详细的诊断信息。您还可以从控制台查看以前事件的摘要。当您使用适用于 AWS WAF 的应用层(L7)DDoS 防护托管规则时,您可以在 AWS WAF 控制台中查看由该规则组所保护的 DDoS 事件。
AWS Shield Advanced 具有 DDoS 费用保护功能,这一功能可以在受保护的 EC2、ELB、CloudFront、Global Accelerator 或 Route 53 资源出现 DDoS 相关的使用量高峰时,防止您的费用增加。如果上述任一受保护的资源的费用因 DDoS 攻击而增加,您可以通过常规的 AWS Support 渠道申请 Shield Advanced 服务退款。
对于采用商业或企业支持计划的客户,您可以通过 AWS Shield Advanced 联系随时待命的 SRT,该团队可以在 DDoS 攻击发生之前、发生过程中或发生之后为您提供服务。SRT 会帮助您对攻击进行诊断、确定根本原因并采取缓解措施。SRT 在快速响应和缓解针对 AWS 客户的 DDoS 攻击方面具有深厚的专业知识。
目前,客户可在全球所有 CloudFront、Global Accelerator 和 Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的源服务器可以是 Amazon Simple Storage Service (S3)、EC2、ELB 或 AWS 外部的自定义服务器。您还可以在 Shield Advanced 可用的所有 AWS 区域中直接对弹性 IP 或 ELB 实例启用保护。
AWS Shield Advanced 客户可以使用 AWS Firewall Manager 在整个组织中应用 Shield Advanced 和 AWS WAF 保护。Firewall Manager 的费用包括在 Shield Advanced 订阅费里面。使用 Firewall Manager,您可以自动配置涵盖多个账户和资源的策略。Firewall Manager 会自动审核账户以查找新的或未受保护的资源,并确保 Shield Advanced 和 AWS WAF 保护已得到普遍应用。这使得开发人员能够自信地快速迁移和部署新的应用程序,并且还会自动应用相应的保护。 要了解此安全管理服务的更多信息,请参阅 AWS Firewall Manager。
AWS Shield 网络安全分析器(预览版)
全部打开通过网络拓扑图来全面了解您的 AWS 环境,该图能一目了然地展示资源连接、安全配置以及潜在的安全问题。此视图会根据标签和连接模式对资源进行分组,以帮助您了解资源之间的关系及其在网络中的暴露程度。这使您能够迅速识别关键的安全问题,包括过于宽松的访问权限,以保护应用程序免受 SQL 注入等威胁的影响。
根据网络安全方面的最严重调查发现,会对资源进行严重程度分级,以便您了解您所处环境中的哪些资源根据其网络环境、AWS 最佳实践和威胁情报进行了正确配置。在控制面板中,根据严重程度对调查发现进行优先级排序,以便您能轻松确定哪些配置问题需要您立即处理。
利用推荐的服务和规则集迅速修复网络安全方面的配置错误,以缓解每个调查发现。建议以分步说明的形式提供。
利用来自 Amazon Q 开发者版内的 AWS Shield 网络安全分析器以自然语言形式分析您的网络安全问题。借助 Amazon Q,您可以通过 AWS 管理控制台和聊天应用程序询问有关网络安全调查发现的问题、探索相关问题,并获取修复建议。
应用层(L7)DDoS 防护
全部打开应用层(L7)DDoS 防护是一个 AWS 托管规则组,其设计目的是能够在数秒内自动保护应用程序免受分布式阻断服务(DDoS)事件的侵害。该功能可监控流量数据,在激活后几分钟内建立基准,然后利用机器学习模型检测正常流量模式中的异常。当流量超过或偏离既定基准时,系统会自动应用设计用于帮助阻止恶意请求的规则。 此功能旨在确保您 Amazon CloudFront、应用程序负载均衡器和 API Gateway 上的应用程序在面对新出现的 DDoS 事件时仍能保持可用性。
应用层(L7)DDoS 防护使您能够保护应用程序,而无需费力地手动配置和管理规则。此功能具有可自定义的选项,能够满足您的应用程序的需求,例如可设置规则敏感度设置以及对特定应用程序的 URI 路径进行检查。
旨在在数秒内缓解新出现的应用层 DDoS 事件
适用于 AWS WAF 的 AWS 托管规则已配置完成,为您节省时间
通过灵敏度控制根据您的应用程序需求定制第 7 层 DDoS 防御