AWS Shield
Cloud AWS

AWS Shield est un service de protection DDoS (Distributed Denial of Service) géré qui protège les applications Web tournant sous AWS. AWS Shield assure une détection continue et des atténuations des risques automatiques insérées qui minimisent les interruptions et la latence des applications, afin qu'il ne soit pas nécessaire d'enclencher AWS Support pour bénéfichier de la protection DDoS. Deux niveaux d'AWS Shield sont proposés – Standard et Avancé.

Tous les clients AWS bénéficie des protections automatiques AWS Shield Standard, sans frais supplémentaire. AWS Shield Standard protège contre les attaques DDoS les plus courantes et les plus fréquemment rencontrées sur la couche réseau et transport qui ciblent vos applications ou site Web. Lorsque vous utilisez AWS Shield Standard avec Amazon CloudFront et Amazon Route 53, vous bénéficiez d'une protection de disponibilité complète contre toutes les attaques d'infrastructure (couches 3 et 4) connues.

Pour obtenir des niveaux de protection supérieurs contre les attaques ciblant vos applications Web s'exécutant sur des ressources Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront et Amazon Route 53, vous pouvez souscrire à AWS Shield Advanced. Outre les protections de la couche réseau et transport fournies avec la version Standard, la AWS Shield Advanced apporte davantage de fonctions de détection et d'atténuation des risques contre les attaques DDoS plus vastes et complexes, une visibilité en quasi temps réel des attaques, et l'intégration avec AWS WAF, un pare-feu pour applications Web. AWS Shield Advanced vous permet également d'avoir accès à l'équipe AWS DDoS Response Team (DRT) et la protection contre les pics associés au DDoS dans vos frais EC2, ELB, CloudFront ou Route 53.

La version avancée d'AWS Shield est disponible à l'échelle mondiale sur tous les emplacements périphériques Amazon CloudFront et Amazon Route 53. Vous pouvez protéger vos applications Web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Vos serveurs d'origine peuvent être Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer AWS Shield Advanced directement sur un Elastic IP ou Elastic Load Balancing (ELB) dans les régions AWS suivantes : Virginie du Nord, Oregon, Irlande, Tokyo et nord de la Californie.


100x100_benefit_ingergration

Avec la version standard d'AWS Shield, vos ressources AWS sont automatiquement protégées contre les attaques DDoS sur la couche les plus courantes et fréquentes qui se produisent sur la couche réseau et transport. Vous pouvez obtenir un niveau de protection plus élevé en activant simplement la version avancée d'AWS Shield pour ressources Elastic IP, ELB (Elastic Load Balancing), Amazon CloudFront ou Amazon Route 53 que vous voulez protéger en utilisant la console de gestion ou les API.

100x100_benefit_customize

Avec la version avancée AWS Shield, vous avez la possibilité d'écrire des règles personnalisés pour atténuer les attaques complexes sur la couche application. Ces règles personnalisables peuvent être déployées instantanément, ce qui vous permet de rapidement atténuer les risques d'attaques. Vous pouvez configurer des règles proactives pour bloquer automatiquement le mauvais trafic ou répondre aux incidents dès qu'ils se produisent. Vous pouvez également faire appel à l'équipe disponible 24h/24 et 7j/7 AWS DDoS Response Team (DRT), qui peut élaborer des règles en votre nom pour atténuer les risques d'attaques DDoS sur la couche application.

100x100_benefit_lowcost-affordable

En tant que client AWS, vous obtenez automatiquement une protection de la couche réseau contre quelques-unes des attaques DDoS les plus courantes grâce à la version standard AWS Shield. Le lancement de cette protection n'exige pas de frais, ressources, ni temps supplémentaires. Avec AWS Shield Advanced, vous bénéficiez de la « protection contre les coûts DDoS » (DDoS cost protection), une fonctionnalité qui protège votre facture AWS contre les pics d'utilisation d'EC2, d'Elastic Load Balancing (ELB), d'Amazon CloudFront et d'Amazon Route 53 à la suite d'une attaque DDoS.

Détection rapide

La version standard d'AWS Shield assure une surveillance continue du flux réseau qui inspecte le trafic entrant vers AWS et utilise une combinaison de signatures de trafic, d'algorithmes d'anomalie et d'autres techniques d'analyse pour détecter le trafic malveillant en temps réel.

Atténuation intégrée des attaques  

Des techniques d'atténuation automatisées des risques sont intégrées à la version standard d'AWS Shield, et vous protège contre les attaques courantes contre l'infrastructure se produisant le plus fréquemment. Ses techniques sont intégrées à vos applications afin qu'il n'y ait pas d'effet de latence. L'atténuation des risques continue et intégrée minimise les interruptions des applications et vous permet de ne pas devoir faire appel à AWS Support pour obtenir la proctection contre le DDoS. La version standard d'AWS Shield utilise plusieurs techniques telles que le filtrage déterministe des paquets, et la régulation du flux en fonction des priorités pour atténuer automatiquement les attaques sans impacter vos applications. Vous pouvez également atténuer les attaques DDoS sur la couche application en élaborant des règles avec AWS WAF. Avec AWS WAF, vous ne payez que pour ce que vous utilisez.


Détection améliorée

AWS Shield Advanced fournit une détection améliorée, une inspection des flux réseau, ainsi que la surveillance du trafic sur la couche application vers vos ressources Elastic IP address, Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53. Grâce à d'autres techniques telles que la surveillance de ressources spécifiques, la version avancée d'AWS Shield permet la détection granulaire des attaques DDoS. La version avancée d'AWS Shield détecte les attaques DDoS sur la couche application telles que les floods HTTP ou floods par requêtes DNS en référençant le trafic sur votre ressource et en identifiant les anomalies.

Atténuation avancée des attaques

Outre les avantages de la version standard d'AWS Shield, la version avancée d'AWS Shield vous apporte des outils d'atténuation des risques automatiques plus sophistiqués. L'équipe AWS DDoS Response Team (DRT) applique également des règles d'atténuation manuelles des risques pour les attaques DDoS complexes et sophistiquées. Grâce à des techniques de routage avancées, AWS Shield Advanced fournit automatiquement une capacité supplémentaire d'atténuation des risques pour protéger contre les attaques DDoS importantes. Pour les attaques sur la couche application, vous pouvez utiliser AWS WAF pour répondre aux incidents. Avec AWS WAF, vous pouvez mettre en place des règles proactives telles que la mise sur liste noire en fonction des tarifs pour bloquer automatiquement le mauvais trafic, ou répondre immédiatement aux incidents dès qu'ils se produisent. L'utilisation d'AWS WAF pour la protection de la couche application n'entraîne aucun frais supplémentaire. Vous pouvez également vous engager directement auprès de la DRT pour placer des règles AWS WAF en votre nom en réponse à une attaque DDoS de couche d'application. L'équipe DRT diagnostique l'attaque, avec votre autorisation, et applique les mesures d'atténuation des risques en votre nom.

Visibilité et notification en cas d'attaque

La version avancée d'AWS Shield vous apporte une visibilité complète des attaques DDoS avec la notification en quasi temps réel via Amazon CloudWatch. En travaillant avec l'équipe AWS DDoS Response Team (DRT), vous pouvez accéder à l'analyse et l'enquête post-événement. Vous pouvez également afficher un résumé des attaques précédentes à partir d'AWS WAF et d'AWS Shield Management Console.

Support spécialisé

Avec AWS Shield Advanced, vous avez accès à une équipe AWS DDoS Response Team (DRT) 24 h/24 et 7 j/7, à laquelle vous pouvez faire appel avant, pendant ou après une attaque DDoS. L'équipe DRT aidera le triage des incidents, l'identification des causes source, et l'application des mesures d'atténuation des risques en votre nom. Vous pouvez également faire appel à l'équipe DRT pour toute analyse postérieure à une attaque.

Protection des coûts DDoS

AWS Shield Advanced est fournie avec la « protection des coûts DDoS », une mesure protégeant contre le dimensionnement des coûts en raison d'une attaque DDoS qui entraîne des pics d'utilisation sur Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53. Lorsqu'il y a dimensionnement de l'un de ces services à la suite d'une attaque DDoS, AWS fournira des crédits de service pour les frais facturés en raison des pics d'utilisation. Pour plus de détails sur la manière de demander des crédits de service, veuillez consulter la documentation avancée AWS WAF et AWS Shield.

Vos applications Web tournant sur AWS sont déjà protégées par la version standard d'AWS Shield. Pour activer la version avancée d'AWS Shield, ouvrez “AWS WAF et AWS Shield” Management Console et sélectionnez les ressources pour lesquelles vous souhaitez activer la protection avancée.

Démarrage avec AWS Shield