AWS Shield
Cloud AWS

AWS Shield est un service de protection DDoS (Distributed Denial of Service) géré qui protège les applications tournant sous AWS. AWS Shield assure une détection continue et des atténuations des risques automatiques insérées qui minimisent les interruptions et la latence des applications, afin qu'il ne soit pas nécessaire d'enclencher AWS Support pour bénéfichier de la protection DDoS. Deux niveaux d'AWS Shield sont proposés – Standard et Avancé.

Tous les clients AWS bénéficie des protections automatiques AWS Shield Standard, sans frais supplémentaire. AWS Shield Standard protège contre les attaques DDoS les plus courantes et les plus fréquemment rencontrées sur la couche réseau et transport qui ciblent vos applications ou site Web. Lorsque vous utilisez AWS Shield Standard avec Amazon CloudFront et Amazon Route 53, vous bénéficiez d'une protection de disponibilité complète contre toutes les attaques d'infrastructure (couches 3 et 4) connues.

Pour obtenir des niveaux de protection supérieurs contre les attaques ciblant vos applications s'exécutant sur des ressources Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront et Amazon Route 53, vous pouvez souscrire à AWS Shield Advanced. Outre les protections de la couche réseau et transport fournies avec la version Standard, AWS Shield Advanced apporte davantage de fonctions de détection et d'atténuation des risques contre les attaques DDoS plus vastes et complexes, une visibilité en quasi-temps réel des attaques, et l'intégration avec AWS WAF, un pare-feu pour applications web. AWS Shield Advanced offre également un accès 24 h/24 et 7 j/7 à l'équipe AWS DDoS Response Team (DRT) et une protection contre les pics de consommation dus aux attaques DDoS dans vos charges Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront et Amazon Route 53.

La version avancée d'AWS Shield est disponible à l'échelle mondiale sur tous les emplacements périphériques Amazon CloudFront et Amazon Route 53. Vous pouvez protéger vos applications Web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Vos serveurs d'origine peuvent être Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer AWS Shield Advanced directement sur un Elastic IP ou Elastic Load Balancing (ELB) dans les régions AWS suivantes : Virginie du Nord, Oregon, Irlande, Tokyo et nord de la Californie.

100x100_benefit_ingergration

Avec la version standard d'AWS Shield, vos ressources AWS sont automatiquement protégées contre les attaques DDoS sur la couche les plus courantes et fréquentes qui se produisent sur la couche réseau et transport. Vous pouvez obtenir un niveau de protection plus élevé en activant simplement la version avancée d'AWS Shield pour ressources Elastic IP, ELB (Elastic Load Balancing), Amazon CloudFront ou Amazon Route 53 que vous voulez protéger en utilisant la console de gestion ou les API.

100x100_benefit_customize

Avec la version avancée AWS Shield, vous avez la possibilité d'écrire des règles personnalisés pour atténuer les attaques complexes sur la couche application. Ces règles personnalisables peuvent être déployées instantanément, ce qui vous permet de rapidement atténuer les risques d'attaques. Vous pouvez configurer des règles proactives pour bloquer automatiquement le mauvais trafic ou répondre aux incidents dès qu'ils se produisent. Vous pouvez également faire appel à l'équipe AWS DDoS Response Team (DRT), disponible 24 h/24 et 7 j/7, qui peut élaborer des règles en votre nom pour atténuer les risques d'attaques DDoS sur la couche application.

100x100_benefit_lowcost-affordable

En tant que client AWS, vous obtenez automatiquement une protection de la couche réseau contre les attaques DDoS les plus courantes grâce à AWS Shield Standard. Le lancement de cette protection n'exige pas de frais, ressources, ni temps supplémentaires. Avec AWS Shield Advanced, vous bénéficiez de la « protection contre les coûts DDoS » (DDoS cost protection), une fonctionnalité qui protège votre facture AWS contre les pics d'utilisation d'EC2, d'Elastic Load Balancing (ELB), d'Amazon CloudFront et d'Amazon Route 53 à la suite d'une attaque DDoS.

Détection rapide

AWS Shield Standard assure une surveillance continue du flux réseau qui inspecte le trafic entrant vers AWS et utilise une combinaison de signatures de trafic, d'algorithmes d'anomalie et d'autres techniques d'analyse pour détecter le trafic malveillant en temps réel

Atténuation intégrée des attaques

Des techniques d'atténuation automatisées des risques sont intégrées à AWS Shield Standard, et vous protège contre les attaques courantes contre l'infrastructure se produisant le plus fréquemment. Ses techniques sont intégrées à vos applications afin qu'il n'y ait pas d'effet de latence. La version standard d'AWS Shield utilise plusieurs techniques telles que le filtrage déterministe des paquets, et la régulation du flux en fonction des priorités pour atténuer automatiquement les attaques sans impacter vos applications. Vous pouvez également atténuer les attaques DDoS sur la couche application en élaborant des règles avec AWS WAF. Avec AWS WAF, vous ne payez que pour ce que vous utilisez.

L'atténuation des risques continue et intégrée minimise les interruptions des applications et vous permet de ne pas devoir faire appel à AWS Support pour obtenir la protection contre le DDoS


Détection améliorée

Avec AWS Shield Advanced, vous avez accès à une équipe AWS DDoS Response Team (DRT) 24 h/24 et 7 j/7, à laquelle vous pouvez faire appel avant, pendant ou après une attaque DDoS. L'équipe DRT aidera le triage des incidents, l'identification des causes source, et l'application des mesures d'atténuation des risques en votre nom. Vous pouvez également faire appel à l'équipe DRT pour toute analyse postérieure à une attaque.

Atténuation avancée des attaques

AWS Shield Advanced offre des méthodes d'atténuation automatique plus sophistiquées. Grâce à des techniques de routage avancées, AWS Shield Advanced fournit automatiquement une capacité supplémentaire d'atténuation des risques pour protéger contre les attaques DDoS importantes. L'équipe AWS DDoS Response Team (DRT) applique également des règles d'atténuation manuelles des risques pour les attaques DDoS complexes et sophistiquées. Pour les attaques sur la couche application, vous pouvez utiliser AWS WAF pour répondre aux incidents. Avec AWS WAF, vous pouvez mettre en place des règles proactives telles que la mise sur liste noire en fonction des tarifs pour bloquer automatiquement le mauvais trafic, ou répondre immédiatement aux incidents dès qu'ils se produisent. L'utilisation d'AWS WAF pour la protection de la couche application n'entraîne aucun frais supplémentaire. Vous pouvez également vous engager directement auprès de la DRT pour placer des règles AWS WAF en votre nom en réponse à une attaque DDoS de couche d'application. L'équipe DRT diagnostique l'attaque, avec votre autorisation, et applique les mesures d'atténuation des risques en votre nom.

Visibilité et notification en cas d'attaque

AWS Shield Advanced offre une visibilité totale des attaques DDoS, avec une notification en temps quasi réel via Amazon CloudWatch et des diagnostics détaillés sur la console de gestion d'« AWS WAF et AWS Shield ». En travaillant avec l'équipe DDoS Response Team (DRT), vous pouvez accéder à l'analyse et l'enquête post-événement. Vous pouvez également afficher un résumé des attaques précédentes à partir d'AWS WAF et d'AWS Shield Management Console.

Support spécialisé

AWS Shield Advanced fournit une détection améliorée, une inspection des flux réseau, ainsi que la surveillance du trafic sur la couche application vers vos ressources Elastic IP address, Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53. Grâce à d'autres techniques telles que la surveillance de ressources spécifiques, la version avancée d'AWS Shield permet la détection granulaire des attaques DDoS. La version avancée d'AWS Shield détecte les attaques DDoS sur la couche application telles que les floods HTTP ou floods par requêtes DNS en référençant le trafic sur votre ressource et en identifiant les anomalies.

Protection des coûts DDoS

AWS Shield Advanced est fournie avec la « protection des coûts DDoS », une mesure protégeant contre le dimensionnement des coûts en raison d'une attaque DDoS qui entraîne des pics d'utilisation sur Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53. Lorsqu'il y a une mise à l'échelle de l'un de ces services à la suite d'une attaque DDoS, AWS fournira des crédits de service AWS Shield pour les frais facturés en raison des pics d'utilisation. Pour plus de détails sur la manière de demander des crédits de service, veuillez consulter la documentation AWS WAF et AWS Shield Advanced.

DNS

Avec Amazon Route 53

AWS Shield Standard protège automatiquement vos zones hébergées Amazon Route 53 contre les attaques DDoS dans la couche infrastructure, sans frais supplémentaires. Les attaques par réflexion et les « SYN floods » qui visent fréquemment votre serveur DNS sont notamment concernées. AWS Shield Standard utilise automatiquement différentes techniques, comme les validations d'en-tête et la régulation du flux en fonction des priorités, pour atténuer automatiquement ces attaques DDoS.

En outre, AWS Shield Advanced offre une protection supplémentaire pour les cas extrêmes nécessitant une intervention manuelle, grâce à l'équipe AWS DDoS Response Team disponible 24 h/24, 7 j/7. En outre, AWS Shield Advanced offre également plus de visibilité au niveau des attaques ciblant votre infrastructure Route 53.

Pour en savoir plus sur la réduction des risques d'attaque DDoS avec Amazon Route 53 et AWS Shield.


Applications Web et API
Utilisation d'Amazon CloudFront ou de l'équilibreur de charge d'application

Lors de l'utilisation d'Amazon CloudFront, AWS Shield Standard fournit automatiquement une protection complète contre les attaques des couches d'infrastructures, telles que les saturations SYN, UDP ou toute autre attaque de réflexion. Le mode de détection constamment activé et les systèmes de limitation des risques d'AWS Shield Standard « nettoient » automatiquement tout le mauvais trafic aux couches 3 et 4 afin de protéger votre application. Plus de 99 % des attaques des couches d'infrastructures détectées par AWS Shield Standard sont limitées automatiquement en moins de 1 seconde, afin qu'Amazon CloudFront ne subisse aucune attaque.

Apprenez à utiliser Amazon CloudFront pour protéger vos applications dynamiques contre les attaques DDoS

Découvrez comment Slack utilise Amazon CloudFront pour se protéger contre les attaques DDoS.

Intervenant :
Alex Graham, ingénieur senior des opérations, Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

Pour une protection supplémentaire contre les attaques DDoS importantes et sophistiquées, vous pouvez également utiliser AWS Shield Advanced pour Amazon CloudFront. Avec Shield Advanced, les clients peuvent contacter à tout moment l'équipe AWS en charge des attaques DDoS (DRT), qui applique de manière proactive n'importe quelle méthode de limitation nécessaire pour toute attaque sophistiquée d'une couche d'infrastructures (couches 3 et 4) en utilisant des techniques supplémentaires, telles que l'ingénierie du trafic. De plus, AWS Shield Advanced vous protège également contre les attaques des couches d'applications, comme les saturations HTTP. Le système de détection de base intégré et toujours activé d'AWS Shield Advanced indique le trafic provenant de l'application et opère une surveillance permettant de repérer toute anomalie, tout cela à la place du client. AWS Shield Advanced vous permet d'accéder à AWS WAF sans frais supplémentaires et de personnaliser ainsi toute limitation des risques pour une couche d'applications.


Autres applications (comme les applications basées sur l'UDP)
Utiliser une adresse IP Elastic

Pour les autres applications personnalisées non basées sur le TCP (mais plutôt sur l'UDP, le SIP, etc.), vous ne pouvez pas utiliser les services tels qu'Amazon CloudFront ou Elastic Load Balancing. Dans ces cas-là, vous devez souvent exécuter vos applications directement sur des instances Amazon EC2 orientées Internet. AWS Shield Standard protège également votre instance Amazon EC2 contre les attaques DDoS des couches d'infrastructures (couches 3 et 4) les plus répandues, telles que les attaques de réflexion des protocoles UDP, DNS, NTP, SSDP, etc. AWS Shield Standard utilise différentes techniques, telles que le modelage du trafic en fonction des priorités, qui s'activent automatiquement lorsqu'une signature d'attaque DDoS clairement définie est détectée.

Pour ces applications, vous pouvez également obtenir une protection avancée contre les attaques DDoS importantes et sophistiquées en activant AWS Shield Advanced sur votre adresse IP Elastic. Le système de détection d'attaques DDoS amélioré d'AWS Shield Advanced repère automatiquement le type de ressource AWS et la taille de l'instance EC2, puis applique les méthodes de limitation prédéfinies correspondantes. Avec AWS Shield Advanced, les clients peuvent également créer leurs propres profils de limitation personnalisés en s'adressant à tout moment à l'équipe AWS en charge des attaques DDoS (DRT). AWS Shield Advanced permet également de garantir qu'en cas d'attaque DDoS, toutes vos listes de contrôle d'accès (ACL) au réseau Amazon VPC soient automatiquement appliquées en bordure du réseau AWS, vous donnant ainsi accès à davantage de bande passante et de capacité de nettoyage afin de limiter les attaques DDoS sur des volumes de données importants. Avec AWS Shield Advanced, vous pouvez obtenir une protection supplémentaire contre les attaques DDoS, comme les saturations SYN ou d'autres vecteurs d'attaque (tels que les saturations UDP).

En savoir plus sur l'intégration d'une adresse IP Elastic à une instance Amazon EC2

Vos applications Web tournant sur AWS sont déjà protégées par la version standard d'AWS Shield. Pour activer la version avancée d'AWS Shield, ouvrez “AWS WAF et AWS Shield” Management Console et sélectionnez les ressources pour lesquelles vous souhaitez activer la protection avancée.

Démarrage avec AWS Shield