AWS Shield
Cloud AWS

AWS Shield est un service de protection DDoS (Distributed Denial of Service) géré qui protège les applications tournant sous AWS. AWS Shield assure une détection continue et des atténuations des risques automatiques insérées qui minimisent les interruptions et la latence des applications, afin qu'il ne soit pas nécessaire d'enclencher AWS Support pour bénéfichier de la protection DDoS. Deux niveaux d'AWS Shield sont proposés – Standard et Avancé.

Tous les clients AWS bénéficient des protections automatiques AWS Shield Standard, sans frais supplémentaire. AWS Shield Standard protège contre les attaques DDoS les plus courantes et les plus fréquemment rencontrées sur la couche réseau et transport qui ciblent vos applications ou site Web. Lorsque vous utilisez AWS Shield Standard avec Amazon CloudFront et Amazon Route 53, vous bénéficiez d'une protection de disponibilité complète contre toutes les attaques d'infrastructure (couches 3 et 4) connues.

Pour obtenir des niveaux de protection supérieurs contre les attaques ciblant vos applications s'exécutant sur des ressources Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront et Amazon Route 53, vous pouvez souscrire à AWS Shield Advanced. Outre les protections de la couche réseau et transport fournies avec la version Standard, AWS Shield Advanced apporte davantage de fonctions de détection et d'atténuation des risques contre les attaques DDoS plus vastes et complexes, une visibilité en quasi-temps réel des attaques, et l'intégration avec AWS WAF, un pare-feu pour applications web. AWS Shield Advanced offre également un accès 24 h/24 et 7 j/7 à l'équipe AWS DDoS Response Team (DRT) et une protection contre les pics de consommation dus aux attaques DDoS dans vos charges Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront et Amazon Route 53.

La version avancée d'AWS Shield est disponible à l'échelle mondiale sur tous les emplacements périphériques Amazon CloudFront et Amazon Route 53. Vous pouvez protéger vos applications Web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Vos serveurs d'origine peuvent être Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer AWS Shield Advanced directement sur un Elastic IP ou Elastic Load Balancing (ELB) dans les régions AWS suivantes : Virginie du Nord, Oregon, Irlande, Tokyo et nord de la Californie.

100x100_benefit_ingergration

Avec AWS Shield Standard, vos ressources AWS sont automatiquement protégées contre les attaques DDoS les plus courantes et fréquentes qui se produisent sur les couches réseau et de transport. Vous pouvez obtenir un niveau de protection plus élevé en activant simplement la protection AWS Shield Advanced pour les ressources Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53 que vous voulez protéger en utilisant la console de gestion ou les API.

100x100_benefit_customize

Avec AWS Shield Advanced, vous avez la possibilité d'écrire des règles personnalisées pour atténuer les attaques complexes sur la couche application. Ces règles personnalisables peuvent être déployées instantanément, ce qui vous permet de rapidement atténuer les risques d'attaques. Vous pouvez configurer des règles proactives pour bloquer automatiquement le mauvais trafic ou répondre aux incidents dès qu'ils se produisent. Vous pouvez également faire appel à l'équipe AWS en charge des attaques DDoS (DRT), disponible 24 h/24 et 7 j/7, qui peut élaborer des règles en votre nom pour atténuer les risques d'attaques DDoS sur la couche application.

100x100_benefit_lowcost-affordable

En tant que client AWS, vous obtenez automatiquement une protection de la couche réseau contre les attaques DDoS les plus courantes grâce à AWS Shield Standard. Le lancement de cette protection n'exige pas de frais, ressources, ni temps supplémentaires. Avec AWS Shield Advanced, vous bénéficiez de la « protection contre les coûts DDoS » (DDoS cost protection), une fonction qui protège votre facture AWS contre les pics d'utilisation d'EC2, d'Elastic Load Balancing (ELB), d'Amazon CloudFront et d'Amazon Route 53 à la suite d'une attaque DDoS.

Détection rapide

AWS Shield Standard assure une surveillance continue du flux réseau qui inspecte le trafic entrant vers AWS et utilise une combinaison de signatures de trafic, d'algorithmes d'anomalie et d'autres techniques d'analyse pour détecter le trafic malveillant en temps réel.

Atténuation intégrée des attaques

Des techniques d'atténuation automatisées des risques sont intégrées à AWS Shield Standard, et vous protègent contre les attaques courantes contre l'infrastructure se produisant le plus fréquemment. Ces techniques sont intégrées à vos applications afin qu'il n'y ait pas d'effet de latence. AWS Shield Standard utilise plusieurs techniques telles que le filtrage déterministe des paquets et la régulation du flux en fonction des priorités pour atténuer automatiquement les attaques sans impact sur vos applications. Vous pouvez également atténuer les attaques DDoS sur la couche application en écrivant des règles avec AWS WAF. Avec AWS WAF, vous ne payez que pour ce que vous utilisez.

L'atténuation des risques continue et intégrée minimise les temps d'arrêt des applications et vous évite d'avoir à faire appel à AWS Support pour obtenir la protection DDoS.


Détection améliorée

Avec AWS Shield Advanced, vous avez accès à l'équipe AWS en charge des attaques DDoS (DRT) 24 h/24 et 7 j/7, à laquelle vous pouvez faire appel avant, pendant ou après une attaque DDoS. L'équipe DRT apportera son aide pour le triage des incidents, l'identification des causes source, et l'application des mesures d'atténuation des risques en votre nom. Vous pouvez également faire appel à l'équipe DRT pour toute analyse postérieure à une attaque.

Atténuation avancée des attaques

AWS Shield Advanced offre des méthodes d'atténuation automatique plus sophistiquées. Grâce à des techniques de routage avancées, AWS Shield Advanced fournit automatiquement une capacité supplémentaire d'atténuation des risques pour protéger contre les attaques DDoS importantes. L'équipe AWS en charge des attaques DDoS (DRT) applique également des mesures d'atténuation des risques manuelles pour les attaques DDoS complexes et sophistiquées. Pour les attaques sur la couche application, vous pouvez utiliser AWS WAF pour répondre aux incidents. Avec AWS WAF, vous pouvez mettre en place des règles proactives telles que la mise sur liste noire en fonction des tarifs pour bloquer automatiquement le mauvais trafic, ou répondre immédiatement aux incidents dès qu'ils se produisent. L'utilisation d'AWS WAF pour la protection de la couche application n'entraîne pas de frais supplémentaires. Vous pouvez également contacter directement l'équipe DRT pour qu'elle place des règles AWS WAF en votre nom suite à une attaque DDoS de la couche application. L'équipe DRT diagnostique l'attaque et, avec votre autorisation, applique les mesures d'atténuation des risques en votre nom.

Visibilité et notification en cas d'attaque

AWS Shield Advanced offre une visibilité totale sur les attaques DDoS, avec une notification en temps quasi réel via Amazon CloudWatch et des diagnostics détaillés sur la console de gestion « AWS WAF and AWS Shield ». En travaillant avec l'équipe AWS en charge des attaques DDoS (DRT), vous pouvez accéder à l'analyse et l'enquête post-événement. Vous pouvez également afficher un résumé des attaques précédentes à partir de la console de gestion « AWS WAF and AWS Shield ».

Support spécialisé

AWS Shield Advanced fournit une détection améliorée, une inspection des flux réseau, ainsi que la surveillance du trafic sur la couche application vers vos ressources Elastic IP address, Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53. Grâce à d'autres techniques telles que la surveillance de ressources spécifiques, AWS Shield Advanced permet la détection précise des attaques DDoS. AWS Shield Advanced détecte les attaques DDoS sur la couche application telles que les floods HTTP ou floods par requêtes DNS en référençant le trafic sur votre ressource et en identifiant les anomalies.

Protection des coûts DDoS

AWS Shield Advanced est fourni avec la « protection des coûts DDoS », une mesure protégeant contre l'évolution des coûts en raison d'une attaque DDoS entraînant des pics d'utilisation sur Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53. Lorsqu'il y a une évolution de l'un de ces services à la suite d'une attaque DDoS, AWS fournit des crédits de service AWS Shield pour les frais facturés en raison des pics d'utilisation. Pour plus de détails sur la procédure de demande de crédits de service, consultez la documentation AWS WAF et AWS Shield Advanced.

DNS

Utilisation d'Amazon Route 53

AWS Shield Standard protège automatiquement vos zones hébergées Amazon Route 53 contre les attaques DDoS dans la couche infrastructure, sans frais supplémentaires. Les attaques par réflexion et les floods SYN qui visent fréquemment votre serveur DNS sont notamment concernés. AWS Shield Standard utilise automatiquement différentes techniques, comme les validations d'en-tête et la régulation du flux en fonction des priorités, pour atténuer automatiquement ces attaques DDoS.

En outre, AWS Shield Advanced offre une protection supplémentaire pour les cas extrêmes nécessitant une intervention manuelle, grâce à l'équipe AWS en charge des attaques DDoS (DRT) disponible 24 h/24, 7 j/7. De plus, AWS Shield Advanced offre également plus de visibilité au niveau des attaques ciblant votre infrastructure Route 53.

En savoir plus sur la réduction des risques d'attaque DDoS avec Amazon Route 53 et AWS Shield.


Applications Web et API
Utilisation d'Amazon CloudFront ou d'Application Load Balancer

Lors de l'utilisation d'Amazon CloudFront, AWS Shield Standard fournit automatiquement une protection complète contre les attaques de la couche infrastructure, telles que les floods SYN, les floods UDP ou toute autre attaque de réflexion. Le mode de détection constamment activé et les systèmes d'atténuation des risques d'AWS Shield Standard « nettoient » automatiquement tout le mauvais trafic sur les couches 3 et 4 afin de protéger votre application. Plus de 99 % des attaques de la couche infrastructure détectées par AWS Shield Standard sont limitées automatiquement en moins de 1 seconde, afin qu'Amazon CloudFront ne subisse aucune attaque.

Apprenez à utiliser Amazon CloudFront pour protéger vos applications dynamiques contre les attaques DDoS.

Découvrez comment Slack utilise Amazon CloudFront pour se protéger contre les attaques DDoS.

Intervenant :
Alex Graham, Ingénieur senior des opérations, Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

Pour une protection supplémentaire contre les attaques DDoS importantes et sophistiquées, vous pouvez également utiliser AWS Shield Advanced pour Amazon CloudFront. Avec Shield Advanced, les clients peuvent contacter à tout moment l'équipe AWS en charge des attaques DDoS (DRT), qui applique de manière proactive n'importe quelle méthode d'atténuation nécessaire pour toute attaque sophistiquée de la couche infrastructure (couche 3 ou 4) en utilisant des techniques supplémentaires, telles que l'ingénierie du trafic. De plus, AWS Shield Advanced vous protège également contre les attaques de la couche application, comme les floods HTTP. Le système de détection de base intégré et toujours activé d'AWS Shield Advanced indique le trafic provenant de l'application et opère une surveillance permettant de repérer toute anomalie, tout cela à la place du client. AWS Shield Advanced vous permet d'accéder à AWS WAF sans frais supplémentaires et de personnaliser ainsi toute méthode d'atténuation des risques pour la couche application.


Autres applications (comme les applications basées sur UDP)
Utilisation d'une adresse IP Elastic

Pour les autres applications personnalisées non basées sur TCP (mais plutôt sur UDP, SIP, etc.), vous ne pouvez pas utiliser les services tels qu'Amazon CloudFront ou Elastic Load Balancing. Dans ces cas-là, vous devez souvent exécuter vos applications directement sur des instances Amazon EC2 accessibles sur Internet. AWS Shield Standard protège également votre instance Amazon EC2 contre les attaques DDoS courantes des couches infrastructure (couches 3 et 4), telles que les attaques de réflexion des protocoles UDP, DNS, NTP, SSDP, etc. AWS Shield Standard utilise différentes techniques, telles que le modelage du trafic en fonction des priorités, qui s'activent automatiquement lorsqu'une signature d'attaque DDoS clairement définie est détectée.

Pour ces applications, vous pouvez également obtenir une protection avancée contre les attaques DDoS importantes et sophistiquées en activant AWS Shield Advanced sur votre adresse IP Elastic. Le système de détection d'attaques DDoS amélioré d'AWS Shield Advanced détecte automatiquement le type de ressource AWS et la taille de l'instance EC2, puis applique les méthodes d'atténuation prédéfinies appropriées. Avec AWS Shield Advanced, les clients peuvent également créer leurs propres profils d'atténuation des risques personnalisés en s'adressant à tout moment à l'équipe AWS en charge des attaques DDoS (DRT). AWS Shield Advanced permet également de garantir qu'en cas d'attaque DDoS, toutes vos listes de contrôle d'accès (ACL) au réseau VPC Amazon sont automatiquement appliquées en bordure du réseau AWS, vous donnant ainsi accès à davantage de bande passante et de capacité de nettoyage afin de limiter les attaques DDoS sur des volumes de données importants. Avec AWS Shield Advanced, vous pouvez obtenir une protection supplémentaire contre les attaques DDoS, comme les floods SYN ou d'autres vecteurs d'attaque tels que les floods UDP.

En savoir plus sur l'association d'une adresse IP Elastic à une instance Amazon EC2.

Vos applications Web s'exécutant sur AWS sont déjà protégées par AWS Shield Standard. Pour activer AWS Shield Advanced, accédez à la console de gestion « AWS WAF and AWS Shield » et sélectionnez les ressources pour lesquelles vous souhaitez activer la protection de niveau Advanced.

Démarrez avec AWS Shield