AWS Shield

Protection DDoS gérée

AWS Shield est un service de protection DDoS (Déni de service distribué) géré qui protège les applications s'exécutant sous AWS. AWS Shield assure une détection continue et une atténuation automatique des risques pour minimiser les temps d'arrêt et la latence des applications, afin qu'il ne soit pas nécessaire d'avoir recours à AWS Support pour bénéficier de la protection DDoS. Deux niveaux d'AWS Shield sont proposés : Standard et Advanced.

Tous les clients AWS bénéficient des protections automatiques d'AWS Shield Standard, sans frais supplémentaires. AWS Shield Standard protège contre les attaques de déni de services DDoS les plus courantes et les plus fréquemment rencontrées sur les couches de réseau et de transport qui ciblent vos applications ou votre site Web. Lorsque vous utilisez AWS Shield Standard avec Amazon CloudFront et Amazon Route 53, vous bénéficiez d'une protection de la disponibilité complète contre toutes les attaques d'infrastructure (couches 3 et 4) connues.

Pour obtenir des niveaux de protection supérieurs contre les attaques ciblant vos applications s'exécutant sur des ressources Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53, vous pouvez souscrire un abonnement à AWS Shield Advanced. Outre les protections des couches réseau et de transport fournies avec la version standard, AWS Shield Advanced fournit davantage de fonctions de détection et d'atténuation des risques contre les attaques DDoS plus vastes et complexes, une visibilité quasiment en temps réel des attaques, et l'intégration à AWS WAF, un pare-feu pour applications Web. AWS Shield Advanced offre également un accès 24 h/24 et 7 j/7 à l'équipe AWS en charge des attaques DDoS (DRT) et une protection contre les pics de consommation dus aux attaques DDoS dans vos facturations Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53.

La version avancée d'AWS Shield est disponible sur tous les emplacements périphériques Amazon CloudFront, AWS Global Accelerator et Amazon Route 53. Vous pouvez protéger vos applications Web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Vos serveurs d'origine peuvent être Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer AWS Shield Advanced directement sur un Elastic IP ou un Elastic Load Balancing (ELB) dans les régions AWS suivantes : Virginie du Nord, Ohio, Oregon, Californie du Nord, Irlande, Francfort, Tokyo et Sydney.

Avantages

Intégration et déploiement transparents

Vos ressources AWS disposent automatiquement d’AWS Shield Standard et sont protégées contre les attaques DDoS les plus courantes et fréquentes qui se produisent sur les couches réseau et de transport. Vous pouvez obtenir un niveau de protection plus élevé en activant simplement la protection AWS Shield Advanced pour les ressources Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator ou Amazon Route 53 à protéger en utilisant la console de gestion ou des API. Aucun changement de routage n'est nécessaire pour activer ces protections.

Protection personnalisable

Avec AWS Shield Advanced, vous avez la possibilité de choisir les ressources à protéger pour la protection de l'infrastructure (couches 3 et 4). Vous pouvez écrire des règles personnalisées avec AWS WAF pour atténuer les attaques sophistiquées des couches d’application. Ces règles personnalisables peuvent être déployées instantanément, ce qui vous permet de rapidement atténuer les risques d'attaques. Vous pouvez configurer des règles proactives pour bloquer automatiquement le mauvais trafic ou répondre aux incidents dès qu'ils se produisent. Vous pouvez également faire appel à l'équipe AWS en charge des attaques DDoS (DRT), disponible 24 h/24 et 7 j/7, qui peut élaborer des règles en votre nom pour atténuer les risques d'attaques DDoS sur la couche application.

Protection gérée et visibilité des attaques

Avec AWS Shield Standard, vous bénéficiez d'une surveillance du flux réseau basée sur une méthode heuristique permanente et d'une atténuation en ligne contre les attaques DDoS courantes et les plus fréquentes sur la couche de transport. AWS Shield Advanced fournit une détection améliorée spécifique aux ressources et utilise des techniques de routage et d'atténuation avancées pour les attaques sophistiquées ou de plus grande envergure. Vous disposez également d'un accès 24 heures sur 24, 7 jours sur 7, à l'équipe de réponse AWS DDoS (DRS) pour l'atténuation manuelle des incidents à la périphérie qui affectent votre disponibilité. AWS Shield Advanced fournit également une visibilité et des informations sur tous vos incidents DDoS via les métriques AWS CloudWatch et les diagnostics d'attaque. Enfin, vous pouvez également visualiser l'environnement de menace DDoS sur AWS avec le tableau de bord de l'environnement de menace global.

Rentabilité

AWS Shield Standard est activé automatiquement pour tous les clients AWS sans frais supplémentaire. Avec AWS Advanced, les clients obtiennent AWS WAF et AWS Firewall Manager sans frais supplémentaires pour une utilisation sur des ressources protégées par AWS Shield Advanced. De plus, vous bénéficiez de la « protection contre les coûts DDoS pour la mise à l'échelle », une fonctionnalité qui protège votre facture AWS contre les pics d'utilisation sur vos ressources AWS Shield Advanced pour EC2 protégé, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53 en tant que résultat d'une attaque DDoS.

En savoir plus sur AWS Shield Standard et les fonctionnalités avancées >>

Clients présentés

Netflix 8up logo
Dow Jones 8up logo
Mapbox
Aurora_logo-Pearson
rovio

Cas d’utilisation de protection

Applications Web et API

Lors de l'utilisation d'Amazon CloudFront, AWS Shield Standard fournit automatiquement une protection complète contre les attaques de la couche infrastructure, notamment les attaques floods SYN, les floods UDP ou toute autre attaque de réflexion. Les systèmes de détection et d’atténuation des risques en continu d'AWS Shield Standard « nettoient » automatiquement le mauvais trafic sur les couches 3 et 4 afin de protéger votre application. Plus de 99 % des attaques sur la couche infrastructure détectées par AWS Shield Standard sont limitées automatiquement en moins d’une seconde afin qu'Amazon CloudFront ne subisse aucune attaque.

Apprenez à utiliser Amazon CloudFront pour protéger vos applications dynamiques contre les attaques DDoS.

Découvrez comment Slack utilise Amazon CloudFront pour se protéger contre les attaques DDoS.

Pour une protection supplémentaire contre les attaques DDoS importantes et sophistiquées, vous pouvez également utiliser AWS Shield Advanced pour Amazon CloudFront. Avec Shield Advanced, les clients peuvent contacter à tout moment l'équipe AWS en charge des attaques DDoS (DRT), qui applique de manière proactive n'importe quelle méthode d'atténuation nécessaire pour toute attaque sophistiquée de la couche infrastructure (couche 3 ou 4) en utilisant des techniques supplémentaires, telles que l'ingénierie du trafic. De plus, AWS Shield Advanced vous protège également contre les attaques de la couche application, comme les floods HTTP. Le système de détection de base intégré et toujours activé d'AWS Shield Advanced indique le trafic provenant de l'application et opère une surveillance permettant de repérer toute anomalie, tout cela à la place du client. AWS Shield Advanced vous permet d'accéder à AWS WAF sans frais supplémentaires et de personnaliser ainsi n’importe quelle méthode d'atténuation des risques pour la couche application.

Slack – Accélération d’API sécurisée

Intervenant :
Alex Graham, Ingénieur senior des opérations, Slack Technologies, Inc.

200x100_Slack_Logo

DNS

AWS Shield Standard protège automatiquement les zones hébergées Amazon Route 53 contre les attaques DDoS dans la couche infrastructure, sans frais supplémentaires. Les attaques par réflexion et les floods SYN qui visent fréquemment votre serveur DNS sont notamment concernés. AWS Shield Standard utilise automatiquement différentes techniques, comme les validations d'en-tête et la régulation du flux en fonction des priorités, pour atténuer automatiquement ces attaques DDoS.

En outre, AWS Shield Advanced offre une protection supplémentaire pour les cas extrêmes nécessitant une intervention manuelle, grâce à l'équipe AWS en charge des attaques DDoS (DRT) disponible 24 h/24, 7 j/7. De plus, AWS Shield Advanced offre également plus de visibilité au niveau des attaques ciblant votre infrastructure Route 53.

En savoir plus sur la réduction des risques d'attaque DDoS avec Amazon Route 53 et AWS Shield.

Autres applications (comme les applications basées sur UDP)

Pour les applications personnalisées non basées sur TCP (mais plutôt sur UDP, SIP, etc.), vous ne pouvez pas utiliser de services tels qu'Amazon CloudFront ou Elastic Load Balancing. Dans ces cas-là, vous devez souvent exécuter vos applications directement sur des instances Amazon EC2 accessibles sur Internet. AWS Shield Standard protège également votre instance Amazon EC2 contre les attaques DDoS courantes des couches infrastructure (couches 3 et 4), telles que les attaques de réflexion des protocoles UDP, DNS, NTP, SSDP, etc. AWS Shield Standard utilise différentes techniques, telles que le modelage du trafic en fonction des priorités, qui s'activent automatiquement lorsqu'une signature d'attaque DDoS clairement définie est détectée.

Pour ces applications, vous pouvez également obtenir une protection avancée contre les attaques DDoS importantes et sophistiquées en activant AWS Shield Advanced sur votre adresse IP Elastic. Le système de détection d'attaques DDoS amélioré d'AWS Shield Advanced détecte automatiquement le type de ressource AWS et la taille de l'instance EC2, puis applique les méthodes d'atténuation prédéfinies appropriées. Avec AWS Shield Advanced, les clients peuvent également créer leurs propres profils d'atténuation des risques personnalisés en s'adressant à tout moment à l'équipe AWS en charge des attaques DDoS (DRT). AWS Shield Advanced permet également de garantir qu'en cas d'attaque DDoS, toutes vos listes de contrôle d'accès (ACL) au réseau VPC Amazon sont automatiquement appliquées en bordure du réseau AWS, vous donnant ainsi accès à davantage de bande passante et de capacité de nettoyage afin de limiter les attaques DDoS sur des volumes de données importants. Avec AWS Shield Advanced, vous pouvez obtenir une protection supplémentaire contre les attaques DDoS, comme les floods SYN ou d'autres vecteurs d'attaque tels que les floods UDP.

En savoir plus sur l'association d'une adresse IP Elastic à une instance Amazon EC2.

Mise en route avec AWS

icon1

Créer un compte AWS

Obtenez un accès instantané à l' offre gratuite d'AWS.
icon2

Apprenez-en plus avec les didacticiels de 10 minutes

Explorez et apprenez avec des didacticiels simples.
icon3

Commencer à créer avec AWS

Commencez à créer avec des instructions étape par étape pour vous aider à lancer votre projet AWS.

En savoir plus sur AWS Shield

Consulter la page des fonctionnalités
Prêt à concevoir ?
Mise en route d’AWS Shield
D'autres questions ?
Contactez-nous