AWS Shield

Protection DDoS gérée

AWS Shield est un service de protection DDoS (Déni de service distribué) géré qui protège les applications s'exécutant sous AWS. AWS Shield assure une détection continue et une atténuation automatique des risques pour minimiser les temps d'arrêt et la latence des applications, afin qu'il ne soit pas nécessaire d'avoir recours à AWS Support pour bénéficier de la protection DDoS. Deux niveaux d'AWS Shield sont proposés : Standard et Advanced.

Tous les clients AWS bénéficient des protections automatiques d'AWS Shield Standard, sans frais supplémentaires. AWS Shield Standard protège contre les attaques de déni de services DDoS les plus courantes et les plus fréquemment rencontrées sur les couches de réseau et de transport qui ciblent vos applications ou votre site Web. Lorsque vous utilisez AWS Shield Standard avec Amazon CloudFront et Amazon Route 53, vous bénéficiez d'une protection de la disponibilité complète contre toutes les attaques d'infrastructure (couches 3 et 4) connues.

Pour obtenir des niveaux de protection supérieurs contre les attaques ciblant vos applications s'exécutant sur des ressources Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront et Amazon Route 53, vous pouvez souscrire un abonnement à AWS Shield Advanced. Outre les protections des couches réseau et de transport fournies avec la version standard, AWS Shield Advanced fournit davantage de fonctions de détection et d'atténuation des risques contre les attaques DDoS plus vastes et complexes, une visibilité quasiment en temps réel des attaques, et l'intégration à AWS WAF, un pare-feu pour applications Web. AWS Shield Advanced offre également un accès 24 h/24 et 7 j/7 à l'équipe AWS en charge des attaques DDoS (DRT) et une protection contre les pics de consommation dus aux attaques DDoS dans vos facturations Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront et Amazon Route 53.

AWS Shield Advanced est disponible à l'échelle mondiale sur tous les emplacements périphériques Amazon CloudFront et Amazon Route 53. Vous pouvez protéger vos applications Web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Vos serveurs d'origine peuvent être Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer AWS Shield Advanced directement sur une ressource Elastic IP ou Elastic Load Balancing (ELB) dans les régions AWS suivantes : Virginie du Nord, Oregon, Irlande, Tokyo et nord de la Californie.

Avantages

Intégration et déploiement transparents

Avec AWS Shield Standard, vos ressources AWS sont automatiquement protégées contre les attaques DDoS les plus courantes et fréquentes qui se produisent sur les couches réseau et de transport. Vous pouvez obtenir un niveau de protection plus élevé en activant simplement la protection AWS Shield Advanced pour les ressources Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53 à protéger en utilisant la console de gestion ou des API.

Protection personnalisable

Avec AWS Shield Advanced, vous avez la possibilité d'écrire des règles personnalisées pour atténuer les attaques complexes sur la couche d’application. Ces règles personnalisables peuvent être déployées instantanément, ce qui vous permet de rapidement atténuer les risques d'attaques. Vous pouvez configurer des règles proactives pour bloquer automatiquement le mauvais trafic ou répondre aux incidents dès qu'ils se produisent. Vous pouvez également faire appel à l'équipe AWS en charge des attaques DDoS (DRT), disponible 24 h/24 et 7 j/7, qui peut élaborer des règles en votre nom pour atténuer les risques d'attaques DDoS sur la couche application.

Rentabilité

En tant que client AWS, vous obtenez automatiquement une protection de la couche réseau contre les attaques DDoS les plus courantes grâce à AWS Shield Standard. Le lancement de cette protection n'exige pas de frais, ressources, ni temps supplémentaires. Avec AWS Shield Advanced, vous bénéficiez de la « protection contre les coûts DDoS » (DDoS cost protection), fonction qui évite à votre facture AWS les frais dûs aux pics d'utilisation d'EC2, Elastic Load Balancing (ELB), Amazon CloudFront et Amazon Route 53 générés par une attaque DDoS.

Cas d’utilisation de protection

Applications Web et API

Lors de l'utilisation d'Amazon CloudFront, AWS Shield Standard fournit automatiquement une protection complète contre les attaques de la couche infrastructure, notamment les attaques floods SYN, les floods UDP ou toute autre attaque de réflexion. Les systèmes de détection et d’atténuation des risques en continu d'AWS Shield Standard « nettoient » automatiquement le mauvais trafic sur les couches 3 et 4 afin de protéger votre application. Plus de 99 % des attaques sur la couche infrastructure détectées par AWS Shield Standard sont limitées automatiquement en moins d’une seconde afin qu'Amazon CloudFront ne subisse aucune attaque.

Apprenez à utiliser Amazon CloudFront pour protéger vos applications dynamiques contre les attaques DDoS.

Découvrez comment Slack utilise Amazon CloudFront pour se protéger contre les attaques DDoS.

Pour une protection supplémentaire contre les attaques DDoS importantes et sophistiquées, vous pouvez également utiliser AWS Shield Advanced pour Amazon CloudFront. Avec Shield Advanced, les clients peuvent contacter à tout moment l'équipe AWS en charge des attaques DDoS (DRT), qui applique de manière proactive n'importe quelle méthode d'atténuation nécessaire pour toute attaque sophistiquée de la couche infrastructure (couche 3 ou 4) en utilisant des techniques supplémentaires, telles que l'ingénierie du trafic. De plus, AWS Shield Advanced vous protège également contre les attaques de la couche application, comme les floods HTTP. Le système de détection de base intégré et toujours activé d'AWS Shield Advanced indique le trafic provenant de l'application et opère une surveillance permettant de repérer toute anomalie, tout cela à la place du client. AWS Shield Advanced vous permet d'accéder à AWS WAF sans frais supplémentaires et de personnaliser ainsi n’importe quelle méthode d'atténuation des risques pour la couche application.

Slack - Accélération d’API sécurisée

Intervenant :
Alex Graham, Ingénieur senior des opérations, Slack Technologies, Inc.

200x100_Slack_Logo

DNS

AWS Shield Standard protège automatiquement les zones hébergées Amazon Route 53 contre les attaques DDoS dans la couche infrastructure, sans frais supplémentaires. Les attaques par réflexion et les floods SYN qui visent fréquemment votre serveur DNS sont notamment concernés. AWS Shield Standard utilise automatiquement différentes techniques, comme les validations d'en-tête et la régulation du flux en fonction des priorités, pour atténuer automatiquement ces attaques DDoS.

En outre, AWS Shield Advanced offre une protection supplémentaire pour les cas extrêmes nécessitant une intervention manuelle, grâce à l'équipe AWS en charge des attaques DDoS (DRT) disponible 24 h/24, 7 j/7. De plus, AWS Shield Advanced offre également plus de visibilité au niveau des attaques ciblant votre infrastructure Route 53.

En savoir plus sur la réduction des risques d'attaque DDoS avec Amazon Route 53 et AWS Shield.

Autres applications (comme les applications basées sur UDP)

Pour les applications personnalisées non basées sur TCP (mais plutôt sur UDP, SIP, etc.), vous ne pouvez pas utiliser de services tels qu'Amazon CloudFront ou Elastic Load Balancing. Dans ces cas-là, vous devez souvent exécuter vos applications directement sur des instances Amazon EC2 accessibles sur Internet. AWS Shield Standard protège également votre instance Amazon EC2 contre les attaques DDoS courantes des couches infrastructure (couches 3 et 4), telles que les attaques de réflexion des protocoles UDP, DNS, NTP, SSDP, etc. AWS Shield Standard utilise différentes techniques, telles que le modelage du trafic en fonction des priorités, qui s'activent automatiquement lorsqu'une signature d'attaque DDoS clairement définie est détectée.

Pour ces applications, vous pouvez également obtenir une protection avancée contre les attaques DDoS importantes et sophistiquées en activant AWS Shield Advanced sur votre adresse IP Elastic. Le système de détection d'attaques DDoS amélioré d'AWS Shield Advanced détecte automatiquement le type de ressource AWS et la taille de l'instance EC2, puis applique les méthodes d'atténuation prédéfinies appropriées. Avec AWS Shield Advanced, les clients peuvent également créer leurs propres profils d'atténuation des risques personnalisés en s'adressant à tout moment à l'équipe AWS en charge des attaques DDoS (DRT). AWS Shield Advanced permet également de garantir qu'en cas d'attaque DDoS, toutes vos listes de contrôle d'accès (ACL) au réseau VPC Amazon sont automatiquement appliquées en bordure du réseau AWS, vous donnant ainsi accès à davantage de bande passante et de capacité de nettoyage afin de limiter les attaques DDoS sur des volumes de données importants. Avec AWS Shield Advanced, vous pouvez obtenir une protection supplémentaire contre les attaques DDoS, comme les floods SYN ou d'autres vecteurs d'attaque tels que les floods UDP.

En savoir plus sur l'association d'une adresse IP Elastic à une instance Amazon EC2.

Mise en route avec AWS

icon1

Créer un compte AWS

Obtenez un accès instantané à l’ offre gratuite d'AWS.
icon2

Apprenez-en plus avec les didacticiels de 10 minutes

Explorez et apprenez avec des didacticiels simples.
icon3

Commencer à créer avec AWS

Commencez à créer avec des instructions étape par étape pour vous aider à lancer votre projet AWS.

En savoir plus sur AWS Shield

Consulter la page des fonctionnalités
Prêt à concevoir ?
Mise en route d’AWS Shield
D'autres questions ?
Contactez-nous