Questions d'ordre général

Q : Qu'est-ce qu'AWS Shield ?

AWS Shield est un service géré qui protège les applications Web s'exécutant sur AWS des attaques par déni de service distribué (DDoS). AWS Shield Standard est activé automatiquement pour tous les clients AWS sans frais supplémentaire. AWS Shield Advanced est un service payant optionnel. AWS Shield Advanced offre des protections supplémentaires contre les attaques de plus grande ampleur et plus sophistiquées pour vos applications s'exécutant sur Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, et Route 53.

Q : Qu'est-ce qu'AWS Shield Standard ?

AWS Shield Standard protège tous les clients AWS contre les attaques communes les plus fréquentes ciblant l'infrastructure (couches 3 et 4), telles que des flux SYN/UDP et les attaques par réflexion, afin de garantir la haute disponibilité de vos applications sur AWS.

Q. Qu'est-ce qu'AWS Shield Advanced ?

AWS Shield Advanced renforce la protection de vos applications s'exécutant sur les ressources protégées Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, et Route 53 contre les attaques de plus grande ampleur et plus sophistiquées. La protection AWS Shield Advanced fournit une surveillance toujours active et basée sur les flux du trafic réseau et une surveillance active des applications pour proposer des notifications quasiment en temps réel des incidents par déni de service distribué soupçonnés. AWS Shield Advanced utilise également des techniques de routage et d’atténuation des attaques avancées pour atténuer automatiquement les attaques. Les clients qui ont souscrit à un plan de support Business ou Enterprise peuvent également interagir avec l'équipe DDoS Response Team (DRT) 24h/24 et 7j/7 afin de gérer et limiter l'impact des attaques DDoS ciblant leur couche d'application. La protection contre les coûts DDoS pour la mise à l'échelle protège votre facture AWS contre les frais plus élevés dus aux pics d'utilisation des ressources protégées Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53 lors d'une attaque DDoS.

Q : Qu'est-ce que la protection contre les coûts liés aux attaques DDoS pour la mise à l’échelle ?

AWS Shield Advanced inclut la protection contre les coûts liés aux attaques DDoS, qui permet de vous protéger de l'augmentation des frais suite à une attaque DDoS entraînant des pics d'utilisation sur vos ressources protégées Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, ou Amazon Route 53. Si les les ressources protégées par AWS Shield Advanced se mettent à l’échelle en réponse à une attaque DDoS, vous pouvez demander des crédits via le le support AWS habituel.

Q : Puis-je utiliser AWS Shield pour protéger des sites Web non hébergés sur AWS ?

Oui, AWS Shield est intégré à Amazon CloudFront, qui prend en charge les origines personnalisées externes à AWS.

Q : Puis-je utiliser le protocole IPv6 pour toutes les fonctionnalités d'AWS Shield ?

Oui. Toutes les fonctionnalités de détection et de limitations d'impact d'AWS Shield fonctionnent avec les protocoles IPv6 et IPv4 sans aucun changement perceptible au niveau des performances, de la scalabilité ou de la disponibilité du service.

Q. Comment tester AWS Shield ?

La politique d'utilisation acceptable d'AWS décrit les comportements autorisés et proscrits sur AWS. Elle contient également des descriptions des violations de sécurité et abus du réseau qui sont interdits. Cependant, dans la mesure où les tests d'intrusion et d’autres événements simulés sont souvent impossibles à distinguer de ce type d'activités malveillantes, nous avons mis en place une politique permettant aux clients de solliciter l'autorisation de réaliser des tests d'intrusion et des analyses de vulnérabilité à l’intérieur ou à l’extérieur de leur environnement AWS. Consultez notre page Réalisation de tests d'intrusion pour demander des autorisations.

Q : Dans quelles régions AWS le service AWS Shield Standard est-il disponible ?

AWS Shield Standard est disponible sur tous les services AWS dans toutes les régions AWS et sur tous les emplacements périphériques AWS du monde entier.

Pour plus d'informations sur la disponibilité d'AWS Shield Standard par région, reportez-vous à la section relative aux produits et services régionaux.

Q : Dans quelles régions AWS le service AWS Shield Advanced est-il disponible ?

La version avancée d'AWS Shield est disponible sur tous les emplacements périphériques Amazon CloudFront, AWS Global Accelerator et Amazon Route 53 du monde entier. Vous pouvez protéger vos applications Web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Les serveurs d'origine peuvent être de type Amazon S3, Amazon EC2, Elastic Load Balancing ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer AWS Shield Advanced directement sur Elastic Load Balancing (ELB) ou Amazon EC2 dans les régions AWS suivantes : Virginie du Nord, Ohio, Oregon, Californie du Nord, Montréal, Sao Paulo, Irlande, Francfort, Londres, Paris, Stockholm, Singapour, Tokyo, Sydney, Séoul et Mumbai.

Pour des informations à jour sur la disponibilité régionale d'AWS Shield Advanced, reportez-vous à la section relative aux produits et services régionaux .

Q : AWS Shield est compatible HIPAA ?

Oui, AWS a étendu son programme de conformité HIPAA et comprend désormais AWS Shield en tant que service éligible HIPAA. Si vous disposez d'un accord de partenariat (BAA) exécuté avec AWS, vous pouvez utiliser AWS Shield pour protéger les applications Web exécutées sur AWS contre les attaques par déni de service distribué (DDoS). Pour plus d'informations, consultez la Conformité à la norme HIPAA.

Configuration des protections

Q : Quels types d'attaques AWS Shield peut-il m'aider à bloquer ?

AWS Shield vous permet de protéger votre site Web contre tous les types d'attaques DDoS, notamment les attaques ciblant la couche d'infrastructure (comme les flux UDP), les attaques de type « state exhaustion » (comme les flux TCP SYN) et les attaques visant la couche d'application (comme les flux HTTP GET ou POST). Consultez le Guide du développeur AWS WAF et AWS Shield Advanced pour obtenir des exemples.

Q : Contre quels types d'attaques AWS Shield Standard peut-il m'aider à me protéger ?

AWS Shield Standard protège automatiquement les applications Web s'exécutant sur AWS contre les attaques ciblant la couche d’infrastructure les plus fréquentes, notamment les flux UDP, et les attaques de type « state exhaustion », comme les flux TCP SYN. Les clients peuvent également utiliser AWS WAF pour se prémunir des attaques visant la couche d'application, comme les flux HTTP POST ou GET. Vous trouverez d’autres informations sur le déploiement de protections au niveau de la couche d'application dans le Guide du développeur AWS WAF et AWS Shield Advanced.

Q : Combien de ressources puis-je activer pour la protection AWS Shield Standard ?

Aucune limite ne s'applique au nombre de ressources soumises à la protection AWS Shield Standard. Vous pouvez bénéficier de tous les avantages qu'offrent les protections AWS Shield Standard en suivant les bonnes pratiques de résilience DDoS sur AWS.

Q : Combien de ressources puis-je activer pour la protection AWS Shield Advanced ?

Vous pouvez activer jusqu'à 1 000 ressources AWS pour chaque type de ressource pris en charge (équilibreurs de charge d’application/classiques, distributions Amazon CloudFront, zones d'hébergement Amazon Route 53, adresses IP Elastic, accélérateurs AWS Global Accelerator) pour la protection AWS Shield Advanced. Si vous souhaitez activer plus de 1 000 ressources, vous pouvez demander une augmentation de cette limite en créant un cas AWS Support.

Q. Puis-je activer la protection AWS Shield Advanced via une API ?

Oui. AWS Shield Advanced peut être activé via des API. Vous pouvez également ajouter ou supprimer des ressources AWS de la protection AWS Shield Advanced via des API.

Q : En combien de temps l'impact des attaques est-il atténué ?

En général, l'impact de 99 % des attaques ciblant la couche d'infrastructure détectées par AWS Shield est réduit en moins d'une seconde si elles visent Amazon CloudFront et Amazon Route 53 et en moins de 5 minutes si elles visent Elastic Load Balancing. Les 1 % d'attaques ciblant l'infrastructure restants voient généralement leur impact limité en moins de 20 minutes. L'impact des attaques visant la couche d'application est limité par la rédaction des règles sur AWS WAF, qui sont examinées et modérées en ligne avec le trafic entrant.

Q. Puis-je protéger les ressources en dehors d'AWS ?

Oui, un certain nombre de nos clients choisissent d'utiliser les points de terminaison AWS devant leurs instances backend. Le plus souvent, ces points de terminaison sont nos services CloudFront et Route 53 distribués à l'échelle mondiale. Ces services font également partie de nos suggestions de bonnes pratiques pour la résilience DDoS. Les clients peuvent protéger ces distributions CloudFront et zones hébergées par Route 53 avec Shield Advanced. Veuillez noter que vous devez verrouiller leurs ressources backend pour accepter uniquement le trafic provenant de ces points de terminaison AWS.

Réponse aux attaques

Q : Quels sont les outils qui me sont fournis par AWS Shield Standard pour limiter l'impact des attaques DDoS ?

AWS Shield Standard protège automatiquement vos applications Web s'exécutant sur AWS des attaques DDoS les plus courantes et les plus fréquentes. Vous pouvez bénéficier de tous les avantages qu'offre AWS Shield Standard en suivant les bonnes pratiques de résilience DDoS sur AWS.

Q : Quels sont les outils qui me sont fournis par AWS Shield Standard pour limiter l'impact des attaques DDoS ?

AWS Shield Advanced gère la réduction de l'impact des attaques DDoS ciblant les couches 3 et 4. Vos applications sont ainsi protégées des attaques comme les flux UDP ou les flux TCP SYN. De plus, AWS Shield Advanced peut détecter des attaques telles que les floods HTTP et les floods DNS pour les attaques visant la couche d'application (couche 7). Vous pouvez utiliser AWS WAF pour appliquer vos propres règles de réduction de l'impact ou, si vous disposez d’un plan de support Business ou Enterprise, interagir 24h/24 et 7j/7 avec l'équipe AWS DDoS Response Team (DRT), qui peut rédiger des règles à votre place pour limiter l'impact des attaques DDoS ciblant la couche 7.

Q : Ai-je besoin d'un plan de support spécifique pour contacter l'équipe AWS DDoS Response Team ?

Oui, vous avez besoin d'un plan de support Business ou Enterprise pour faire remonter ou interagir avec l'équipe DDoS Response Team (DRT). Consultez le site web AWS Support pour en savoir plus sur les plans AWS Support.

Q : Comment faire pour contacter l'équipe AWS DDoS Response Team ?

Vous pouvez faire appel à l'équipe AWS DDoS Response Team via le support AWS habituel ou contacter AWS Support.

Q : Sous quel délai puis-je interagir avec l'équipe AWS DDoS Response Team (DRT) ?

Les temps de réponse de l'équipe DRT dépendent du plan AWS Support auquel vous vous êtes abonné. Nous prendrons toutes les mesures raisonnables pour répondre à votre demande initiale dans les délais impartis. Consultez le site web AWS Support pour en savoir plus sur les plans AWS Support.

Visibilité et rapports

Q : Le service AWS Shield m'envoie-t-il des notifications en cas d’attaque ?

Oui. Avec AWS Shield Advanced, vous recevez des notifications d'attaques DDoS via les métriques CloudWatch.

Q : Sous quel délai vais-je recevoir des notifications d'attaque ?

En règle générale, AWS Shield Advanced envoie une notification d'attaque dans les minutes qui suivent la détection de cette dernière.

Q : Q : Puis-je obtenir un historique de toutes les attaques DDoS (Déni de service distribué) visant mes ressources AWS ?

Oui. Avec AWS Shield Advanced, vous êtes en mesure de consulter l'historique répertoriant l’ensemble des incidents survenus au cours des 13 derniers mois.

Q : Puis-je voir les attaques sur AWS ?

Oui, les clients AWS Shield Advanced ont accès au tableau de bord de l'environnement de menace globale, qui fournit une vue anonymisée et échantillonnée de toutes les attaques DDoS observées sur AWS au cours des 2 dernières semaines.

Q : Comment savoir si les règles AWS WAF fonctionnent ?

AWS WAF offre deux manières différentes de voir comment votre site Web est protégé : des mesures à une fréquence d'une minute sont disponibles dans CloudWatch et des échantillons de requêtes web sont mis à votre disposition dans l'API AWS WAF ou la console de gestion. De plus, vous pouvez activer des journaux complets qui sont distribués via Amazon Kinesis Firehose vers la destination de votre choix. Vous pouvez ainsi vérifier quelles requêtes ont été bloquées, autorisées ou décomptées et quelle règle a été assortie à une requête donnée (par exemple, cette requête Web a été bloquée à cause d'une condition concernant l'adresse IP). Pour obtenir davantage d'informations, consultez le Guide du développeur AWS WAF et AWS Shield Advanced.

Q. Je dois effectuer un pen-test pour évaluer le service et mon application. Quelle est la procédure approuvée ?

Veuillez consulter la section Réalisation de tests d'intrusion sur AWS. Toutefois, cela n'inclut pas de « test de charge DDoS », lequel n'est pas autorisé sur AWS. Si vous souhaitez effectuer un test DDoS en direct, vous pouvez demander l'autorisation de procéder à ce test en créant un dossier via AWS Support. L'autorisation pour ce test implique un accord sur les conditions du test entre AWS, le client et le fournisseur de test DDoS. Veuillez noter que nous travaillons uniquement avec des fournisseurs de test DDoS agréés et que le processus entier dure entre trois et quatre semaines.

 

Facturation

Q : Comment l'utilisation d'AWS Shield Standard me sera-t-elle facturée ?

AWS Shield Standard est intégré aux services AWS que vous utilisez déjà pour vos applications Web. Aucun frais supplémentaire ne s'applique à l'utilisation d'AWS Shield Standard.

Q : Comment l'utilisation d'AWS Shield Advanced me sera-t-elle facturée ?

Avec AWS Shield Advanced, vous payez des frais mensuels de 3 000 USD par organisation. En outre, vous payez également des frais d'utilisation pour le transfert des données AWS Shield Advanced pour les ressources AWS activées dans le cadre de la protection avancée. Les frais facturés pour l'utilisation d'AWS Shield Advanced s'ajoutent aux frais standard appliqués sur Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53. Pour en savoir plus, consultez la page relative à la tarification d'AWS Shield.

Q : Puis-je choisir de ne protéger que certaines de mes ressources avec AWS Shield Advanced ?

Oui, AWS Shield Advanced vous permet de choisir les ressources que vous souhaitez protéger. AWS Shield Advanced Data Transfer ne vous sera facturé que pour ces ressources protégées.

Q : Comment puis-je activer AWS Shield Advanced sur plusieurs comptes AWS ?

Si votre organisation possède plusieurs comptes AWS, vous pouvez abonner plusieurs comptes AWS à AWS Shield Advanced en l'activant individuellement sur chaque compte à l'aide de l'AWS Management Console ou de l’API. Vous payez les frais mensuels tant que les comptes AWS dépendent tous d'une seule facturation consolidée, et vous êtes propriétaire de tous les comptes AWS et les ressources qui s'y trouvent.

En savoir plus sur la tarification AWS Shield

Visitez la page de tarification
Prêt à concevoir ?
Mise en route d’AWS Shield
D'autres questions ?
Contactez-nous