Questions d'ordre général

Q : Qu'est-ce qu'AWS Shield ?

AWS Shield est un service géré qui protège les applications Web s'exécutant sur AWS des attaques par déni de service distribué (DDoS). AWS Shield Standard est disponible gratuitement pour tous les clients AWS. AWS Shield Advanced représente une option de service payante à la disposition des clients AWS Business Support et AWS Enterprise Support. AWS Shield Advanced offre des protections supplémentaires contre les attaques de plus grande ampleur et plus sophistiquées pour vos applications s'exécutant sur Elastic Load Balancing (ELB), Amazon CloudFront et Route 53.

Q : Qu'est-ce qu'AWS Shield Standard ?

AWS Shield Standard protège tous les clients AWS contre les attaques communes les plus fréquentes ciblant l'infrastructure (couches 3 et 4), telles que des flux UDP/SYN, les attaques par réflexion ou autres afin de prendre en charge la haute disponibilité de vos applications sur AWS.

Q : Qu'est-ce qu'AWS Shield Advanced ?

AWS Shield Advanced renforce la protection de vos applications s'exécutant sur Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront et Route 53 contre les attaques de plus grande ampleur et plus sophistiquées. Cette option de service est disponible pour les clients AWS Business Support et AWS Enterprise Support. La protection AWS Shield Advanced fournit une surveillance toujours active et basée sur les flux du trafic réseau et une surveillance active des applications pour proposer des notifications quasiment en temps réel des attaques par déni de service distribué. AWS Shield Advanced offre également aux clients des contrôles hautement flexibles sur les limitations de l'impact des attaques afin de prendre des mesures immédiatement. Les clients peuvent également interagir avec l'équipe DDoS Response Team (DRT) 24h/24 7j/7 afin de gérer et limiter l'impact des attaques DDoS ciblant leur couche d'application. La fonctionnalité de protection contre les coûts liés aux attaques DDoS d'AWS Shield Advanced évite à votre facture AWS de subir des augmentations dues aux pics d'utilisation d'Amazon EC2, d'Elastic Load Balancing (ELB), d'Amazon CloudFront et d'Amazon Route 53 au cours d'une attaque DDoS.

Q : Qu'est-ce que la protection contre les coûts liés aux attaques DDoS ?

AWS Shield Advanced inclut la protection contre les coûts liés aux attaques DDoS, qui permet de vous protéger de l'augmentation des frais suite à une attaque DDoS entraînant des pics d'utilisation sur Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53. Si les capacités de l'un de ces services augmentent en réponse à une attaque DDoS, vous pouvez demander à obtenir des crédits via le canal AWS Support habituel.

Q : Puis-je utiliser AWS Shield pour protéger des sites Web non hébergés sur AWS ?

Oui, AWS Shield est intégré à Amazon CloudFront, qui prend en charge les origines personnalisées externes à AWS.

Q : Puis-je utiliser le protocole IPv6 pour toutes les fonctionnalités d'AWS Shield ?

Oui. Toutes les fonctionnalités de détection et de limitations d'impact d'AWS Shield fonctionnent avec les protocoles IPv6 et IPv4 sans aucun changement perceptible au niveau des performances, de l'évolutivité ou de la disponibilité du service.

Q : Existe-t-il des conditions préalables à l'activation d'AWS Shield Advanced ?

Oui. Le compte AWS sur lequel vous souhaitez souscrire à AWS Shield Advanced doit disposer du plan AWS Business Support ou AWS Enterprise Support. Consultez le site web d'AWS Support pour en savoir plus sur les plans de support.

Q : Comment tester AWS Shield ?

La politique d'utilisation acceptable d'AWS décrit les comportements autorisés et proscrits sur AWS. Elle contient également des descriptions des violations de sécurité et abus du réseau qui sont interdits. Cependant, dans la mesure où les tests d'intrusion et autres événements simulés sont souvent impossibles à distinguer de ce type d'activités malveillantes, nous avons mis en place une politique permettant aux clients de solliciter l'autorisation de réaliser des tests d'intrusion et des analyses de vulnérabilité dans leur environnement AWS ou depuis celui-ci. Consultez notre page Réalisation de tests d'intrusion pour demander des autorisations.

Q : Dans quelles régions AWS le service AWS Shield Standard est-il disponible ?

AWS Shield Standard est disponible sur tous les services AWS dans toutes les régions AWS et sur tous les emplacements périphériques AWS du monde entier.

Pour plus d'informations sur la disponibilité d'AWS Shield Standard par région, reportez-vous à la section relative aux produits et services régionaux.

Q : Dans quelles régions AWS le service AWS Shield Advanced est-il disponible ?

La version avancée d'AWS Shield est disponible sur tous les emplacements périphériques Amazon CloudFront et Amazon Route 53 du monde entier. Vous pouvez protéger vos applications Web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Les serveurs d'origine peuvent être de type Amazon S3, Amazon EC2, Elastic Load Balancing ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer AWS Shield Advanced directement sur Elastic Load Balancing dans les régions AWS suivantes : Virginie du Nord, Californie du Nord, Ohio, Oregon, Irlande, Tokyo, Sydney et Francfort.

Pour plus d'informations sur la disponibilité d'AWS Shield Advanced par région, reportez-vous à la section relative aux produits et services régionaux .

Q : AWS Shield est compatible HIPAA ?

Oui, AWS a étendu son programme de conformité HIPAA et comprend désormais AWS Shield en tant que service éligible HIPAA. Si vous disposez d'un accord de partenariat (BAA) exécuté avec AWS, vous pouvez utiliser AWS Shield pour protéger les applications Web exécutées sur AWS contre les attaques par déni de service distribué (DDoS). Pour plus d'informations, consultez la Conformité à la norme HIPAA.

Configuration des protections

Q : Quels types d'attaques AWS Shield peut-il m'aider à bloquer ?

AWS Shield vous permet de protéger votre site Web contre tous les types d'attaques DDoS, notamment les attaques ciblant la couche d'infrastructure (comme les flux UDP), les attaques de type « state exhaustion » (comme les flux TCP SYN) et les attaques visant la couche d'application (comme les flux HTTP GET ou POST). Consultez le Guide du développeur AWS WAF et AWS Shield Advanced pour obtenir des exemples.

Q : Contre quels types d'attaques AWS Shield Standard peut-il m'aider à me protéger ?

AWS Shield Standard protège automatiquement les applications Web s'exécutant sur AWS contre les attaques ciblant la couche d’infrastructure les plus fréquentes, notamment les flux UDP, et les attaques de type « state exhaustion », comme les flux TCP SYN. Les clients peuvent également utiliser AWS WAF pour se prémunir des attaques visant la couche d'application, comme les flux HTTP POST ou GET. Vous trouverez d’autres informations sur le déploiement de protections au niveau de la couche d'application dans le Guide du développeur AWS WAF et AWS Shield Advanced.

Q : Combien de ressources puis-je activer pour la protection AWS Shield Standard ?

Aucune limite ne s'applique au nombre de ressources soumises à la protection AWS Shield Standard. Vous pouvez bénéficier de tous les avantages qu'offrent les protections AWS Shield Standard en suivant les bonnes pratiques de résilience DDoS sur AWS.

Q : Combien de ressources puis-je activer pour la protection AWS Shield Advanced ?

Vous pouvez activer jusqu'à 100 ressources AWS (par exemple, des équilibreurs de charge, des distributions Amazon CloudFront, des ensembles de délégation Amazon Route 53) pour la protection AWS Shield Advanced. Si vous souhaitez activer plus de 100 ressources, vous pouvez demander une augmentation de cette limite en créant un cas AWS Support.

Q : Puis-je activer la protection AWS Shield Advanced via une API ?

Oui. AWS Shield Advanced peut être activé via des API. Vous pouvez également ajouter ou supprimer des ressources AWS de la protection AWS Shield Advanced via des API.

Q : En combien de temps l'impact des attaques est-il atténué ?

En général, l'impact de 99 % des attaques ciblant la couche d'infrastructure détectées par AWS Shield est réduit en moins d'une seconde si elles visent Amazon CloudFront et Amazon Route 53 et en moins de 5 minutes si elles visent Elastic Load Balancing. Les 1 % d'attaques ciblant l'infrastructure restants voient généralement leur impact limité en moins de 20 minutes. L'impact des attaques visant la couche d'application est limité par la rédaction des règles sur AWS WAF, qui sont examinées et modérées en ligne avec le trafic entrant.

Réponse aux attaques

Q : Quels sont les outils qui me sont fournis par AWS Shield Standard pour limiter l'impact des attaques DDoS ?

AWS Shield Standard protège automatiquement vos applications Web s'exécutant sur AWS des attaques DDoS les plus courantes et les plus fréquentes. Vous pouvez bénéficier de tous les avantages qu'offre AWS Shield Standard en suivant les bonnes pratiques de résilience DDoS sur AWS.

Q : Quels sont les outils qui me sont fournis par AWS Shield Standard pour limiter l'impact des attaques DDoS ?

AWS Shield Advanced gère la réduction de l'impact des attaques DDoS ciblant les couches 3 et 4. Vos applications Web sont ainsi protégées des attaques comme les flux UDP ou les flux TCP SYN. En outre, contre les attaques visant la couche d'application (couche 7), vous pouvez utiliser AWS WAF pour appliquer vos propres règles de réduction de l'impact ou interagir 24h/24 et 7j/7 avec l'équipe AWS DDoS Response Team (DRT), qui peut rédiger des règles à votre place pour limiter l'impact des attaques DDoS ciblant la couche 7.

Q : Comment faire pour contacter l'équipe AWS DDoS Response Team ?

Vous pouvez faire appel à l'équipe AWS DDoS Response Team via le support AWS habituel ou contacter AWS Support.

Q : Sous quel délai puis-je interagir avec l'équipe AWS DDoS Response Team (DRT) ?

Les temps de réponse de l'équipe DRT dépendent du plan AWS Support auquel vous vous êtes abonné. Nous prendrons toutes les mesures raisonnables pour répondre à votre demande initiale dans les délais impartis. Consultez le site web AWS Support pour en savoir plus sur les plans AWS Support.

Visibilité et rapports

Q : Le service AWS Shield m'envoie-t-il des notifications en cas d’attaque ?

Oui. Avec AWS Shield Advanced, vous recevez des notifications d'attaques DDoS via les métriques CloudWatch.

Q : Sous quel délai vais-je recevoir des notifications d'attaque ?

En règle générale, AWS Shield Advanced envoie une notification d'attaque dans les minutes qui suivent la détection de cette dernière.

Q : Q : Puis-je obtenir un historique de toutes les attaques DDoS (Déni de service distribué) visant mes ressources AWS ?

Oui. Avec AWS Shield Advanced, vous êtes en mesure de consulter l'historique répertoriant l’ensemble des incidents survenus au cours des 13 derniers mois.

Q : Comment savoir si les règles AWS WAF fonctionnent ?

AWS WAF offre deux manières différentes de voir comment votre site Web est protégé : des mesures à une fréquence d'une minute sont disponibles dans CloudWatch et des échantillons de requêtes Web sont mis à votre disposition dans l'API AWS WAF ou la console de gestion. Vous pouvez ainsi vérifier quelles requêtes ont été bloquées, autorisées ou décomptées et quelle règle a été assortie à une requête donnée (par exemple, cette requête Web a été bloquée à cause d'une condition concernant l'adresse IP). Pour obtenir davantage d'informations, consultez le Guide du développeur AWS WAF et AWS Shield Advanced.

Facturation

Q : Comment l'utilisation d'AWS Shield Standard me sera-t-elle facturée ?

AWS Shield Standard est intégré aux services AWS que vous utilisez déjà pour vos applications Web. Aucun frais supplémentaire ne s'applique à l'utilisation d'AWS Shield Standard.

Q : Comment l'utilisation d'AWS Shield Advanced me sera-t-elle facturée ?

Avec AWS Shield Advanced, vous payez des frais mensuels de 3 000 USD par organisation. En outre, vous payez également des frais d'utilisation pour le transfert des données correspondant aux ressources AWS activées dans le cadre de la protection avancée. Les frais facturés pour l'utilisation d'AWS Shield Advanced s'ajoutent aux frais standard appliqués sur Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront et Amazon Route 53. Pour en savoir plus, consultez la page relative à la tarification d'AWS Shield.

Q : Comment puis-je activer AWS Shield Advanced sur plusieurs comptes AWS ?

Si votre organisation possède plusieurs comptes AWS, vous pouvez souscrire plusieurs comptes AWS à la version avancée d'AWS Shield. Vous payez les frais mensuels tant que les comptes AWS dépendent tous d'une seule facturation consolidée, et vous êtes propriétaire de tous les comptes AWS et les ressources qui s'y trouvent.

En savoir plus sur la tarification AWS Shield

Visitez la page de tarification
Prêt à concevoir ?
Mise en route d’AWS Shield
D'autres questions ?
Contactez-nous