Questions fréquemment posées (FAQ) sur AWS Shield 

Q : Qu'est-ce qu'AWS Shield ?

AWS Shield est un service géré qui protège les applications Web s'exécutant sur AWS des attaques par déni de service distribué (DDoS). AWS Shield Standard est activé automatiquement pour tous les clients AWS sans frais supplémentaires. AWS Shield Advanced est un service payant optionnel. AWS Shield Advanced offre des protections supplémentaires contre les attaques de plus grande ampleur et plus sophistiquées pour vos applications s'exécutant sur Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Route 53.

Q : Qu'est-ce qu'AWS Shield Standard ?

AWS Shield Standard protège tous les clients AWS contre les attaques communes les plus fréquentes ciblant l'infrastructure (couches 3 et 4), telles que des flux SYN/UDP et les attaques par réflexion, afin de garantir la haute disponibilité de vos applications sur AWS.

Q. Qu'est-ce qu'AWS Shield Advanced ?

AWS Shield Advanced renforce la protection de vos applications s'exécutant sur les ressources protégées Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, et Route 53 contre les attaques de plus grande ampleur et plus sophistiquées. La protection AWS Shield Advanced fournit une surveillance toujours active et basée sur les flux du trafic réseau et une surveillance active des applications pour proposer des notifications quasiment en temps réel des incidents par déni de service distribué soupçonnés. AWS Shield Advanced utilise également des techniques avancées de routage et d'atténuation des attaques pour atténuer automatiquement les attaques. Les clients qui ont souscrit à un plan de support Business ou Enterprise peuvent également interagir avec l'équipe Shield Response Team (SRT) 24h/24 et 7j/7 afin de gérer et d'atténuer les attaques DDoS ciblant leur couche d'applications. La protection contre les coûts DDoS pour la mise à l'échelle met votre facture AWS à l'abri des frais plus élevés dus aux pics d'utilisation des ressources protégées Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53 lors d'une attaque DDoS.

Q : Qu'est-ce que la protection contre les coûts liés aux attaques DDoS pour la mise à l’échelle ?

AWS Shield Advanced inclut la protection contre les coûts liés aux attaques DDoS, qui permet de vous protéger de l'augmentation des frais suite à une attaque DDoS entraînant des pics d'utilisation sur vos ressources protégées Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, ou Amazon Route 53. Si les ressources protégées par AWS Shield Advanced se mettent à l’échelle en réponse à une attaque DDoS, vous pouvez demander des crédits via le support AWS habituel.

Q : Puis-je utiliser AWS Shield pour protéger des sites Web non hébergés sur AWS ?

Oui, AWS Shield est intégré à Amazon CloudFront, qui prend en charge les origines personnalisées externes à AWS.

Q : Puis-je utiliser le protocole IPv6 pour toutes les fonctionnalités d'AWS Shield ?

Oui. Toutes les fonctionnalités de détection et de limitations d'impact d'AWS Shield fonctionnent avec les protocoles IPv6 et IPv4 sans aucun changement perceptible au niveau des performances, de la scalabilité ou de la disponibilité du service.

Q. Comment tester AWS Shield ?

La politique d'utilisation acceptable d'AWS décrit les comportements autorisés et proscrits sur AWS. Elle contient également des descriptions des violations de sécurité et abus du réseau qui sont interdits. Cependant, dans la mesure où les tests de simulation DDoS et d'intrusion, ainsi que d'autres événements simulés sont souvent impossibles à distinguer de ce type d'activités malveillantes, nous avons mis en place des politiques qui permettent aux clients de solliciter l'autorisation de réaliser des tests de simulation DDoS et d'intrusion, ainsi que des analyses de vulnérabilité. Consultez notre page de réalisation de tests d'intrusion et notre politique des tests de simulation DDoS pour plus de détails.

Q : Dans quelles régions AWS le service AWS Shield Standard est-il disponible ?

AWS Shield Standard est disponible sur tous les services AWS dans toutes les régions AWS et sur tous les emplacements périphériques AWS du monde entier.

Pour plus d'informations sur la disponibilité d'AWS Shield Standard par région, reportez-vous à la section relative aux produits et services régionaux.

Q : Dans quelles régions AWS le service AWS Shield Advanced est-il disponible ?

La version avancée d'AWS Shield est disponible sur tous les emplacements périphériques Amazon CloudFront, AWS Global Accelerator et Amazon Route 53 du monde entier. Vous pouvez protéger vos applications web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Les serveurs d'origine peuvent être de type Amazon Simple Storage Service (S3), Amazon EC2, Elastic Load Balancing ou un serveur personnalisé en dehors d'AWS. Vous pouvez également activer AWS Shield Advanced directement sur Elastic Load Balancing ou Amazon EC2 dans les régions AWS suivantes : Virginie du Nord, Ohio, Oregon, Californie du Nord, Montréal, São Paulo, Irlande, Francfort, Londres, Paris, Stockholm, Singapour, Tokyo, Sydney, Séoul, Mumbai, Milan, Le Cap, Hong Kong, Bahreïn, Malaisie et Émirats arabes unis.

Pour des informations à jour sur la disponibilité régionale d'AWS Shield Advanced, reportez-vous aux Produits et services régionaux.

Q : AWS Shield est compatible HIPAA ?

Oui, AWS a étendu son programme de conformité HIPAA et comprend désormais AWS Shield en tant que service éligible HIPAA. Si vous disposez d'un accord de partenariat (BAA) exécuté avec AWS, vous pouvez utiliser AWS Shield pour protéger les applications Web exécutées sur AWS contre les attaques par déni de service distribué (DDoS). Pour plus d'informations, consultez la Conformité à la norme HIPAA.

Q : Contre quels types d'attaques AWS Shield Standard peut-il m'aider à me protéger ?

AWS Shield Standard protège automatiquement les applications Web s'exécutant sur AWS contre les attaques ciblant la couche d’infrastructure les plus fréquentes, notamment les flux UDP, et les attaques de type « state exhaustion », comme les flux TCP SYN. Les clients peuvent également utiliser AWS WAF pour se prémunir des attaques visant la couche d'application, comme les flux HTTP POST ou GET. Vous trouverez d'autres informations sur le déploiement de protections au niveau de la couche d'applications dans le Guide du développeur AWS WAF et AWS Shield Advanced.

Q : Combien de ressources puis-je activer pour la protection AWS Shield Standard ?

Aucune limite ne s'applique au nombre de ressources soumises à la protection AWS Shield Standard. Vous pouvez bénéficier de tous les avantages qu'offrent les protections AWS Shield Standard en suivant les bonnes pratiques de résilience DDoS sur AWS.

Q : Combien de ressources puis-je activer pour la protection AWS Shield Advanced ?

Vous pouvez activer jusqu'à 1 000 ressources AWS pour chaque type de ressource pris en charge (équilibreurs de charge d'application/classiques, distributions Amazon CloudFront, zones d'hébergement Amazon Route 53, adresses IP Elastic, accélérateurs AWS Global Accelerator) pour la protection AWS Shield Advanced. Si vous souhaitez activer plus de 1 000 ressources, vous pouvez demander une augmentation de la limite en créant un cas AWS Support.

Q : Puis-je activer la protection AWS Shield Advanced via une API ?

Oui. AWS Shield Advanced peut être activé via des API. Vous pouvez également ajouter ou supprimer des ressources AWS de la protection AWS Shield Advanced via des API.

Q : En combien de temps l'impact des attaques est-il atténué ?

En général, l'impact de 99 % des attaques ciblant la couche d'infrastructure détectées par AWS Shield est réduit en moins d'une seconde si elles visent Amazon CloudFront et Amazon Route 53 et en moins de 5 minutes si elles visent Elastic Load Balancing. Les 1 % d'attaques ciblant l'infrastructure restants voient généralement leur impact limité en moins de 20 minutes. L'impact des attaques visant la couche d'application est limité par la rédaction des règles sur AWS WAF, qui sont examinées et modérées en ligne avec le trafic entrant.

Q : Puis-je protéger les ressources en dehors d'AWS ?

Oui, un certain nombre de nos clients choisissent d'utiliser les points de terminaison AWS devant leurs instances backend. Le plus souvent, ces points de terminaison sont nos services CloudFront et Route 53 distribués à l'échelle mondiale. Ces services font également partie de nos suggestions de bonnes pratiques pour la résilience DDoS. Les clients peuvent protéger ces distributions CloudFront et zones hébergées par Route 53 avec Shield Advanced. Veuillez noter que vous devez verrouiller leurs ressources backend pour accepter uniquement le trafic provenant de ces points de terminaison AWS.

Q : Quels sont les outils qui me sont fournis par AWS Shield Standard pour limiter l'impact des attaques DDoS ?

AWS Shield Standard protège automatiquement vos applications Web s'exécutant sur AWS des attaques DDoS les plus courantes et les plus fréquentes. Vous pouvez bénéficier de tous les avantages qu'offre AWS Shield Standard en suivant les bonnes pratiques de résilience DDoS sur AWS.

Q : Quels sont les outils qui me sont fournis par AWS Shield Advanced pour limiter l'impact des attaques DDoS ?

AWS Shield Advanced gère la réduction de l'impact des attaques DDoS ciblant les couches 3 et 4. Vos applications sont ainsi protégées des attaques comme les flux UDP ou les flux TCP SYN. De plus, AWS Shield Advanced peut détecter des attaques, telles que les flux HTTP et DNS, qui ciblent la couche d'applications (couche 7). Vous pouvez utiliser AWS WAF pour appliquer vos propres mécanismes d'atténuation. Ou, si vous disposez d'un plan de support Business ou Enterprise, vous pouvez contacter 24 h/24 et 7 j/7 l'équipe AWS Shield Response Team (SRT), qui peut rédiger des règles à votre place pour limiter l'impact des attaques DDoS ciblant la couche 7.

Q : Ai-je besoin d'un plan de support spécifique pour contacter l'équipe AWS Shield Response Team ?

Oui, vous avez besoin d'un plan de support Business ou Enterprise pour vous adresser directement à l'équipe AWS Shield Response Team (SRT) ou pour échanger avec elle. Consultez le site web AWS Support pour en savoir plus sur les plans AWS Support.

Q : Comment faire pour contacter l'équipe AWS Shield Response Team ?

Vous pouvez contacter l'équipe AWS Shield Response Team (SRT) via le support AWS habituel ou contacter AWS Support.

Q : Sous quel délai puis-je interagir avec l'équipe AWS Shield Response Team (SRT) ?

Les temps de réponse de l'équipe SRT dépendent du plan AWS Support auquel vous êtes abonné. Nous prenons toutes les mesures raisonnables pour répondre à votre demande initiale dans les délais impartis. Consultez le site web AWS Support pour en savoir plus sur les plans AWS Support.

Q : Le service AWS Shield m'envoie-t-il des notifications en cas d'attaque ?

Oui. Avec AWS Shield Advanced, vous recevez des notifications d'attaques DDoS via les métriques CloudWatch.

Q : Sous quel délai vais-je recevoir une notification d'attaque ?

En règle générale, AWS Shield Advanced envoie une notification d'attaque dans les minutes qui suivent la détection de cette dernière.

Q : Q : Puis-je obtenir un historique de toutes les attaques DDoS (Déni de service distribué) visant mes ressources AWS ?

Oui. Avec AWS Shield Advanced, vous êtes en mesure de consulter l'historique répertoriant l’ensemble des incidents survenus au cours des 13 derniers mois.

Q : Puis-je voir les attaques sur AWS ?

Oui, les clients AWS Shield Advanced ont accès au tableau de bord de l'environnement de menace globale, qui fournit une vue anonymisée et échantillonnée de toutes les attaques DDoS observées sur AWS au cours des 2 dernières semaines.

Q : Comment savoir si les règles AWS WAF fonctionnent ?

AWS WAF offre deux manières différentes de voir comment votre site Web est protégé : des mesures à une fréquence d'une minute sont disponibles dans CloudWatch et des échantillons de requêtes web sont mis à votre disposition dans l'API AWS WAF ou la Console de gestion AWS. De plus, vous pouvez activer des journaux complets, qui sont distribués via Amazon Kinesis Firehose vers la destination de votre choix. Vous pouvez ainsi vérifier quelles requêtes ont été bloquées, autorisées ou décomptées et quelle règle a été assortie à une requête donnée (par exemple, cette requête web a été bloquée à cause d'une condition concernant l'adresse IP, etc.). Pour plus d'informations, consultez le Guide du développeur AWS WAF et AWS Shield Advanced.

Q. Je dois effectuer un pen-test pour évaluer le service et mon application. Quelle est la procédure approuvée ?

Veuillez consulter Réalisation de tests d'intrusion sur AWS. Toutefois, cela n'inclut pas de « test de charge DDoS », lequel n'est pas autorisé sur AWS. Si vous souhaitez effectuer un test DDoS en direct, vous pouvez demander l'autorisation à cet effet en créant un dossier via AWS Support. L'autorisation pour ce test implique un accord sur les conditions du test entre AWS, le client et le fournisseur de tests DDoS. Veuillez noter que nous travaillons uniquement avec des fournisseurs de tests DDoS agréés et que l'ensemble du processus dure entre trois et quatre semaines.

 

Q : Comment l'utilisation d'AWS Shield Standard me sera-t-elle facturée ?

AWS Shield Standard est intégré aux services AWS que vous utilisez déjà pour vos applications Web. Aucuns frais supplémentaires ne s'appliquent à l'utilisation d'AWS Shield Standard.

Q : Comment l'utilisation d'AWS Shield Advanced me sera-t-elle facturée ?

Avec AWS Shield Advanced, vous payez des frais mensuels de 3 000 USD par organisation. En outre, vous payez également des frais d'utilisation pour le transfert des données AWS Shield Advanced pour les ressources AWS activées dans le cadre de la protection avancée. Les frais facturés pour l'utilisation d'AWS Shield Advanced s'ajoutent aux frais standard appliqués sur Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53. Pour en savoir plus, consultez la page relative à la tarification d'AWS Shield.

Q : Puis-je choisir de ne protéger que certaines de mes ressources avec AWS Shield Advanced ?

Oui, AWS Shield Advanced vous permet de choisir les ressources que vous souhaitez protéger. AWS Shield Advanced Data Transfer ne vous sera facturé que pour ces ressources protégées.

Q : Comment puis-je activer AWS Shield Advanced sur plusieurs comptes AWS ?

Si votre organisation possède plusieurs comptes AWS, vous pouvez abonner plusieurs comptes AWS à AWS Shield Advanced en l'activant individuellement sur chaque compte à l'aide de la Console de gestion AWS ou de l'API. Vous payez les frais mensuels tant que les comptes AWS dépendent tous d'une seule facturation consolidée, et vous êtes propriétaire de tous les comptes AWS et les ressources qui s'y trouvent.