AWS Shield Standard


Protection à seuil statique contre les attaques DDoS pour les services AWS sous-jacents

AWS Shield Standard assure une surveillance continue du flux du réseau qui inspecte le trafic entrant vers les services AWS et applique une combinaison de signatures de trafic, d'algorithmes d'anomalie et d'autres techniques d'analyse pour détecter le trafic malveillant en temps réel. Shield Standard fixe des seuils statiques pour chaque type de ressource AWS, mais ne fournit aucune protection personnalisée aux applications des clients AWS.

Atténuation intégrée des attaques

Des techniques d'atténuation automatisées sont intégrées à AWS Shield Standard, offrant aux services AWS sous-jacents une protection contre les attaques courantes et fréquentes des infrastructures. Les atténuations automatiques étant appliquées en ligne pour protéger les services AWS, il n’existe aucun impact sur la latence. AWS Shield Standard utilise des techniques comme le filtrage déterministe des paquets et la mise en forme du trafic en fonction des priorités pour atténuer automatiquement les attaques de la couche réseau de base.

AWS Shield Advanced


Détection personnalisée basée sur les modèles de trafic des applications

AWS Shield Advanced fournit une détection personnalisée basée sur des modèles de trafic à votre adresse IP Elastic, à Elastic Load Balancing (ELB), à Amazon CloudFront, à AWS Global Accelerator ou aux ressources Amazon Route 53. Grâce aux techniques supplémentaires de surveillance adaptées aux ressources et aux régions, AWS Shield Advanced détecte les attaques DDoS plus discrètes et vous en informe. AWS Shield Advanced détecte également les attaques de la couche application comme les inondations HTTP ou les inondations de requêtes DNS en basant le trafic sur votre application et en identifiant les anomalies.

Détection basée sur l’état

AWS Shield Advanced utilise l’état de vos applications pour améliorer la réactivité et la précision dans la détection et l'atténuation des attaques. Vous pouvez définir une vérification d’état dans Amazon Route 53 et l'associer à une ressource protégée par Shield Advanced via la console ou l'API. Ainsi, Shield Advanced peut détecter les attaques ayant un impact sur l’état de votre application plus rapidement et à des seuils de trafic plus bas, améliorant ainsi la résilience aux attaques DDoS de votre application et empêchant les fausses notifications positives. Le statut de l'état de la ressources est également accessible à l'équipe DDoS Response Team afin qu'elle puisse hiérarchiser de manière appropriée la réponse aux applications malsaines en premier lieu. Vous pouvez appliquer la détection basée sur l'état à tous les types de ressource qu'AWS Shield Advanced prend en charge, à savoir les adresses IP Elastic, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53.

Atténuation avancée des attaques

AWS Shield Advanced fournit d’autres atténuations automatiques plus sophistiquées pour les attaques ciblant vos applications s'exécutant sur des ressources protégées Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53. Grâce à des techniques de routage avancées, AWS Shield Advanced déploie automatiquement des fonctionnalités d’atténuation supplémentaires pour prévenir les attaques DDoS de grande ampleur. Pour les clients disposant d'un support Business ou Enterprise, AWS DDoS Response Team (DRT) applique également des mesures d'atténuation manuelles pour les attaques DDoS plus complexes et sophistiquées qui pourraient être propres à votre application. Pour les attaques de la couche application, vous pouvez utiliser AWS WAF sans frais supplémentaires pour les ressources protégées AWS Shield Advanced afin de configurer des règles proactives telles que le blocage basé sur le taux, afin d'empêcher automatiquement les requêtes Web d'attaquer les adresses IP sources, ou de répondre immédiatement aux incidents dès qu'ils se produisent. Vous pouvez également contacter directement l'équipe DRT pour qu'elle fixe des règles AWS WAF personnalisées pour vous en réponse à une attaque DDoS de la couche application. L’équipe DRT diagnostiquera l'attaque et, avec votre autorisation, pourra appliquer des mesures d'atténuation pour vous, réduisant ainsi la durée pendant laquelle vos applications pourraient être affectées par une attaque DDoS en cours.

Réponse proactive aux événements

AWS Shield Advanced offre un engagement proactif de l’équipe DDoS Response Team (DRT) lorsqu'un événement DDoS est détecté. Lorsque vous activez l’engagement proactif, l’équipe DRT vous contacte directement si une vérification de l’état d’Amazon Route 53 associée à votre ressource protégée détecte un état malsain lors d'un événement DDoS. Ainsi, vous pouvez entrer en contact avec des experts plus rapidement lorsque la disponibilité de votre application est affectée par une attaque suspecte. L'intervention proactive est disponible pour les événements de la couche transport et réseau sur les adresses IP Elastic et des accélérateurs Global Accelerator, ainsi que pour les attaques de la couche application dans les distributions CloudFront et les équilibreurs de charge d'application.

Visibilité et notification en cas d'attaque

AWS Shield Advanced offre une visibilité totale sur les attaques DDoS, avec une notification en temps quasi réel via Amazon CloudWatch et des diagnostics détaillés sur la console de gestion « AWS WAF et AWS Shield » ou les API. Vous pouvez également afficher un résumé des attaques précédentes à partir de la console de gestion « AWS WAF et AWS Shield ».

Protection contre les coûts DDoS

AWS Shield Advanced intègre la « protection contre les coûts DDoS ». Il s'agit d'une mesure destinée à empêcher des attaques DDoS de générer des surcoûts en provoquant des pics d'utilisation des ressources Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator ou Amazon Route 53 protégées. Si l'une ou l'autre de ces ressources protégées se met à augmenter en réponse à une attaque DDoS, vous pouvez demander des crédits AWS Shield Advanced via votre support AWS habituel.

Support spécialisé

Pour les clients bénéficiant des plans de support aux entreprises, AWS Shield Advanced vous donne accès à l'équipe AWS en charge des attaques DDoS (DRT) 24 h/24 et 7 j/7, à laquelle vous pouvez faire appel avant, pendant ou après une attaque DDoS. L'équipe DRT trie les incidents, identifie la cause racine et applique des mesures d'atténuation pour vous. L’équipe DRT possède une grande expertise pour réagir et atténuer rapidement les attaques DDoS chez les clients AWS.

Disponibilité globale

La version avancée d'AWS Shield est disponible sur tous les emplacements périphériques Amazon CloudFront, AWS Global Accelerator et Amazon Route 53. Vous pouvez protéger vos applications Web hébergées n'importe où dans le monde en déployant Amazon CloudFront devant votre application. Vos serveurs d'origine peuvent être des serveurs Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) ou des serveurs personnalisés non-AWS. Vous pouvez également activer des protections directement sur des adresses IP Elastic ou des instances Elastic Load Balancing (ELB) dans toutes les régions où AWS Shield Advanced est disponible.

Gestion centralisée des mesures de protection

Les clients AWS Shield Advanced peuvent utiliser AWS Firewall Manager pour appliquer des protection AWS Shield Advanced et AWS WAF dans l’ensemble de leur organisations. Le coût de Firewall Manager est inclus dans les frais d'abonnement à Shield Advanced. Avec AWS Firewall Manager, vous pouvez configurer automatiquement des stratégies qui protègent plusieurs comptes et ressources. Firewall Manager audite automatiquement les comptes pour rechercher les ressources nouvelles ou non protégées, et vérifie qu’AWS Shield Advanced et AWS WAF sont appliquée universellement. Ainsi, les développeurs peuvent agir rapidement et déployer de nouvelles applications avec la certitude que les protections appropriées seront automatiquement appliquées. Pour en savoir plus sur AWS Firewall Manager, accédez au site Web du produit.

En savoir plus sur la tarification d'AWS Shield

Visitez la page de tarification
Prêt à concevoir ?
Mise en route d’AWS Shield
D'autres questions ?
Contactez-nous