Bagaimana AWS melindungi pelanggan dari serangan DDOS

Di Amazon Web Services (AWS), keamanan menjadi prioritas utama. Keamanan telah melekat secara mendalam dalam budaya, proses, dan sistem yang ada pada AWS. Keamanan ini meliputi segala aspek yang dilakukan. Apa dampaknya bagi para pelanggan? Kami yakin pelanggan dapat mendapatkan manfaat dari pemahaman yang lebih lanjut tentang bagaimana upaya AWS dalam mencegah dan mengurangi kejadian keamanan yang berdampak pada para pelanggan kami.

Sejak akhir Agustus 2023, AWS telah berhasil mendeteksi dan melindungi aplikasi pelanggan dari jenis serangan Distributed Denial of Service (DDoS). Serangan DDoS ini bertujuan untuk mengganggu ketersediaan sistem yang ditargetkan, seperti situs web atau aplikasi, sehingga menurunkan performa bagi pengguna atau pelanggan tersebut. Contoh dari serangan DDoS meliputi HTTP request floods, reflection/amplification attacks, dan packet floods. AWS berhasil mendeteksi serangan DDoS berupa HTTP/2 request flood, yang terjadi ketika volume permintaan web yang meningkat secara abnormal dan melebihi kemampuan web server untuk merespons permintaan pelanggan yang sah.

Antara 28 Agustus dan 29 Agustus 2023, AWS dengan proaktif mengidentifikasi lonjakan permintaan HTTP/2 yang luar biasa menuju Amazon CloudFront, mencapai lebih dari 155 juta request per detik (RPS). Dalam waktu singkat, AWS berhasil menentukan sifat aktivitas yang tidak biasa itu dan menemukan bahwa CloudFront secara otomatis telah menangani serangan DDoS baru, yaitu serangan HTTP/2 rapid reset. Selama dua hari tersebut, AWS berhasil menangani puluhan peristiwa HTTP/2 rapid reset, dan hingga sepanjang bulan September, terus menghadapi jenis HTTP/2 request flood yang baru ini. Pelanggan AWS yang telah membangun arsitektur pertahanan DDoS dengan layanan seperti Amazon CloudFront dan AWS Shield, akan dapat melindungi aplikasi mereka dari jenis-jenis serangan tersebut.

Gambar 1. Global HTTP request per menit, September 13-16

Ringkasan mengenai serangan HTTP/2 rapid reset

Protokol HTTP/2 memungkinkan beberapa logical connection yang berbeda untuk di multiplexing dalam satu sesi HTTP tunggal. Ini merupakan perubahan dari HTTP 1.x, di mana setiap sesi HTTP dipisah. Serangan HTTP/2 rapid reset terdiri dari beberapa koneksi HTTP/2 dengan request dan reset yang terjadi secara cepat berturut-turut. Sebagai contoh, serangkaian request untuk beberapa stream akan di transmisikan dan diikuti oleh reset untuk setiap request tersebut. Sistem target akan mem-parsing dan menindaklanjuti setiap request, menghasilkan log untuk request yang kemudian direset atau dibatalkan oleh klien. Sistem target tetap menghasilkan log tersebut meskipun tidak perlu mengirimkan data kembali ke klien. Pelaku yang tidak bertanggung jawab dapat menyalahgunakan proses ini dengan mengirimkan request HTTP/2 dalam volume besar , yang dapat mengganggu sistem yang ditargetkan, seperti situs web atau aplikasi.

Perlu diingat bahwa serangan HTTP/2 rapid reset hanyalah jenis baru dari HTTP request flood. Untuk melindungi diri dari jenis serangan DDoS seperti ini, Anda dapat menerapkan arsitektur yang membantu Anda secara spesifik dalam mendeteksi request yang tidak diinginkan serta mengembangkan kemampuan untuk menyerap dan memblokir request HTTP berbahaya tersebut.

Membangun arsitektur yang tangguh terhadap serangan DDOS

Sebagai pelanggan AWS, Anda mendapatkan manfaat dari keamanan yang tertanam dalam infrastruktur cloud global AWS, serta komitmen kami untuk terus meningkatkan keamanan, efisiensi, dan ketahanan layanan AWS. Untuk panduan yang dapat diikuti tentang cara meningkatkan ketahanan DDoS, AWS telah mengembangkan berbagai tools seperti AWS Best Practices for DDoS Resiliency. Panduan ini menjelaskan arsitektur referensi yang tahan terhadap DDoS, membantu Anda melindungi ketersediaan aplikasi Anda. Meskipun beberapa bentuk mitigasi DDoS telah disertakan secara otomatis dengan layanan AWS, ketahanan DDoS Anda dapat ditingkatkan dengan menggunakan arsitektur AWS yang dilengkapi dengan layanan khusus, serta dengan menerapkan praktik terbaik tambahan untuk setiap network flow antara pengguna dan aplikasi Anda.

Sebagai contoh, Anda dapat menggunakan layanan AWS yang beroperasi dari edge location, seperti Amazon CloudFront, AWS Shield, Amazon Route 53, and Route 53 Application Recovery Controller, untuk membangun perlindungan ketersediaan yang komprehensif terhadap serangan pada lapisan infrastruktur yang sudah dikenal. Layanan-layanan ini dapat meningkatkan ketahanan DDoS ketika melayani berbagai jenis traffic ke aplikasi Anda dari edge location yang tersebar di seluruh dunia. Aplikasi Anda dapat berada di on-premises atau di AWS ketika Anda menggunakan layanan-layanan AWS ini untuk membantu mencegah request yang tidak perlu mencapai server Anda. Sebagai praktik terbaik, Anda dapat menjalankan aplikasi Anda di AWS guna mendapatkan manfaat tambahan, yaitu mengurangi eksposur ke endpoint aplikasi Anda terhadap serangan DDoS, melindungi ketersediaan aplikasi Anda, dan mengoptimalkan kinerja aplikasi Anda untuk pengguna yang sah. Anda dapat menggunakan Amazon CloudFront (dan kemampuan penyimpanan cache HTTP-nya), AWS WAF, dan perlindungan lapisan aplikasi otomatis Shield Advanced untuk membantu mencegah request yang tidak perlu mencapai origin server Anda selama serangan DDoS pada lapisan aplikasi terjadi.

Menerapkan pengetahuan kami untuk pelanggan AWS

AWS tetap waspada, berupaya membantu mencegah masalah keamanan yang menyebabkan gangguan pada bisnis Anda. Kami percaya bahwa penting untuk berbagi tidak hanya tentang bagaimana service kami dirancang, tetapi juga bagaimana para engineer kami mengambil tanggung jawab proaktif secara mendalam terhadap setiap aspek layanan yang disediakan. Saat kami bekerja untuk mempertahankan infrastruktur dan data pelanggan, kami mencari cara untuk membantu melindungi pelanggan secara otomatis. Bila memungkinkan, AWS Security dan sistemnya mencegah ancaman di tempat yang paling terdampak, dan seringkali pekerjaan ini terjadi di balik layar. Kami bekerja untuk memitigasi ancaman dengan menggabungkan threat inteligence dalam skala global dan ahli kami untuk membuat layanan kami lebih tangguh terhadap aktivitas yang tak terduga. Kami terus melihat ke depan untuk meningkatkan efisiensi dan keamanan layanan, termasuk protokol yang kami gunakan dalam layanan kami, seperti Amazon CloudFront, serta alat AWS Security seperti AWS WAF, AWS Shield, dan Amazon Route 53 Resolver DNS Firewall.

Selain itu, pekerjaan kami juga memperluas perlindungan keamanan dan peningkatan jauh melampaui batas AWS itu sendiri. AWS secara teratur bekerja dengan komunitas yang lebih luas, seperti computer emergency response teams (CERT), internet service providers (ISP), domain registrar, atau lembaga pemerintah, agar mereka dapat membantu mencegah ancaman yang teridentifikasi. Kami juga bekerja erat dengan komunitas keamanan, penyedia cloud lainnya, content delivery networks (CDNs), dan bisnis kolaboratif di seluruh dunia untuk mengisolasi dan menangani pelaku serangan. Sebagai contoh, pada kuartal pertama 2023, kami berhasil menghentikan lebih dari 1,3 juta serangan DDoS yang didorong oleh botnet, dan kami melacak kembali dan bekerja dengan pihak eksternal untuk membongkar sumber dari 230 ribu serangan DDoS L7/HTTP. Efektivitas strategi mitigasi kami sangat bergantung pada kemampuan kami untuk dengan cepat menangkap, menganalisis, dan bertindak atas threat intelligence. Dengan mengambil langkah-langkah ini, AWS tidak hanya melakukan pertahanan DDoS biasa, dan melakukan perlindungan melalui batasan kami. Untuk mempelajari lebih lanjut, anda dapat membaca pada How AWS threat intelligence deters threat actors.

Artikel ini diterjemahkan dari artikel asli dengan judul “How AWS protects customers from DDoS events” yang ditulis oleh Mark Ryland dan Tom Scholl.