AWS Shield
AWS Cloud

AWS Shield adalah layanan perlindungan Distributed Denial of Service (DDoS) terkelola yang menjaga aplikasi yang berjalan di AWS. AWS Shield menyediakan deteksi yang selalu-aktif dan mitigasi inline otomatis yang meminimalkan waktu henti dan latensi aplikasi, jadi tidak perlu melibatkan AWS Support untuk mendapatkan manfaat dari perlindungan DDoS. Ada dua tingkatan AWS Shield – Standard dan Advanced.

Semua pelanggan AWS mendapatkan keuntungan dari prediksi otomatis AWS Shield Standard, tanpa biaya tambahan. AWS Shield Standard bertahan terhadap serangan DDoS jaringan dan lapisan transpor yang paling umum dan sering terjadi yang menargetkan situs web atau aplikasi Anda. Ketika Anda menggunakan Shield AWS Standard dengan Amazon CloudFront dan Amazon Route 53, Anda menerima perlindungan ketersediaan yang komprehensif terhadap semua serangan infrastruktur (Layer 3 dan 4) yang diketahui.

Untuk tingkat perlindungan yang lebih tinggi terhadap serangan yang menargetkan aplikasi Anda yang berjalan di sumber daya Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, dan Amazon Route 53, Anda dapat berlangganan ke AWS Shield Advanced. Selain perlindungan lapisan jaringan dan transportasi yang datang dengan Standard, AWS Shield Advanced menyediakan deteksi tambahan dan mitigasi terhadap serangan DDoS yang besar dan canggih, dekat visibilitas yang hampir secara real-time ke dalam serangan, dan integrasi dengan AWS WAF, firewall aplikasi web. AWS Shield Advanced juga memberi Anda akses 24 jam sehari dan 7 hari seminggu ke AWS DDoS Response Team (DRT) dan perlindungan terhadap lonjakan terkait DDoS di tagihan Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, dan Amazon Route 53 Anda.

AWS Shield Advanced tersedia secara global di semua lokasi edge Amazon CloudFront dan Amazon Route 53. Anda dapat melindungi aplikasi web Anda di mana saja di dunia dengan menggunakan Amazon CloudFront di depan aplikasi Anda. Server asal Anda dapat berupa Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastis Load Balancing (ELB), atau server khusus di luar AWS. Anda juga dapat mengaktifkan AWS Shield Advanced langsung pada Elastic IP atau Elastic Load Balancing (ELB) di Wilayah AWS berikut – Virginia Utara, Oregon, Irlandia, Tokyo, dan California Utara.

100x100_benefit_ingergration

Dengan AWS Shield Standard, sumber daya AWS Anda secara otomatis dilindungi dari serangan DDoS jaringan dan lapisan transpor yang umum terjadi. Anda dapat mencapai tingkat pertahanan yang lebih tinggi hanya dengan mengaktifkan perlindungan AWS Shield Advanced untuk Elastic IP, Elastic Load Balancing (ELB), sumber daya Amazon CloudFront atau Amazon Route 53 yang ingin Anda lindungi menggunakan konsol pengelolaan atau API.

100x100_benefit_customize

Dengan AWS Shield Advanced, Anda memiliki fleksibilitas untuk menulis aturan khusus untuk mengurangi serangan lapisan aplikasi canggih. Aturan yang dapat disesuaikan ini dapat diterapkan secara instan, memungkinkan Anda memitigasi serangan dengan cepat Anda dapat mengatur aturan secara proaktif untuk memblokir lalu lintas yang buruk secara otomatis, atau menanggapi insiden saat terjadi. Anda juga memiliki akses 24 jam sehari dan 7 hari seminggu ke AWS DDoS Response Team (DRT), yang dapat menulis aturan atas nama Anda untuk mengurangi serangan DDoS lapisan aplikasi.

100x100_benefit_lowcost-affordable

Sebagai pelanggan AWS, Anda secara otomatis mendapatkan perlindungan lapisan jaringan terhadap serangan DDoS paling umum dengan AWS Shield Standard. Perlindungan ini tidak memerlukan biaya tambahan, sumber daya, atau waktu untuk memulai. Dengan AWS Shield Advanced, Anda mendapatkan "perlindungan biaya DDoS", fitur yang melindungi tagihan AWS Anda dari lonjakan penggunaan EC2, Elastic Load Balancing (ELB), Amazon CloudFront, dan Amazon Route 53 akibat serangan DDoS.

Deteksi Cepat

AWS Shield Standard menyediakan pemantauan aliran jaringan selalu-aktif yang memeriksa lalu lintas masuk ke AWS dan menggunakan kombinasi tanda tangan lalu lintas, algoritme anomali, dan teknik analisis lainnya untuk mendeteksi lalu lintas jahat secara real-time

Mitigasi Serangan Inline

Teknik mitigasi otomatis dibangun ke dalam AWS Shield Standard, memberi Anda perlindungan terhadap serangan infrastruktur yang umum dan paling sering terjadi. Mitigasi otomatis diterapkan selaras dengan aplikasi Anda sehingga tidak ada dampak latensi. AWS Shield Standard menggunakan beberapa teknik seperti pemfilteran paket yang bersifat menentukan, dan pembentukan lalu lintas berdasarkan prioritas untuk secara otomatis mengurangi serangan tanpa berdampak pada aplikasi Anda. Anda juga dapat mengurangi serangan DDoS lapisan aplikasi dengan menulis aturan menggunakan AWS WAF. Dengan AWS WAF, Anda hanya membayar apa yang Anda gunakan.

Deteksi selalu aktif dan mitigasi inline meminimalkan waktu henti aplikasi dan Anda tidak perlu melibatkan AWS Support untuk menerima perlindungan DDoS


Deteksi yang Ditingkatkan

Dengan AWS Shield Advanced, Anda memiliki akses 24 jam sehari dan 7 hari seminggu ke AWS DDoS Response Team (DRT), yang dapat terlibat sebelum, selama, atau setelah serangan DDoS. DRT akan membantu triase insiden, mengidentifikasi akar masalah, dan menerapkan mitigasi atas nama Anda. Anda juga dapat terlibat dengan DRT untuk setiap analisis pascaserangan.

Mitigasi Serangan Canggih

AWS Shield Advanced memberi Anda mitigasi otomatis yang lebih canggih. Dengan menggunakan teknik perutean tingkat lanjut, AWS Shield Advanced secara otomatis menyediakan kapasitas mitigasi tambahan untuk melindungi terhadap serangan DDoS yang lebih besar. AWS DDoS Respons Team (DRT) juga menerapkan mitigasi manual untuk serangan DDoS yang lebih kompleks dan canggih. Untuk serangan lapisan aplikasi, Anda dapat menggunakan AWS WAF untuk menanggapi insiden. Dengan AWS WAF Anda dapat mengatur aturan proaktif seperti Daftar Hitam Berdasarkan Tingkat untuk secara otomatis memblokir lalu lintas yang buruk, atau segera menanggapi insiden saat terjadi. Tidak ada biaya tambahan untuk menggunakan AWS WAF untuk perlindungan lapisan aplikasi. Anda juga dapat terlibat langsung dengan DRT untuk menempatkan aturan AWS WAF atas nama Anda, sebagai tanggapan terhadap serangan DDoS lapisan aplikasi. DRT akan mendiagnosis serangan itu dan, dengan izin Anda, menerapkan mitigasi atas nama Anda.

Pemberitahuan Visibilitas dan Serangan

AWS Shield Advanced memberi Anda visibilitas lengkap ke serangan DDoS dengan pemberitahuan real-time mendekati melalui Amazon CloudWatch dan diagnostik terperinci di Konsol Pengelolaan "AWS WAF dan AWS Shield". Bekerja dengan DDoS Response Team (DRT) Anda dapat mengakses analisis dan penyelidikan pascaperistiwa. Anda juga dapat melihat ringkasan serangan sebelumnya dari Konsol Pengelolaan "AWS WAF dan AWS Shield".

Dukungan Khusus

AWS Shield Advanced menyediakan deteksi yang ditingkatkan, memeriksa aliran jaringan dan juga memonitor lalu lintas lapisan aplikasi ke alamat Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront, atau sumber daya Amazon Route 53 Anda. Menggunakan teknik tambahan seperti pemantauan spesifik sumber daya, AWS Shield Advanced menyediakan deteksi granular serangan DDoS. AWS Shield Advanced mendeteksi serangan DDoS lapisan aplikasi seperti banjir HTTP atau banjir kueri DNS dengan mendasari lalu lintas pada sumber daya Anda dan mengidentifikasi anomali.

Perlindungan Biaya DDoS

AWS Shield Advanced dilengkapi dengan "perlindungan biaya DDoS", perlindungan dari pengembangan biaya akibat serangan DDoS yang menyebabkan lonjakan penggunaan di Amazon Elastic Compute Cloud (EC2), Elastis Load Balancing (ELB), Amazon CloudFront, atau Amazon Route 53. Jika salah satu dari layanan ini meningkat dalam menanggapi serangan DDoS, AWS akan memberikan kredit layanan AWS Shield untuk biaya karena lonjakan penggunaan. Untuk detail lebih lanjut tentang cara meminta kredit layanan, buka Dokumentasi AWS WAF dan AWS Shield Advanced.

DNS

Menggunakan Amazon Route 53

AWS Shield Standard secara otomatis melindungi Zona yang Di-hosting Amazon Route 53 Anda dari serangan DDoS lapisan infrastruktur tanpa biaya tambahan. Ini termasuk serangan seperti serangan Refleksi atau banjir SYN yang sering menargetkan DNS Anda. AWS Shield Standard secara otomatis menggunakan berbagai teknik seperti validasi header dan pembentukan lalu lintas berdasarkan prioritas untuk secara otomatis mengurangi serangan DDoS ini.

Selain itu, AWS Shield Advanced memberikan perlindungan tambahan untuk skenario ekstrem ketika diperlukan intervensi manual melalui akses 24 jam sehari dan 7 hari seminggu ke AWS DDoS Response Team. Lebih lanjut, AWS Shield Advanced juga menyediakan visibilitas terhadap serangan di infrastruktur Route 53 Anda.

Pelajari lebih lanjut tentang Cara Mengurangi Risiko DDoS Menggunakan Amazon Route 53 dan AWS Shield.


Aplikasi Web dan API
Menggunakan Amazon CloudFront atau Application Load Balancer

Saat menggunakan Amazon CloudFront, AWS Shield Standard secara otomatis memberikan perlindungan menyeluruh terhadap serangan lapisan infrastruktur seperti banjir SYN, banjir UDP, atau serangan Refleksi lainnya. Sistem deteksi dan mitigasi selalu-aktif dari AWS Shield Standard secara otomatis membuat lalu lintas macet di Lapisan 3 dan 4 untuk melindungi aplikasi Anda. Lebih dari 99% serangan lapisan infrastruktur yang terdeteksi oleh AWS Shield Standard secara otomatis dikurangi dalam waktu kurang dari 1 detik untuk serangan di Amazon CloudFront.

Pelajari cara menggunakan Amazon CloudFront untuk Melindungi aplikasi Dinamis Anda dari serangan DDoS.

Pelajari bagaimana Slack menggunakan Amazon CloudFront untuk melindungi terhadap serangan DDoS.

Pembicara:
Alex Graham, Sr. Operations Engineer, Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

Untuk perlindungan tambahan terhadap serangan DDoS yang besar dan canggih, Anda juga dapat menggunakan AWS Shield Advanced di Amazon CloudFront. Dengan Shield Advanced, pelanggan mendapatkan akses 24 jam sehari dan 7 hari seminggu ke AWS DDoS Response Team (DRT), yang secara proaktif menerapkan mitigasi yang diperlukan untuk setiap lapisan infrastruktur canggih (Lapisan 3 atau 4) serangan menggunakan teknik tambahan seperti rekayasa lalu lintas. Selain itu, AWS Shield Advanced juga melindungi Anda dari serangan lapisan aplikasi, seperti banjir HTTP. AWS Shield Advanced adalah baseline sistem deteksi bawaan yang selalu aktif untuk lalu lintas aplikasi stabil milik pelanggan dan memantau anomali apa pun. AWS Shield Advanced menyertakan AWS WAF tanpa biaya tambahan yang memungkinkan Anda menyesuaikan setiap mitigasi lapisan aplikasi.


Aplikasi Lain (seperti Aplikasi Berbasis UDP)
Menggunakan Alamat IP Elastis

Untuk aplikasi kustom lainnya, yang tidak didasarkan pada TCP (seperti UDP, SIP, dll.), Anda tidak dapat menggunakan layanan seperti Amazon CloudFront atau Elastic Load Balancing. Dalam kasus ini, Anda sering perlu menjalankan aplikasi Anda secara langsung pada instans Amazon EC2 yang berhadapan dengan internet. AWS Shield Standard juga melindungi instans Amazon EC2 Anda dari serangan DDoS lapisan infrastruktur umum (Layer 3 dan 4) seperti serangan refleksi UDP, seperti refleksi DNS, refleksi NTP, refleksi SSDP, dll. AWS Shield Standard menggunakan berbagai teknik seperti pembentukan lalu lintas berdasarkan prioritas yang secara otomatis terlibat ketika terdeteksi tanda tangan serangan DDoS yang didefinisikan dengan baik.

Anda juga bisa mendapatkan perlindungan canggih terhadap serangan DDoS besar dan canggih untuk aplikasi ini dengan mengaktifkan AWS Shield Advanced pada alamat Elastic IP. Deteksi DDoS yang ditingkatkan dari AWS Shield Advanced secara otomatis mendeteksi jenis Sumber Daya AWS dan ukuran instans EC2 serta menerapkan mitigasi yang ditentukan sebelumnya. Dengan AWS Shield Advanced, pelanggan juga dapat membuat profil mitigasi khusus mereka sendiri dengan melibatkan AWS DDoS Respons Team (DRT) 24 jam sehari dan 7 hari seminggu. AWS Shield Advanced juga memastikan bahwa, selama serangan DDoS, semua Amazon VPC Networ Access Control Lists (ACL) Anda secara otomatis diberlakukan di perbatasan jaringan AWS yang memberi Anda akses ke bandwidth tambahan dan kapasitas scrubbing untuk mengurangi serangan DDoS volumetrik besar. Dengan AWS Shield Advanced, Anda bisa mendapatkan perlindungan tambahan terhadap serangan DDoS seperti banjir SYN atau vektor lain seperti banjir UDP.

Pelajari lebih lanjut tentang Melampirkan Elastic IP ke Instans Amazon EC2.

Aplikasi web Anda yang berjalan di AWS sudah dilindungi oleh AWS Shield Standard. Untuk mengaktifkan AWS Shield Advanced, buka konsol Pengelolaan "AWS WAF dan AWS Shield" dan pilih sumber daya yang ingin Anda aktifkan perlindungan Tingkat Lanjutnyanya.

Mulai Menggunakan AWS Shield