AWS Shield è un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge le applicazioni in esecuzione in AWS. AWS Shield fornisce un rilevamento continuo e prevenzione incorporata automatica che minimizzano il tempo di inattività e la latenza dell'applicazione, così non è necessario ricorrere ad AWS Support per beneficiare della protezione DDoS. Esistono due livelli di AWS Shield: Standard e Advanced.
Tutti i clienti AWS beneficiano delle funzionalità di protezione automatica di AWS Shield Standard, senza costi aggiuntivi. AWS Shield Standard protegge dagli attacchi DDoS di rete e di livello trasporto più comuni e frequenti a siti Web o applicazioni. Chi utilizza AWS Shield Standard con Amazon CloudFront e Amazon Route 53, potrà avvalersi della protezione completa contro tutti gli attacchi a livello di infrastruttura (livello 3 e 4).
Per livelli di protezione più elevati contro gli attacchi diretti alle applicazioni su risorse di Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53, è possibile eseguire la registrazione ad AWS Shield Advanced. Oltre alle funzionalità di protezione di rete e di livello trasporto della versione Standard, AWS Shield Advanced fornisce rilevamento supplementare e prevenzione contro attacchi DDoS vasti e sofisticati, visibilità sugli attacchi quasi in tempo reale e integrazione con AWS WAF, un firewall per applicazioni Web. AWS Shield Advanced, inoltre, consente l'accesso 24 ore su 24, 7 giorni su 7, al DRT (DDoS Response Team) di AWS e protezione dai costi provocati dai picchi di traffico in Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53.
AWS Shield Advanced è disponibile in tutto il mondo presso tutte le edge location di Amazon CloudFront, AWS Global Accelerator e Amazon Route 53. Proteggi le tue applicazioni Web in hosting in tutto il mondo distribuendole insieme ad Amazon CloudFront. I server di origine possono essere Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) o un server personalizzato esterno ad AWS. È inoltre possibile abilitare AWS Shield Advanced direttamente su un IP elastico o su Elastic Load Balancing nelle seguenti regioni AWS: Virginia settentrionale, Ohio, Oregon, California settentrionale, Montreal, San Paolo, Irlanda, Francoforte, Londra, Parigi, Stoccolma, Singapore, Tokyo, Sydney, Seoul e Mumbai.
Vantaggi
Integrazione e distribuzione ottimizzate
Le risorse AWS sono protette automaticamente dagli attacchi DDoS a livello di rete e di trasporto più comuni grazie a AWS Shield Standard. Puoi ottenere un livello di protezione superiore attivando AWS Shield Advanced tramite la console di gestione o le API per le risorse Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator o Amazon Route 53. Non sono necessari cambiamenti a livello di routing per abilitare queste protezioni.
Protezione personalizzabile
Grazie a AWS Shield Advanced, puoi scegliere con flessibilità le risorse da tutelare per proteggere le infrastrutture (livello 3 e 4). Puoi scrivere regole personalizzate con AWS WAF, per mitigare attacchi sofisticati a livello di applicazione. Queste regole personalizzabili possono essere distribuite istantaneamente consentendo di prevenire rapidamente gli attacchi. È possibile impostare regole proattive per il blocco automatico del traffico sospetto o rispondere alle violazioni quando si verificano. È anche possibile rivolgersi al DRT (DDoS Response Team) di AWS, disponibile 24 ore su 24, 7 giorni su 7, il quale può compilare regole per la tua azienda consentendo di prevenire gli attacchi DDoS a livello di applicazione.
Protezione gestita e visibilità degli attacchi
Grazie a AWS Shield Standard puoi sempre avere un monitoraggio continuo ed euristico del flusso di rete e una mitigazione integrata contro gli attacchi DDoS a livello di rete e di trasporto più comuni. AWS Shield Advanced fornisce un rilevamento specifico a livello di risorse migliorato e impiega una mitigazione avanzata e tecniche di routing per attacchi sofisticati o più vasti. Inoltre, disponi di un accesso 24x7 al Team di risposta DDoS (DRT) per le mitigazioni manuali di casi a livello di edge che colpiscono la tua disponibilità. AWS Shield Advanced garantisce poi visibilità e informazioni relative a tutti gli incidenti DDoS, attraverso i parametri e la diagnosi degli attacchi di AWS CloudWatch. Infine, puoi visualizzare le minacce DDoS su AWS grazie al pannello di controllo Global Threat Environment.
Costi ridotti
AWS Shield Standard è abilitato automaticamente per tutti i clienti AWS senza costi aggiuntivi. Con AWS Advanced, i clienti ricevono AWS WAF e AWS Firewall Manager senza costi aggiuntivi di utilizzo per le risorse protette da AWS Shield Advanced. Inoltre, ottieni la protezione dai costi derivati da attacchi DDoS per lo scaling, che tutela la tua fattura AWS dai picchi di utilizzo dovuti a tali attacchi su AWS Shield Advanced per le risorse protette EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53.
Clienti in evidenza
Novità
Casi d'uso di protezione
API e applicazioni Web
Quando è in uso Amazon CloudFront, AWS Shield Standard offre automaticamente protezione completa contro gli attacchi all'infrastruttura quali flood SYN, flood UDP e altri attacchi di reflection. I sistemi di rilevamento e mitigazione sempre attivi di AWS Shield Standard eseguono lo scrubbing del traffico sospetto ai livelli 3 e 4 per proteggere l'applicazione. Più del 99% degli attacchi a livello di infrastruttura rilevati da AWS Shield Standard in Amazon CloudFront vengono mitigati automaticamente in meno di un secondo.
Scopri come utilizzare Amazon CloudFront per proteggere le applicazioni dinamiche dagli attacchi di tipo DDoS.
Scopri come Slack usa Amazon CloudFront per proteggersi dagli attacchi di tipo DDoS.
Per ulteriore protezione contro attacchi DDoS sofisticati, è anche possibile utilizzare AWS Shield Advanced in Amazon CloudFront. Shield Advanced permette di contattare 24 ore su 24, 7 giorni su 7 il DRT (DDoS Response Team) di AWS, che applica proattivamente tecniche di mitigazione contro gli attacchi complessi all'infrastruttura (livello 3 o 4) e altre tecniche come l'ingegnerizzazione del traffico. AWS Shield Advanced protegge inoltre dagli attacchi a livello di applicazione, ad esempio dai flood HTTP. I sistemi di rilevamento sempre attivi di AWS Shield Advanced stabiliscono il livello normale di traffico di un'applicazione per monitorare più facilmente la presenza di anomalie. AWS Shield Advanced include AWS WAF senza alcun costo aggiuntivo, per personalizzare la mitigazione a livello di applicazione.
Oratore:
Alex Graham, Sr. Operations Engineer, Slack Technologies, Inc.
DNS
AWS Shield Standard protegge automaticamente le zone ospitate di Amazon Route 53 dagli attacchi DDoS a livello di infrastruttura, senza costi aggiuntivi. La protezione si estende agli attacchi di reflection e i SYN flood che spesso colpiscono il DNS. AWS Shield Standard impiega automaticamente una serie di tecniche (ad esempio la convalida di intestazioni e la priorità del traffico) per mitigare automaticamente gli attacchi di tipo DDoS.
Inoltre, AWS Shield Advanced offre protezione aggiuntiva in caso di scenari straordinari, quando è richiesto l'intervento manuale del DDoS Response Team di AWS. Infine, AWS Shield Advanced fornisce visibilità sugli attacchi all'infrastruttura Route 53.
Scopri come ridurre i rischi di attacco DDoS utilizzando Amazon Route 53 e AWS Shield.
Altre applicazioni (ad es. basate su UDP)
In caso di utilizzo di applicazioni non basate su TCP (ad es. UDP o SIP), non è possibile utilizzare servizi come Amazon CloudFront o Elastic Load Balancing. In questi casi, spesso è necessario eseguire le applicazioni direttamente su istanze Amazon EC2 collegate a Internet. AWS Shield Standard protegge anche le istanze Amazon EC2 dai più comuni attacchi DDoS a livello di infrastruttura (livelli 3 e 4) quali attacchi di reflection UDP, DNS, NTP ed SSDP. Quando viene rilevato un tentativo di attacco di tipo DDoS, AWS Shield Advanced attiva automaticamente diverse tecniche di protezione, ad esempio la priorità del traffico.
È anche possibile ottenere protezione dagli attacchi di tipo DDoS più sofisticati attivando AWS Shield Advanced sull'indirizzo EIP (Elastic IP). Il rilevamento avanzato di DDoS di AWS Shield Advanced permette di individuare i tipi di risorsa di AWS e le dimensioni delle istanze EC2 per applicare tecniche di mitigazione predefinite. Con AWS Shield Advanced, è anche possibile creare un proprio profilo personalizzato di migrazione contattando il DRT (DDoS Response Team) di AWS, disponibile 24 ore su 24, 7 giorni su 7. Con AWS Shield Advanced, inoltre, durante un attacco DDoS tutte le liste di controllo degli accessi di rete di Amazon VPC vengono automaticamente applicate ai confini della rete AWS, fornendo accesso a larghezza di banda e capacità di scrubbing del traffico aggiuntive per mitigare la superficie di attacco. AWS Shield Advanced offre un livello aggiuntivo di protezione contro gli attacchi DDoS quali flood SYN o altri vettori (ad es. flood UDP).
Scopri come collegare Elastic IP a un'istanza Amazon EC2.
Caso di studio: Protezione da attacchi DDoS ad alte prestazioni
William Hill ha costruito una piattaforma DDoS ed Edge Protection ad alte prestazioni utilizzando i servizi AWS (Amazon CloudFront, AWS Shield Advanced, AWS WAF, Amazon EC2 R5 Instances, AWS Lambda, Amazon DynamoDB e Amazon Kinesis Data Streams). La soluzione è stata efficace nel mitigare un attacco DDoS a 177 Gbps e 48 milioni di tentativi di exploit (nel 2019) da 121.000 indirizzi IP e 196 paesi. Inoltre, la loro build ha bloccato con successo 63 milioni di richieste da 180.000 indirizzi IP da 202 paesi, tutte che cercavano di ottenere dati sui prezzi e sugli eventi, il che, in caso di successo, sarebbe stato estremamente dannoso per l'azienda e l'esperienza del cliente.
Oratori:
Ryan Algar, Specialista tecnico di settore, William Hill
Peter Tilsen, Sr. Solutions Architect, AWS
Nozioni di base su AWS
Inizia a lavorare con AWS
Ulteriori informazioni su AWS Shield