AWS Shield è un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge le applicazioni in esecuzione in AWS. AWS Shield fornisce un rilevamento continuo e prevenzione incorporata automatica che minimizzano il tempo di inattività e la latenza dell'applicazione, così non è necessario ricorrere ad AWS Support per beneficiare della protezione DDoS. Esistono due livelli di AWS Shield: Standard e Advanced.
Tutti i clienti AWS beneficiano delle funzionalità di protezione automatica di AWS Shield Standard, senza costi aggiuntivi. AWS Shield Standard protegge dagli attacchi DDoS di rete e di livello trasporto più comuni e frequenti a siti Web o applicazioni. Chi utilizza AWS Shield Standard con Amazon CloudFront e Amazon Route 53, potrà avvalersi della protezione completa contro tutti gli attacchi a livello di infrastruttura (livello 3 e 4).
Per livelli di protezione più elevati contro gli attacchi diretti alle applicazioni su risorse di Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53, è possibile eseguire la registrazione ad AWS Shield Advanced. Oltre alle funzionalità di protezione di rete e di livello trasporto della versione Standard, AWS Shield Advanced fornisce rilevamento supplementare e prevenzione contro attacchi DDoS vasti e sofisticati, visibilità sugli attacchi quasi in tempo reale e integrazione con AWS WAF, un firewall per applicazioni Web. AWS Shield Advanced, inoltre, consente l'accesso 24 ore su 24, 7 giorni su 7, al DRT (DDoS Response Team) di AWS e protezione dai costi provocati dai picchi di traffico in Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53.
AWS Shield Advanced è disponibile in tutto il mondo presso tutte le edge location di Amazon CloudFront e Amazon Route 53. Proteggi le tue applicazioni Web in hosting in tutto il mondo distribuendole insieme a Amazon CloudFront. I server di origine possono essere Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) o un server personalizzato esterno ad AWS. Inoltre, è possibile abilitare AWS Shield Advanced direttamente su Elastic IP o Elastic Load Balancing (ELB) nelle seguenti regioni AWS: Virginia settentrionale, Oregon, Irlanda, Tokyo e California settentrionale.
Con AWS Shield Standard le risorse AWS sono protette automaticamente dagli attacchi DDoS a livello di rete e di trasporto più comuni. Puoi ottenere un livello di protezione superiore attivando AWS Shield Advanced tramite la console di gestione o le API per le risorse Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53.
Con AWS Shield Advanced hai la possibilità di scrivere regole personalizzate per la prevenzione di attacchi sofisticati a livello di applicazione. Queste regole personalizzabili possono essere distribuite istantaneamente consentendo di prevenire rapidamente gli attacchi. È possibile impostare regole proattive per il blocco automatico del traffico sospetto o rispondere alle violazioni quando si verificano. È anche possibile rivolgersi al DRT (DDoS Response Team) di AWS, disponibile 24 ore su 24, 7 giorni su 7, il quale può compilare regole per la tua azienda consentendo di prevenire gli attacchi DDoS a livello di applicazione.
In qualità di cliente di AWS, con AWS Shield Standard ricevi automaticamente protezione a livello di rete contro gli attacchi DDoS più comuni. Questo livello di protezione non richiede costi, risorse o tempo aggiuntivi per iniziare. Con AWS Shield Advanced, ottieni inoltre la protezione in fattura dai costi derivati da attacchi DDoS per EC2, Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53.
Rilevamento rapido
AWS Shield Standard fornisce monitoraggio continuo del flusso di rete per analizzare il traffico in entrata e utilizza una combinazione di firme digitali di traffico, algoritmi di rilevamento di anomalie e altre tecniche di analisi per individuare traffico dannoso in tempo reale
Mitigazione integrata degli attacchi
In AWS Shield Standard sono integrate tecniche di mitigazione automatiche che garantiscono protezione dagli attacchi all'infrastruttura più frequenti. Tali tecniche sono direttamente integrate nelle applicazioni per non influenzarne i livelli di latenza. AWS Shield Standard utilizza diverse tecniche come il filtraggio dei pacchetti deterministici e l'adattamento del traffico in base alle priorità per prevenire automaticamente gli attacchi senza conseguenze per le tue applicazioni. Puoi anche prevenire gli attacchi DDoS a livello di applicazione scrivendo regole con AWS WAF. Con AWS WAF si pagano solo i servizi usati.
Le caratteristiche di mitigazione integrata e di rilevamento sempre attive riducono al minimo i tempi di inattività e permettono di ottenere protezione dagli attacchi di tipo DDoS senza rivolgersi direttamente ad AWS Support
Rilevamento ottimizzato
AWS Shield Advanced permette di contattare 24 ore su 24, 7 giorni su 7 il DRT (DDoS Response Team) di AWS, che può essere consultato prima, durante o dopo un attacco DDoS. Il DRT effettua la valutazione degli errori, ne identifica la causa e applica misure di prevenzione per conto tuo. Puoi anche consultarlo per un'analisi post-attacco.
Prevenzione di attacchi avanzata
AWS Shield Advanced fornisce un sistema di mitigazione sofisticato. Utilizzando tecniche di instradamento avanzate, AWS Shield Advanced fornisce automaticamente capacità di prevenzione aggiuntiva per proteggere dagli attacchi DDoS su vasta scala. Il DRT (DDoS Response Team) di AWS applica inoltre tecniche di mitigazione manuali per attacchi DDoS più compiessi e sofisticati. Per gli attacchi a livello di applicazione, puoi utilizzare AWS WAF per reagire agli errori. Con AWS WAF puoi impostare regole proattive come la blacklist basata sulla velocità per bloccare automaticamente il traffico dannoso o reagire immediatamente a errori non appena si verificano. Non ci sono costi aggiuntivi per l'utilizzo di AWS WAF per la protezione a livello di applicazione. Inoltre, potrai contattare direttamente il DDoS Response Team chiedendo l'attivazione di regole di AWS WAF in risposta agli attacchi DDoS a livello di applicazione. Il DRT effettuerà la diagnosi dell'attacco e, con il tuo permesso, applicherà misure preventive per tuo conto.
Visibilità e notifiche in caso di attacco
AWS Shield Advanced offre visibilità completa sugli attacchi di tipo DDoS con notifiche quasi in tempo reale tramite Amazon CloudWatch e diagnostica dettagliata tramite la console di gestione di AWS WAF e AWS Shield. Se lavori con il DRT (DDoS Response Team) puoi avere accesso alle analisi post-evento. Inoltre, sarà possibile ottenere un riepilogo degli attacchi precedenti dalla console di gestione di AWS WAF e AWS Shield.
Supporto specializzato
AWS Shield Advanced offre rilevamento avanzato con l'analisi dei flussi di rete e il monitoraggio del traffico a livello di applicazione verso le risorse EIP, Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53. Utilizzando tecniche supplementari come il monitoraggio specifico delle risorse, AWS Shield Advanced fornisce un rilevamento granulare degli attacchi DDoS. AWS Shield Advanced rileva gli attacchi DDoS a livello di applicazione come gli attacchi flood HTTP o di query DNS stabilendo la linea di base del traffico sulla tua risorsa e identificando le anomalie.
Protezione dai costi degli attacchi DDoS
Con AWS Shield Advanced, ottieni inoltre la protezione in fattura dai picchi derivati da attacchi DDoS per Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53. Se uno di questi servizi aumenta le proprie risorse in risposta a un attacco di tipo DDoS, AWS fornirà un credito sui servizi di AWS Shield per compensare i costi causati da picchi. Per ulteriori dettagli su come ottenere credito sui servizi, consulta la documentazione di AWS WAF e AWS Shield Advanced.
DNS
Con Amazon Route 53
AWS Shield Standard protegge automaticamente le zone ospitate di Amazon Route 53 dagli attacchi DDoS a livello di infrastruttura, senza costi aggiuntivi. La protezione si estende agli attacchi di reflection e i SYN flood che spesso colpiscono il DNS. AWS Shield Standard impiega automaticamente una serie di tecniche (ad esempio la convalida di intestazioni e la priorità del traffico) per mitigare automaticamente gli attacchi di tipo DDoS.
Inoltre, AWS Shield Advanced offre protezione aggiuntiva in caso di scenari straordinari, quando è richiesto l'intervento manuale del DDoS Response Team di AWS. Infine, AWS Shield Advanced fornisce visibilità sugli attacchi all'infrastruttura Route 53.
Scopri come ridurre i rischi di attacco DDoS utilizzando Amazon Route 53 e AWS Shield.
API e applicazioni Web
Utilizzo di Amazon CloudFront o Application Load Balancer
Quando è in uso Amazon CloudFront, AWS Shield Standard offre automaticamente protezione completa contro gli attacchi all'infrastruttura quali flood SYN, flood UDP e altri attacchi di reflection. I sistemi di rilevamento e mitigazione sempre attivi di AWS Shield Standard eseguono lo scrubbing del traffico sospetto ai livelli 3 e 4 per proteggere l'applicazione. Più del 99% degli attacchi a livello di infrastruttura rilevati da AWS Shield Standard in Amazon CloudFront vengono mitigati automaticamente in meno di un secondo.
Scopri come utilizzare Amazon CloudFront per proteggere le applicazioni dinamiche dagli attacchi di tipo DDoS.
Scopri come Slack usa Amazon CloudFront per proteggersi dagli attacchi di tipo DDoS.
Oratore:
Alex Graham, Sr. Operations Engineer, Slack Technologies, Inc.
Per ulteriore protezione contro attacchi DDoS sofisticati, è anche possibile utilizzare AWS Shield Advanced in Amazon CloudFront. Shield Advanced permette di contattare 24 ore su 24, 7 giorni su 7 il DRT (DDoS Response Team) di AWS, che applica proattivamente tecniche di mitigazione contro gli attacchi complessi all'infrastruttura (livello 3 o 4) e altre tecniche come l'ingegnerizzazione del traffico. AWS Shield Advanced protegge inoltre dagli attacchi a livello di applicazione, ad esempio dai flood HTTP. I sistemi di rilevamento sempre attivi di AWS Shield Advanced stabiliscono il livello normale di traffico di un'applicazione per monitorare più facilmente la presenza di anomalie. Il servizio include AWS WAF senza alcun costo aggiuntivo, per personalizzare la mitigazione a livello di applicazione.
Altre applicazioni (ad es. basate su UDP)
Utilizzo di EIP
In caso di utilizzo di applicazioni non basate su TCP (ad es. UDP o SIP), non è possibile utilizzare servizi come Amazon CloudFront o Elastic Load Balancing. In questi casi, spesso è necessario eseguire le applicazioni direttamente su istanze Amazon EC2 collegate a Internet. AWS Shield Standard protegge anche le istanze Amazon EC2 dai più comuni attacchi DDoS a livello di infrastruttura (livelli 3 e 4) quali attacchi di reflection UDP, DNS, NTP ed SSDP. Quando viene rilevato un tentativo di attacco di tipo DDoS, questo servizio attiva automaticamente diverse tecniche di protezione, ad esempio la priorità del traffico.
È anche possibile ottenere protezione dagli attacchi di tipo DDoS più sofisticati attivando AWS Shield Advanced sull'indirizzo EIP (Elastic IP). Il rilevamento avanzato di DDoS di AWS Shield Advanced permette di individuare i tipi di risorsa di AWS e le dimensioni delle istanze EC2 per applicare tecniche di mitigazione predefinite. Con questo servizio, è anche possibile creare un proprio profilo personalizzato di migrazione contattando il DRT (DDoS Response Team) di AWS, disponibile 24 ore su 24, 7 giorni su 7. Con AWS Shield Advanced, inoltre, durante un attacco DDoS tutte le liste di controllo degli accessi di rete di Amazon VPC vengono automaticamente applicate ai confini della rete AWS, fornendo accesso a larghezza di banda e capacità di scrubbing del traffico aggiuntive per mitigare la superficie di attacco. AWS Shield Advanced offre un livello aggiuntivo di protezione contro gli attacchi DDoS quali flood SYN o altri vettori (ad es. flood UDP).
Scopri come collegare Elastic IP a un'istanza Amazon EC2.
Le tue applicazioni Web eseguite su AWS sono già protette da AWS Shield Standard. Per attivare AWS Shield Advanced, vai alla console di gestione "AWS WAF e AWS Shield" e seleziona le risorse per le quali desideri attivare la protezione avanzata.
