AWS Shield è un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge le applicazioni in esecuzione in AWS. AWS Shield fornisce un rilevamento continuo e prevenzione incorporata automatica che minimizzano il tempo di inattività e la latenza dell'applicazione, così non è necessario ricorrere ad AWS Support per beneficiare della protezione DDoS. Esistono due livelli di AWS Shield: Standard e Advanced.
Tutti i clienti AWS beneficiano delle funzionalità di protezione automatica di AWS Shield Standard, senza costi aggiuntivi. AWS Shield Standard protegge dagli attacchi DDoS di rete e di livello trasporto più comuni e frequenti a siti Web o applicazioni. Chi utilizza AWS Shield Standard con Amazon CloudFront e Amazon Route 53, potrà avvalersi della protezione completa contro tutti gli attacchi a livello di infrastruttura (livello 3 e 4).
Per livelli di protezione più elevati contro gli attacchi diretti alle applicazioni su risorse di Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53, è possibile eseguire la registrazione ad AWS Shield Advanced. Oltre alle funzionalità di protezione di rete e di livello trasporto della versione Standard, AWS Shield Advanced fornisce rilevamento supplementare e prevenzione contro attacchi DDoS vasti e sofisticati, visibilità sugli attacchi quasi in tempo reale e integrazione con AWS WAF, un firewall per applicazioni Web. AWS Shield Advanced, inoltre, consente l'accesso 24 ore su 24, 7 giorni su 7, al DRT (DDoS Response Team) di AWS e protezione dai costi provocati dai picchi di traffico in Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53.
AWS Shield Advanced è disponibile in tutto il mondo presso tutte le edge location di Amazon CloudFront e Amazon Route 53. Proteggi le tue applicazioni Web in hosting in tutto il mondo distribuendole insieme a Amazon CloudFront. I server di origine possono essere Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) o un server personalizzato esterno ad AWS. Inoltre, è possibile abilitare AWS Shield Advanced direttamente su Elastic IP o Elastic Load Balancing (ELB) nelle seguenti regioni AWS: Virginia settentrionale, Oregon, Irlanda, Tokyo e California settentrionale.
Vantaggi
Integrazione e distribuzione ottimizzate
Con AWS Shield Standard le risorse AWS sono protette automaticamente dagli attacchi DDoS a livello di rete e di trasporto più comuni. Puoi ottenere un livello di protezione superiore attivando AWS Shield Advanced tramite la console di gestione o le API per le risorse Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53.
Protezione personalizzabile
Con AWS Shield Advanced hai la possibilità di scrivere regole personalizzate per la prevenzione di attacchi sofisticati a livello di applicazione. Queste regole personalizzabili possono essere distribuite istantaneamente consentendo di prevenire rapidamente gli attacchi. È possibile impostare regole proattive per il blocco automatico del traffico sospetto o rispondere alle violazioni quando si verificano. È anche possibile rivolgersi al DRT (DDoS Response Team) di AWS, disponibile 24 ore su 24, 7 giorni su 7, il quale può compilare regole per la tua azienda consentendo di prevenire gli attacchi DDoS a livello di applicazione.
Costi ridotti
In qualità di cliente di AWS, con AWS Shield Standard ricevi automaticamente protezione a livello di rete contro gli attacchi DDoS più comuni. Questo livello di protezione non richiede costi, risorse o tempo aggiuntivi per iniziare. Con AWS Shield Advanced, ottieni inoltre la protezione in fattura dai costi derivati da attacchi DDoS per EC2, Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53.
Novità
Casi d'uso di protezione
API e applicazioni Web
Quando è in uso Amazon CloudFront, AWS Shield Standard offre automaticamente protezione completa contro gli attacchi all'infrastruttura quali flood SYN, flood UDP e altri attacchi di reflection. I sistemi di rilevamento e mitigazione sempre attivi di AWS Shield Standard eseguono lo scrubbing del traffico sospetto ai livelli 3 e 4 per proteggere l'applicazione. Più del 99% degli attacchi a livello di infrastruttura rilevati da AWS Shield Standard in Amazon CloudFront vengono mitigati automaticamente in meno di un secondo.
Scopri come utilizzare Amazon CloudFront per proteggere le applicazioni dinamiche dagli attacchi di tipo DDoS.
Scopri come Slack usa Amazon CloudFront per proteggersi dagli attacchi di tipo DDoS.
Per ulteriore protezione contro attacchi DDoS sofisticati, è anche possibile utilizzare AWS Shield Advanced in Amazon CloudFront. Shield Advanced permette di contattare 24 ore su 24, 7 giorni su 7 il DRT (DDoS Response Team) di AWS, che applica proattivamente tecniche di mitigazione contro gli attacchi complessi all'infrastruttura (livello 3 o 4) e altre tecniche come l'ingegnerizzazione del traffico. AWS Shield Advanced protegge inoltre dagli attacchi a livello di applicazione, ad esempio dai flood HTTP. I sistemi di rilevamento sempre attivi di AWS Shield Advanced stabiliscono il livello normale di traffico di un'applicazione per monitorare più facilmente la presenza di anomalie. Il servizio include AWS WAF senza alcun costo aggiuntivo, per personalizzare la mitigazione a livello di applicazione.
Oratore:
Alex Graham, Sr. Operations Engineer, Slack Technologies, Inc.
DNS
AWS Shield Standard protegge automaticamente le zone ospitate di Amazon Route 53 dagli attacchi DDoS a livello di infrastruttura, senza costi aggiuntivi. La protezione si estende agli attacchi di reflection e i SYN flood che spesso colpiscono il DNS. AWS Shield Standard impiega automaticamente una serie di tecniche (ad esempio la convalida di intestazioni e la priorità del traffico) per mitigare automaticamente gli attacchi di tipo DDoS.
Inoltre, AWS Shield Advanced offre protezione aggiuntiva in caso di scenari straordinari, quando è richiesto l'intervento manuale del DDoS Response Team di AWS. Infine, AWS Shield Advanced fornisce visibilità sugli attacchi all'infrastruttura Route 53.
Scopri come ridurre i rischi di attacco DDoS utilizzando Amazon Route 53 e AWS Shield.
Altre applicazioni (ad es. basate su UDP)
In caso di utilizzo di applicazioni non basate su TCP (ad es. UDP o SIP), non è possibile utilizzare servizi come Amazon CloudFront o Elastic Load Balancing. In questi casi, spesso è necessario eseguire le applicazioni direttamente su istanze Amazon EC2 collegate a Internet. AWS Shield Standard protegge anche le istanze Amazon EC2 dai più comuni attacchi DDoS a livello di infrastruttura (livelli 3 e 4) quali attacchi di reflection UDP, DNS, NTP ed SSDP. Quando viene rilevato un tentativo di attacco di tipo DDoS, questo servizio attiva automaticamente diverse tecniche di protezione, ad esempio la priorità del traffico.
È anche possibile ottenere protezione dagli attacchi di tipo DDoS più sofisticati attivando AWS Shield Advanced sull'indirizzo EIP (Elastic IP). Il rilevamento avanzato di DDoS di AWS Shield Advanced permette di individuare i tipi di risorsa di AWS e le dimensioni delle istanze EC2 per applicare tecniche di mitigazione predefinite. Con questo servizio, è anche possibile creare un proprio profilo personalizzato di migrazione contattando il DRT (DDoS Response Team) di AWS, disponibile 24 ore su 24, 7 giorni su 7. Con AWS Shield Advanced, inoltre, durante un attacco DDoS tutte le liste di controllo degli accessi di rete di Amazon VPC vengono automaticamente applicate ai confini della rete AWS, fornendo accesso a larghezza di banda e capacità di scrubbing del traffico aggiuntive per mitigare la superficie di attacco. AWS Shield Advanced offre un livello aggiuntivo di protezione contro gli attacchi DDoS quali flood SYN o altri vettori (ad es. flood UDP).
Scopri come collegare Elastic IP a un'istanza Amazon EC2.
Nozioni di base su AWS
Inizia a lavorare con AWS
Ulteriori informazioni su AWS Shield
