Domande frequenti su AWS Shield

D: Cos'è AWS Shield?

AWS Shield è un servizio gestito che protegge le applicazioni in esecuzione in AWS da attacchi di tipo DDoS (Distributed Denial of Service). AWS Shield Standard è abilitato automaticamente per tutti i clienti AWS senza costi aggiuntivi. AWS Shield Advanced è un servizio opzionale a pagamento. AWS Shield Advanced offre ulteriori protezioni contro attacchi più consistenti e sofisticati alle applicazioni in esecuzione su Amazon Elastic Compute Cloud EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Route 53.

D: Cos'è AWS Shield Standard?

AWS Shield Standard offre protezione a tutti i clienti AWS contro gli attacchi all'infrastruttura comuni e più frequenti (livello 3 e 4), come i flood SYN/UDP, i reflection attack e altri, al fine di garantire la massima disponibilità delle tue applicazioni su AWS.

D: Cos'è AWS Shield Advanced?

AWS Shield Advanced offre protezioni avanzate contro attacchi più consistenti e sofisticati diretti alle applicazioni in esecuzione sulle risorse protette di Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Route 53. AWS Shield Advanced assicura un monitoraggio continuo e basato sul flusso del traffico di rete e un controllo attivo dell’applicazione per fornire notifiche di sospetti incidenti DDoS quasi in tempo reale. AWS Shield Advanced, inoltre, utilizza la mitigazione avanzata degli attacchi e tecniche di instradamento per mitigare automaticamente gli attacchi. I clienti che dispongono dei piani di supporto Business o Enterprise possono anche rivolgersi allo Shield Response Team (SRT), disponibile 24 ore su 24, 7 giorni su 7, che può gestire e prevenire gli attacchi DDoS a livello di applicazione per loro conto. La funzione di protezione dei costi di DDoS per il dimensionamento evita di ritrovarsi in fattura importi esorbitanti dovuti ai picchi di utilizzo di Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53 causati da un attacco DDoS.

D: Cos’è la protezione dei costi DDoS per lo scaling?

AWS Shield Advanced include "la protezione dei costi DDoS", che protegge la tua fattura dall'aumento dei costi dovuti ai picchi di utilizzo su risorse protette di Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator o Amazon Route 53 che risultano da un attacco DDoS. Se una delle risorse protette da AWS Shield Advanced aumenta in risposta a un attacco DDoS, è possibile richiedere crediti di servizio tramite il consueto canale AWS Support.

D: È possibile usare AWS Shield per proteggere siti Web non in hosting in AWS?

Sì, AWS Shield si integra con Amazon CloudFront, che supporta server di origine personalizzati.

D: È possibile usare il protocollo IPv6 con tutte le caratteristiche di AWS Shield?

Sì. Tutte le funzioni di rilevamento e prevenzione di AWS Shield sono operative con i protocolli IPv6 e IPv4 senza alterazioni sensibili delle prestazioni, della scalabilità o della disponibilità del servizio.

D: Come faccio a testare AWS Shield?

I Criteri di utilizzo di AWS descrivono i comportamenti consentiti e non consentiti in AWS e includono la descrizione di violazioni alla sicurezza e usi illeciti. Tuttavia, poiché spesso è difficile distinguere tra test di simulazione DDoS, test di intrusione o altri eventi simulati e tali violazioni, abbiamo disposto policy secondo le quali per condurre test DDoS, test di intrusione e scansioni delle vulnerabilità i clienti devono richiedere un'autorizzazione. Per ulteriori dettagli, visita la pagina del test di penetrazione e la policy relativa al test di simulazione DDoS.

D: In quali regioni AWS è disponibile il servizio AWS Shield Standard?

AWS Shield Standard è disponibile per tutti i servizi AWS in tutte le regioni e le edge location in tutto il mondo.

Per ulteriori informazioni sulla disponibilità del servizio AWS Shield Standard, consulta la pagina relativa a prodotti e servizi per regione.

D: In quali regioni AWS è disponibile il servizio AWS Shield Advanced?

AWS Shield Advanced è disponibile in tutto il mondo presso tutte le edge location di Amazon CloudFront, AWS Global Accelerator e Amazon Route 53. Proteggi le tue applicazioni Web in hosting in tutto il mondo distribuendole insieme ad Amazon CloudFront. I server di origine possono essere Amazon Simple Storage Service (S3), Amazon EC2, Elastic Load Balancing o un server personalizzato esterno ad AWS. È inoltre possibile abilitare AWS Shield Avanzato direttamente su Elastic Load Balancing o Amazon EC2 nelle seguenti Regioni AWS: Virginia settentrionale, Ohio, Oregon, California settentrionale, Montreal, San Paolo, Irlanda, Londra, Parigi, Stoccolma, Singapore, Tokyo, Sydney, Seoul, Mumbai, Milano, Città del Capo, Hong Kong, Barhein, Malesia ed Emirati Arabi Uniti.

Per informazioni aggiornate sulla disponibilità del servizio AWS Shield Avanzato, consulta la sezione relativa a prodotti e servizi per regione.

D: AWS Shield è soggetto alla normativa HIPAA?

Sì, AWS ha esteso il proprio programma di conformità agli standard HIPAA in modo da includere AWS Shield. Se disponi di un contratto di società in affari o BAA (Business Associate Agreement) con AWS, puoi utilizzare AWS Shield per proteggere le applicazioni Web in AWS dagli attacchi di tipo Distributed Denial of Service (DDoS). Per ulteriori informazioni, consulta Conformità HIPAA.

D: Da quali tipi di attacchi può proteggermi AWS Shield Standard?

AWS Shield Standard protegge automaticamente le applicazioni Web in esecuzione su AWS dagli attacchi a livello di infrastruttura comuni e più frequenti come i flood UDP e dagli attacchi a esaurimento di stato come i flood TCP SYN. I clienti possono utilizzare anche AWS WAF per proteggersi dagli attacchi a livello di applicazione come i flood HTTP POST o GET. Per ulteriori dettagli su come implementare le protezioni a livello di applicazione, consulta la Guida per gli sviluppatori di AWS WAF e AWS Shield Advanced.

D: Quante risorse posso abilitare per la protezione di AWS Shield Standard?

Non c'è limite al numero di risorse che possono essere protette con AWS Shield Standard. Puoi usufruire di tutti i vantaggi delle protezioni di AWS Shield Standard applicando le best practice per la resilienza DDoS su AWS.

D: Quante risorse posso abilitare per la protezione di AWS Shield Advanced?

Puoi abilitare fino a 1000 risorse AWS di ciascun tipo supportato (Classico/Application Load Balancer, distribuzioni di Amazon CloudFront, zone di hosting di Amazon Route 53, IP elastici, acceleratori di AWS Global Accelerator) per la protezione di AWS Shield Advanced. Se vuoi abilitare più di 1000 risorse, puoi richiedere un aumento del limite creando un caso in AWS Support.

D: Posso attivare la protezione AWS Shield Advanced tramite API?

Sì. AWS Shield Advanced può essere attivato tramite API. È possibile utilizzare le API anche per aggiungere o rimuovere risorse AWS dalla protezione di AWS Shield Advanced.

D: Quanto tempo occorre alla prevenzione per essere effettiva?

In genere, ossia nel 99% dei casi di attacco a livello di infrastruttura, la prevenzione diventa efficace entro un secondo per gli attacchi rilevati da AWS Shield su Amazon CloudFront e Amazon Route 53 e in meno di 5 minuti per gli attacchi su Elastic Load Balancing. Nel restante 1% dei casi di attacco a livello di infrastruttura la prevenzione viene attuata entro 20 minuti. Per gli attacchi a livello di applicazione la protezione avviene per effetto di regole scritte in AWS WAF; pertanto l’ispezione e la prevenzione sono allineate al traffico in entrata.

D: Posso proteggere le risorse al di fuori di AWS?

Sì. Alcuni nostri clienti scelgono di utilizzare gli endpoint AWS di fronte alle loro istanze back-end. Più comunemente, questi endpoint sono i nostri servizi distribuiti a livello globale di CloudFront e Route 53. Questi servizi sono anche i nostri suggerimenti per le best practice per la resilienza di DDoS. I clienti possono quindi proteggere le distribuzioni di CloudFront e le zone ospitate di Route 53 con Schield Advanced. Nota che devi bloccare le loro risorse back-end per accettare solo il traffico da tali endpoint AWS.

D: Quali strumenti fornisce AWS Shield Standard per prevenire gli attacchi DDoS?

AWS Shield Standard protegge automaticamente le applicazioni Web in esecuzione su AWS dagli attacchi DDoS comuni e più frequenti. Puoi usufruire di tutti i vantaggi di AWS Shield Standard applicando le best practice per la resilienza DDoS su AWS.

D: Quali strumenti fornisce AWS Shield Advanced per prevenire gli attacchi DDoS?

AWS Shield Advanced è in grado di prevenire attacchi DDoS di livello 3 e 4. Ciò significa che le applicazioni da te designate vengono protette da attacchi quali flood UDP o TCP SYN. Inoltre, per gli attacchi a livello di applicazione (livello 7), AWS Shield Advanced può rilevare attacchi come HTTP flood e DNS flood. Puoi anche utilizzare AWS WAF per applicare misure di prevenzione create da te oppure, qualora tu disponga dei piani di supporto Business o Enterprise puoi rivolgerti all’SRT (Shield Response Team) di AWS, disponibile 24 ore su 24, 7 giorni su 7, che può scrivere regole per tuo conto per prevenire gli attacchi DDoS diretti al livello 7.

D: È necessario disporre di un piano di supporto speciale per poter contattare lo Shield Response Team di AWS?

Sì, è necessario disporre del piano di supporto Business o Enterprise per poter richiedere l’intervento dello AWS Shield Response Team (DRT) di AWS. Per maggiori informazioni sui piani di supporto, consulta il sito Web di AWS Support.

D: Come faccio a contattare lo Shield Response Team di AWS?

Puoi contattare l’SRT (Shield Response Team) di AWS tramite il consueto canale di assistenza AWS o contattando AWS Support.

D: Quanto tempo occorre per contattare l’SDRT (Shield Response Team) di AWS?

I tempi di risposta dell’SRT dipendono dal piano AWS Support a cui sei iscritto. Faremo tutto il possibile per rispondere alla richiesta iniziale entro le tempistiche corrispondenti. Per maggiori informazioni sui piani di supporto, consulta il sito Web di AWS Support.

D: AWS Shield mi informa quando si verifica un attacco?

Sì. Con AWS Shield Advanced riceverai le notifiche degli attacchi DDoS tramite parametri CloudWatch.

D: Entro quanto tempo si viene informati di un attacco?

In genere AWS Shield Advanced invia la notifica di un eventuale attacco nel giro di pochi minuti dal rilevamento.

D: È possibile consultare uno storico di tutti gli attacchi DDoS sulle mie risorse AWS?

Sì. Con AWS Shield Advanced potrai visualizzare lo storico di tutti gli errori verificatisi negli ultimi 13 mesi.

D: Posso vedere gli attacchi in AWS?

Sì, i clienti di AWS Shield Advanced ottengono accesso al pannello di controllo dell’ambiente delle minacce globali, che fornisce una vista di esempio e in forma anonima di tutti gli attacchi DDoS visti in AWS nelle ultime 2 settimane.

D: Come faccio a vedere se le mie regole AWS WAF funzionano a dovere?

AWS WAF consente due metodi per vedere gli effetti della protezione applicata a un sito Web: in CloudWatch sono disponibili parametri con scadenza a un minuto; oppure tramite le API e la console di gestione di AWS WAF sono disponibili richieste Web di esempio. Inoltre, puoi abilitare registri completi, forniti tramite Amazon Kinesis Firehose a una destinazione di tua scelta. Grazie a queste risorse, è possibile vedere quali richieste vengono bloccate, quali consentite e quali conteggiate, nonché quali regole si applicano alle diverse richieste (ad esempio, una determinata richiesta viene bloccata a causa di una condizione posta sull'indirizzo IP e così via). Per ulteriori informazioni, consulta la Guida per gli sviluppatori di AWS WAF e AWS Shield Advanced.

D: Devo effettuare un test di simulazione di eventi per valutare il servizio e la mia applicazione. Qual è la procedura approvata?

Consulta la pagina test di penetrazione su AWS. Tuttavia, ciò non include un “DDoS load test”, il quale non è autorizzato su AWS. Se vorresti effettuare un test DDoS in tempo reale, puoi richiederne l’approvazione aprendo un ticket attraverso AWS Support. L’approvazione per il test implica un accordo sulle condizioni del test tra AWS, il cliente e il fornitore del test DDoS. Nota che collaboriamo solo con fornitori di test DDoS approvati e che l’intero processo potrebbe richiedere dalle 3 alle 4 settimane.

 

D: Come viene fatturato l'utilizzo di AWS Shield Standard?

AWS Shield Standard è incluso nei servizi AWS che utilizzi già per le tue applicazioni Web. AWS Shield Standard non comporta costi aggiuntivi.

D: Come viene fatturato l'utilizzo di AWS Shield Advanced?

La tariffa per AWS Shield Advanced è di 3.000 USD al mese per organizzazione. È inoltre previsto il pagamento delle quote per il trasferimento dei dati di AWS Shield Advanced previste per le risorse AWS abilitate per la protezione avanzata. I costi per AWS Shield Advanced si aggiungono alle tariffe standard di Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53. Per ulteriori informazioni, visita la pagina dei prezzi di AWS Shield.

D: Posso scegliere di proteggere solo alcune delle mie risorse con AWS Shield Advanced?

Sì, AWS Shield Advanced ti offre la flessibilità di scegliere le risorse che desideri proteggere. Ti verrà addebitato solo il costo del trasferimento di dati di AWS Shield Advanced per queste risorse protette.

D: In che modo è possibile abilitare AWS Shield Advanced su più account AWS?

Se la tua organizzazione ha più account AWS, puoi iscrivere più account ad AWS Shield Advanced abilitandolo individualmente su ciascun account tramite la console di gestione AWS o l’API. La tariffa mensile sarà addebitata una sola volta fintanto che i diversi account rientrano nella stessa fatturazione consolidata e tutti gli account e le relative risorse sono di proprietà aziendale.