Passa al contenuto principale

Funzionalità di AWS Shield

Perché utilizzare AWS Shield?

AWS Shield protegge le reti e le applicazioni identificando i problemi di configurazione della sicurezza di rete e difendendo le applicazioni da attacchi web attivi ed eventi Distributed Denial of Service (DDoS). AWS Shield lo fa offrendo due funzionalità chiave: 

Network Security Director di AWS Shield (in anteprima) esegue un'analisi delle risorse per aiutarti a visualizzare la topologia della rete, identificare i problemi di configurazione e ricevere suggerimenti di risoluzione attuabili.

AWS Shield Avanzato offre protezione gestita da attacchi DDoS per la mitigazione automatica continua di eventi DDoS sofisticati, riducendo al minimo i tempi di inattività e la latenza delle applicazioni. Puoi personalizzare la tua strategia di protezione DDoS utilizzando controlli di sicurezza specifici per l'applicazione e la guida esperta dello Shield Response Team durante gli incidenti DDoS attivi. 

AWS Shield Standard

Apri tutto

    Tutti i clienti AWS beneficiano delle funzionalità di protezione automatica di AWS Shield Standard, senza costi aggiuntivi. AWS Shield Standard protegge dagli eventi DDoS di rete e di livello trasporto più comuni e frequenti a siti Web o applicazioni. Utilizzando AWS Shield Standard con Amazon CloudFront e Amazon Route 53, si ottiene una protezione completa della disponibilità contro tutti gli eventi noti dell'infrastruttura (livello 3 e 4).

    AWS Shield Standard fornisce un monitoraggio continuo del flusso di rete per analizzare il traffico in entrata nei servizi AWS e utilizza una combinazione di firme digitali di traffico, algoritmi di rilevamento di anomalie e altre tecniche di analisi per individuare il traffico dannoso in tempo reale. Shield Standard imposta soglie statiche per ciascun tipo di risorsa AWS, ma non fornisce protezione personalizzata per le tue applicazioni.

    Le tecniche di mitigazione automatiche sono integrate in AWS Shield Standard e offrono ai servizi AWS sottostanti protezione dagli eventi dell'infrastruttura più comuni e più frequenti. Tali tecniche sono integrate per proteggere i servizi AWS e non influenzare i livelli di latenza. Shield Standard utilizza diverse tecniche come il filtraggio dei pacchetti deterministici e l'adattamento del traffico in base alle priorità per prevenire automaticamente gli attacchi a livello di rete elementari.

AWS Shield Avanzato

Apri tutto

    Per livelli di protezione più elevati contro gli attacchi diretti alle applicazioni su risorse di Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53, è possibile eseguire la registrazione ad AWS Shield Avanzato. Oltre alle funzionalità di protezione di rete e di livello trasporto della versione Standard, Shield Avanzato fornisce rilevamento supplementare e prevenzione contro attacchi DDoS vasti e sofisticati, visibilità sugli attacchi quasi in tempo reale e integrazione con AWS WAF, un firewall per applicazioni Web. Shield Avanzato fornisce inoltre accesso 24/7 all'AWS Shield Response Team (SRT) e protezione contro i picchi correlati agli attacchi DDoS nei carichi EC2, ELB, CloudFront, Global Accelerator e Route 53.

    AWS Shield Avanzato offre un rilevamento personalizzato basato sugli schemi di traffico per gli indirizzi IP elastici protetti e per le risorse ELB, CloudFront, Global Accelerator o Route 53. Utilizzando ulteriori tecniche di monitoraggio specifiche per le risorse e le regioni, Shield Advanced individua e ti avvisa in caso di attacchi DDoS minori. Shield Avanzato rileva inoltre gli attacchi a livello di applicazione come gli attacchi flood HTTP o di query DNS stabilendo la linea di base del traffico sulla tua applicazione e identificando le anomalie.

    AWS Shield Avanzato utilizza lo stato delle applicazioni per migliorare i tempi di risposta e la precisione per il rilevamento e la mitigazione di un attacco. È possibile definire un controllo dell'integrità in Route 53 e associarlo a una risorsa protetta da Shield Advanced tramite la console o l'API. Ciò consente a Shield Advanced di rilevare gli attacchi che colpiscono lo stato dell'applicazione più rapidamente e a soglie di traffico inferiori, migliorando in questo modo la resilienza DDoS dell'applicazione e evitando notifiche di falsi positivi. Lo stato di integrità della risorsa e inoltre a disposizione del team SRT affinché possa dare la massima priorità di reazione alle applicazioni danneggiate. Il rilevamento basato sullo stato di integrità può essere applicato a tutti i tipi di risorse supportate da Shield Avanzato: Elastic IP, ELB, CloudFront, Global Accelerator e Route 53.

     

    AWS Shield Avanzato offre mitigazioni automatiche più sofisticate contro eventi mirati alle applicazioni in esecuzione sulle risorse protette EC2, ELB, CloudFront, Global Accelerator e Route 53. Utilizzando tecniche di instradamento avanzate, Shield Avanzato distribuisce automaticamente capacità di prevenzione aggiuntiva per proteggere la tua applicazione dagli eventi DDoS. Per i clienti con un piano di supporto Business o Enterprise, l’SRT applica inoltre tecniche di mitigazione manuali per eventi DDoS più complessi e sofisticati che potrebbero essere specifici per la tua applicazione. Per gli eventi a livello di applicazione, è possibile utilizzare il gruppo di regole gestite AWS WAF per la protezione da attacchi DDoS a livello di applicazione (L7) incluso nell'abbonamento AWS Shield Avanzato. Questo gruppo di regole è progettato per rilevare e mitigare automaticamente gli eventi DDoS a livello di applicazione in pochi secondi. Come parte del tuo abbonamento, riceverai fino a 50 miliardi di richieste AWS WAF in un mese solare per account pagante sottoscritto verso risorse protette da WAF. Il traffico rilevato da questo AMR come DDoS non viene conteggiato ai fini dei 50 miliardi purché non sia in modalità di conteggio. Le richieste superiori a 50 miliardi verranno fatturate secondo la pagina dei prezzi di AWS Shield Avanzato. Inoltre, potrai contattare direttamente lo Shield Response Team (SRT) chiedendo l'attivazione di regole di AWS WAF personalizzate in risposta agli attacchi DDoS a livello di applicazione. L’SRT effettuerà una diagnosi dell'evento e, con la tua autorizzazione, applicherà misure protettive per conto tuo, riducendo il lasso di tempo in cui le applicazioni potrebbero essere colpite da un evento DDoS in corso.

     

     

    AWS Shield Avanzato può proteggere automaticamente le applicazioni web tramite la mitigazione degli eventi DDoS a livello di applicazione (L7) senza la necessità di intervento manuale da parte tua o del team SRT di AWS. Le regole AWS WAF vengono create nelle tue WebACL per mitigare automaticamente gli eventi, oppure puoi attivarle in modalità di solo conteggio. Ciò ti permette di rispondere rapidamente agli eventi DDoS per prevenire i momenti di inattività delle applicazioni dovuti a un evento DDoS a livello di applicazione.

     

    AWS Shield Avanzato offre il coinvolgimento proattivo dal team SRT quando viene rilevato un evento DDoS. Quando abiliti il coinvolgimento proattivo, l’SRT ti contatterà direttamente se un controllo dell'integrità di Route 53 associato con una risorsa protetta non risulta integro durante un evento DDoS. Ciò ti permette di coinvolgere gli esperti più velocemente quando la disponibilità di un'applicazione viene messa in discussione da un attacco sospetto. Puoi ricevere il coinvolgimento proattivo per eventi a livello di trasporto e di rete sugli indirizzi IP elastici e acceleratori Global Accelerator e per gli attacchi a livello di applicazione sulle distribuzioni CloudFront e Application Load Balancer.

    AWS Shield Avanzato consente di raggruppare le risorse in gruppi di protezione, offrendo una modalità self-service per personalizzare l'ambito del rilevamento e della mitigazione per l'applicazione trattando più risorse come una singola unità. Il raggruppamento delle risorse migliora la precisione del rilevamento, riduce i falsi positivi, facilita la protezione automatica delle risorse appena create e accelera il tempo per mitigare gli attacchi contro più risorse. Ad esempio, se un'applicazione è costituita da quattro distribuzioni CloudFront, puoi aggiungerle a un gruppo di protezione per ricevere il rilevamento e la protezione per l'insieme delle risorse nel loro complesso. La creazione di report può essere completata anche a livello di gruppo di protezione, fornendo una visione più olistica dello stato generale dell'applicazione.

     

    AWS Shield Avanzato offre visibilità completa sugli eventi DDoS con notifiche quasi in tempo reale tramite Amazon CloudWatch e diagnostica dettagliata tramite la console di gestione di AWS WAF e AWS Shield o le API. Dalla console puoi visualizzare un riepilogo degli eventi precedenti. Quando utilizzi la regola gestita per la protezione da attacchi DDoS a livello di applicazione (L7) per AWS WAF, ottieni visibilità nella console AWS WAF sugli eventi DDoS protetti da questo gruppo di regole.

     

    AWS Shield Avanzato include la protezione dai costi DDoS per salvaguardare le risorse EC2, ELB, CloudFront, Global Accelerator e Route 53 protette da sovrapprezzi derivanti da picchi di utilizzo correlati agli attacchi DDoS. Se una di queste risorse protette aumenta verticalmente in risposta a un attacco DDoS, puoi richiedere i crediti di servizio di Shield Avanzato tramite il consueto canale di supporto AWS.

    Per i clienti con un piano di supporto Business o Enterprise, AWS Shield Avanzato permette di contattare 24 ore su 24 e 7 giorni su 7 il team SRT, che può essere consultato prima, durante o dopo un attacco DDoS. L’SRT effettua la valutazione degli errori, ne identifica la causa principale e applica misure di prevenzione per conto tuo. Il team ha un'esperienza approfondita per quanto riguarda la risposta rapida e la mitigazione degli attacchi DDoS che colpiscono i clienti AWS.

    AWS Shield Avanzato è disponibile in tutto il mondo presso tutte le posizioni edge di CloudFront, Global Accelerator e Route 53. Proteggi le tue applicazioni Web in hosting in tutto il mondo distribuendole insieme ad CloudFront. I server di origine possono essere Amazon Simple Storage Service (S3), EC2, ELB o un server personalizzato esterno ad AWS. Puoi anche attivare le protezioni direttamente sulle istanze di indirizzi IP elastici o di ELB in tutte le regioni AWS in cui Shield Avanzato è disponibile.

    I clienti di AWS Shield Avanzato possono utilizzare Gestione dei firewall AWS per applicare protezioni Shield Avanzato e AWS WAF nell'intera organizzazione. Il costo di Firewall Manager è incluso nella tariffa di iscrizione a Shield Advanced. Utilizzando Firewall Manager, puoi configurare automaticamente le policy coprendo più account e risorse. Firewall Manager esegue l'audit automatico degli account per trovare risorse nuove o non protette e si assicura che le protezioni Shield Advanced e AWS WAF vengano applicate universalmente. Ciò permette agli sviluppatori di agire rapidamente e di distribuire nuove applicazioni potendo contare sull'implementazione automatica di misure protettive adeguate. Per ulteriori informazioni su questo servizio di gestione della sicurezza, consulta Gestione dei firewall AWS.

Network Security Director di AWS Shield (anteprima)

Apri tutto

    Ottieni una visione completa del tuo ambiente AWS attraverso una topologia di rete che mostra le connessioni alle risorse, le configurazioni di sicurezza e i potenziali problemi di sicurezza a colpo d'occhio. Questa visualizzazione raggruppa le risorse per tag e modelli di connettività, aiutandoti a comprendere le relazioni tra le risorse e la loro esposizione su Internet. Ciò consente di identificare rapidamente i problemi di sicurezza critici, dall'accesso eccessivamente permissivo alla protezione delle applicazioni da minacce come l'iniezione SQL.

    Alle risorse viene assegnato un livello di gravità in base ai risultati più severi sulla sicurezza di rete per aiutarti a capire quali risorse nel tuo ambiente sono configurate correttamente in base al contesto di rete e alle best practice di AWS e all’intelligence sulle minacce. I risultati sono ordinati in base al livello di gravità in un pannello di controllo per aiutarti a determinare facilmente quali problemi di configurazione richiedono la tua attenzione immediata.

    Correggi rapidamente le configurazioni errate di sicurezza della rete utilizzando i servizi e i set di regole consigliati per mitigare ogni risultato. I suggerimenti sono forniti come istruzioni dettagliate.

    Analizza i tuoi problemi di sicurezza della rete in linguaggio naturale con Network Security Director di AWS Shield dall’interno di Amazon Q Developer. Con Amazon Q, puoi chiedere informazioni sui risultati della sicurezza di rete, esplorare i problemi e ricevere consigli per risolverli dalla Console di gestione AWS e dalle applicazioni di chat.

Protezione da attacchi DDoS a livello di applicazione (L7)

Apri tutto

    La protezione da attacchi DDoS a livello di applicazione (L7) è un gruppo di regole gestite di AWS progettato per difendere automaticamente le applicazioni dagli eventi Distributed Denial of Service (DDoS) in pochi secondi. Questa funzionalità monitora i dati di traffico per stabilire una baseline entro pochi minuti dall'attivazione e utilizza modelli di machine learning per rilevare anomalie rispetto ai modelli di traffico normali. Quando il traffico supera o si discosta dalla baseline stabilita, il sistema applica automaticamente regole progettate per bloccare le richieste sospette. Questa funzionalità è progettata per garantire che le applicazioni su Amazon CloudFront, Application Load Balancer e API Gateway rimangano disponibili in caso di eventi DDoS emergenti.

    La protezione da attacchi DDoS a livello di applicazione (L7) consente di proteggere le applicazioni senza la complessità della configurazione e della gestione manuale delle regole. Questa funzionalità offre opzioni personalizzabili per soddisfare le esigenze delle applicazioni, ad esempio la configurazione delle impostazioni di sensibilità delle regole e l'ispezione di percorsi URI specifici dell'applicazione.

    Scopri di più sulla protezione da attacchi DDoS a livello di applicazione (L7).

    Progettato per mitigare gli eventi DDoS emergenti a livello di applicazione in pochi secondi

    Le regole gestite di AWS per AWS WAF sono già configurate per farti risparmiare tempo

    Personalizza la tua difesa DDoS di livello 7 in base alla tua applicazione con controlli di sensibilità