O blog da AWS

Indo a fundo no Shield Advanced: Funcionamento e melhores práticas

Por Felipe Bortoletto, Roberto Fernandes da Silva e Eduardo Oliveira

 

Introdução

DDoS (Distributed Denial of Service) são ataques distribuídos de negação de serviço que se utilizam de um grande volume de requisições para derrubar alguma aplicação ou serviço. Outra utilização do DDoS é para causar distração, assim permitindo que outro ataque seja executado sem ser notado. A quantidade de ataques e o volume de DDOS aumenta diariamente, tornando a proteção contra eles mais imprescindível do que nunca. Você precisa proteger não somente sua infraestrutura, mas seus dados, dos seus clientes e a credibilidade da sua empresa.

O que iremos falar nesse blog

Nesse blog post falaremos primeiro como criar uma proteção inicial contra DDoS na AWS e depois sobre o AWS Shield e o AWS Shield Advanced, que provê uma proteção avançada contra DDoS na AWS. Explicaremos também como funciona sua cobrança e as melhores práticas para quando forem utiliza-los.

Proteção inicial contra DDoS

O primeiro passo para se proteger contra DDoS é entender o baseline de requests da sua aplicação. Com essa informação você consegue criar uma regra de rate limit em uma Web Access Control List (WebACL) do AWS WAF (Web Application Firewall), onde se algum IP fizer mais requisições que o limite que você estabelecer dentro de uma janela de 5 minutos, ele é bloqueado até o fim dessa janela. Implementando essa regra a maioria dos ataques de DDoS já são bloqueados e a sua postura de segurança já melhora. Para dar os próximos passos e aprimorar suas defesas, recomendamos lerem as Melhores práticas para resiliência contra DDoS da AWS, expandindo sua proteção para além do firewall.

Diferença entre Shield Standard e Shield Advanced

Comparação entre as duas versões:

  1. Standard: Protege a infraestrutura AWS contra ataques de DDoS, como os endpoints dos serviços gerenciados. Ele está sempre ativo e não tem custo.
  2. Advanced: Protege sua aplicação contra ataques de DDoS com as seguintes funcionalidades avançadas:
  • Regra do WAF gerenciada pela AWS – Calcula seu baseline de requests e faz uma proteção automatizada do endpoint.
  • SRT (Shield Response Team) – Time de especialistas em AWS Shield e ataques DDoS, que irão te ajudar a melhorar suas regras de firewall e na mitigação de ataques. Para ter o suporte deles é necessário ter o Enterprise Support contratado.
  • WAF WebACLs sem custo – Atenção! Regras de parceiros e as regras gerenciadas pagas da AWS ainda são cobradas!
  • Melhor visibilidade dos ataques – Visibilidade dos ataques em quase tempo real com as métricas do CloudWatch e os dashboards no console do AWS Shield e do AWS Firewall Manager.
  • Proteção de custosCustos relacionados a escala automática de recursos, protegidos pelo AWS Shield Advanced, devido a um ataque de DDoS podem ser reembolsados como crédito em conta mediante a análise do time de suporte.
  • Integração com o AWS Firewall Manager – Para uma gerencia centralizada das suas WebACL em todas as contas da organização
  • Integração com AWS Organizations – Proteção e suporte do AWS Shield Advanced se estendem para todas as contas que estiverem abaixo na mesma Organization.

Precificação do Shield

Shield Standard

Sem custo adicional para os clientes AWS.

Shield Advanced

O Shield Advanced tem 3 precificações:

  1. Assinatura – 1 ano de assinatura com renovação automática. A renovação automática é informada 30 dias antes aos contatos registrados na conta.
  2. Taxa Mensal – $3000,00 por mês (Valor em 09/2023)
  3. Data Transfer Out (DTO) – Quantidade de dados enviados para fora da AWS processados pelos recursos protegidos pelo Shield Advanced.

Quando assinado na Management account do AWS Organizations a proteção é estendida para todas as contas linked.

A precificação do DTO varia por região da AWS e por tipo de recurso sendo protegido, porem o custo por GB processado reduz conforme o volume vai aumentando, independente da região. Para os preços atuais por favor consulte a página de precificação do Shield.

A proteção contra DDoS normalmente é instalada nos endpoints públicos da sua infraestrutura. Como melhor pratica, a AWS recomenda a utilização do Amazon CloudFront como CDN, cache de conteúdo e ponto único de entrada da internet para a sua infraestrutura AWS. Essa pratica já ajuda a prevenir ataques DDoS, reduzindo a superfície de ataque e os custos causados por escalar sua infraestrutura para suprir a demanda ilegítima. Por ser a melhor pratica, o custo do AWS Shield Advanced por GB de DTO do CloudFront é metade da de um Elastic Load Balancing (ELB).

Pontos de atenção

Algumas precauções a serem avaliadas quando estiver considerando contratar e durante a utilização do Shield Advanced:

Pré-requisitos para cobertura de custos – Para poder requisitar a cobertura dos custos de um ataque é necessário que 2 pré-requisitos tenham sido feitos antes do ataque ocorrer:

  1. O endpoint atacado precisa estar protegido e registado no Shield Advanced.
  2. A proteção do recurso precisam de uma regra de “rate limit” com o de pedidos da sua aplicação configurado como “block” ou a regra gerenciada contra DDoS da AWS. A regra da AWS demora aproximadamente 48h para aprender o padrão de pedidos da sua aplicação e poder ser considerada como ativa.

WAF “sem custo” – Regras de Bot da AWS e de parceiros do marketplace continuam sendo cobradas normalmente. Para uma WebACL ser registrada no Shield Advanced ela precisa estar associada a algum recurso. Se ela não estiver associada será feita a cobrança normal por WebACL e regra como descrito na Precificação do AWS WAF.

AWS Firewall Manager e WebACL desconectadas – Muitos clientes utilizam o AWS Firewall Manager (FWM) para gerenciar os firewalls e o Shield Advanced de suas contas de forma centralizada e automatizada. Uma funcionalidade solicitada frequentemente pelos clientes  é que o FWM não crie WebACLs de forma automática em contas que não haja recursos para associa-las. O que Impedia elas de serem registradas no Shield Advanced e abonar o custo como citado no tópico WAF “sem custo”. Em Agosto de 2023 essa funcionalidade foi lançada, assim reduzindo os custos de WAF, sem perder a padronização de segurança das contas. Se você é um dos clientes que já possuía essa gerencia pelo FWM antes de Agosto de 2023, por favor, verifique e ative essa nova funcionalidade para reduzir os seus custos. A imagem abaixo demonstra onde ativar essa funcionalidade.

Gerenciar WebACLs não anexadas

 

Cobrança de DTO dupla – Idealmente todos os ataques devem ser parados na borda, não somente os de DDoS, por isso recomendamos somente habilitar a proteção do Shield Advanced nos recursos públicos da sua infraestrutura. Muitos clientes utilizam o CloudFront na frente dos ELBs e colocam WAF WebACLs em ambos, criando “camadas” de firewall. Se a proteção do Shield Advanced é ativada no CloudFront e no ELB, acaba-se criando uma “cobrança dupla” de DTO, como mostrado na figura abaixo. A pratica de colocar WebACL em ambos é utilizada em algumas estratégias de por camadas, porem ela acarreta custo extra do DTO entre o ELB e o CloudFront. É possível registrar somente a WebACL do CloudFront no Shield Advanced, porem a WebACL do ELB será cobrada o preço normal, não sendo afetada pela isenção provida pelo Shield Advanced.

Melhores Práticas do Shield e de como se proteger de DDoS

Utilizar CloudFront – O CloudFront faz cache de conteúdo estático, reduzindo o prejuízo que o DDoS causa em requisições repetidas enquanto ele não é identificado e bloqueado. Coloque a WebACL nele por ser a borda da sua infraestrutura.

Regra de “Rate limit” com “baseline” da aplicação – Ter o conhecimento do baseline de utilização da sua aplicação é necessário para poder criar uma regra para bloquear IPs que passem dela. Se você possuir o Shield Advanced você pode utilizar a regra contra DDoS automatizada que é provida sem precisar calcular o seu baseline de utilização.

Regra em modo “Count” inicialmente – Para ter certeza que a regra não está tendo falso positivos e entender melhor o baseline de utilização é importante primeiro habilitar ela no modo de count, ao invés de block.

Contatar o time de SRT – Se possuir o Shield Advanced é importante contatar o time de SRT para eles avaliarem suas regras contra DDoS e ajudarem a refina-las.

FWM com AWS Organizations – Para ter uma segurança eficiente é importante centralizar o gerenciamento de firewalls. O FWM, em conjunto com o AWS Organizations, permite a gestão centralizada das WebACLs, Security Groups e Shield.

Conclusão

O AWS Shield é uma ferramenta muito útil para empresas que recebem muitos ataques DDoS e/ou utilizam muito o WAF. As funcionalidades de acesso ao time de SRT e métricas avançadas de DDoS ajudam a melhorar a segurança da sua infraestrutura. As políticas de reembolso e abono dos custos das WebACLs ajudam na parte financeira.

Porem, para tirar valor das funcionalidades do serviço e otimizar seu custo, deve-se configura-lo e utiliza-lo da maneira correta, seguindo as melhores práticas.

 

Sobre os autores

Felipe Bortoletto é um arquiteto de soluções na AWS. Trabalha na Amazon desde 2017, em 2019 ele participou do programa Tech U que proveu o conhecimento e pratica necessário para ser promovido para arquiteto de soluções. Atualmente está trabalhando com o mercado financeiro e se especializando em segurança.

 

 

 

 

Roberto Fernandes da Silva é arquiteto de soluções na AWS com mais de 14 anos no mercado de tecnologia. Atualmente seu foco está no suporte a clientes do segmento enterprise em suas jornadas de nuvem bem como em ferramentas de gerenciamento.

 

 

 

 

Eduardo Oliveira é Technical Account Manager com mais de 26 anos no mercado de tecnologia, atuando no mercado americano pelos últimos 16 anos. Seu foco é ajudar clientes do segmento enterprise em boas práticas e optimização de custos dos serviços de nuvem.