AWS Shield
Nuvem AWS

O AWS Shield é um serviço gerenciado de proteção contra negação de serviço distribuída (DDoS) que protege as aplicações web executadas na AWS. O AWS Shield oferece detecção permanente e mitigações automáticas em linha que minimizam o tempo de inatividade e a latência das aplicações, fornecendo proteção contra DDoS sem necessidade de envolver o AWS Support. O AWS Shield tem dois níveis, Standard e Advanced.

Todos os clientes da AWS se beneficiam gratuitamente com as proteções automáticas do AWS Shield Standard. O AWS Shield Standard protege contra os ataques de DDoS mais comuns, que ocorrem com frequência nas camadas de rede e transporte e visam sites ou aplicativos web. Quando usa o AWS Shield Standard com o Amazon CloudFront e o Amazon Route 53, você recebe uma proteção abrangente de disponibilidade contra todos os ataques à infraestrutura conhecidos (camadas 3 e 4).

Para obter níveis mais altos de proteção contra ataques direcionados a aplicativos web executados em recursos dos serviços Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53, você pode assinar o AWS Shield Advanced. Além das proteções nas camadas de rede e transporte fornecidas com a versão Standard, o AWS Shield Advanced oferece detecção e mitigação adicionais contra ataques de DDoS grandes e sofisticados, visibilidade dos ataques praticamente em tempo real e integração com o AWS WAF, um firewall para aplicativos web. O AWS Shield Advanced também oferece acesso ao AWS DDoS Response Team (DRT) e proteção contra picos relacionados a DDoS em cobranças dos serviços EC2, ELB, CloudFront ou Route 53.

O AWS Shield Advanced está disponível globalmente em todos os pontos de presença do Amazon CloudFront e do Amazon Route 53. Você pode proteger suas aplicações Web hospedadas em qualquer lugar do mundo implantando o Amazon CloudFront na frente da sua aplicação. Os servidores de origem podem ser o Amazon S3, o Amazon Elastic Compute Cloud (EC2), o Elastic Load Balancing (ELB) ou um servidor personalizado fora da AWS. Também é possível habilitar o AWS Shield Advanced diretamente em um IP elástico ou em um Elastic Load Balancing (ELB) nestas regiões da AWS: Norte da Virgínia, Oregon, Irlanda, Tóquio e Norte da Califórnia.


100x100_benefit_ingergration

Com o AWS Shield Standard, os recursos da AWS são automaticamente protegidos contra os ataques de DDoS mais comuns e frequentes nas camadas de rede e transporte. Você pode obter um nível mais alto de defesa simplesmente habilitando a proteção do AWS Shield Advanced para os recursos de IP elástico, Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53 que você quer proteger usando o console ou as APIs de gerenciamento.

100x100_benefit_customize

Com o AWS Shield Advanced, você tem a flexibilidade de criar regras personalizadas para mitigar ataques sofisticados na camada de aplicações. Essas regras personalizáveis podem ser implantadas instantaneamente, permitindo a rápida mitigação de ataques. Você pode definir regras automáticas para bloquear automaticamente tráfego inválido ou responder a incidentes à medida que eles ocorrem. Além disso, também é possível acionar o AWS DDoS Response Team (DRT), 24 horas por dia, 7 dias por semana, que pode criar regras em seu nome para mitigar ataques de DDoS na camada de aplicações.

100x100_benefit_lowcost-affordable

Como um cliente da AWS, você obtém automaticamente proteção na camada de rede contra os ataques de DDoS mais comuns por meio do AWS Shield Standard. Essa proteção não exige custos ou recursos adicionais, nem tempo de inicialização. Com o AWS Shield Advanced, você obtém a “proteção contra custo de DDoS”, um recurso que protege sua conta da AWS contra picos de uso dos serviços EC2, Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53 como resultado de um ataque de DDoS.

Detecção rápida

O AWS Shield Standard oferece um monitoramento de fluxo de rede sempre ativo que inspeciona o tráfego de entrada da AWS e usa uma combinação de assinaturas de tráfego, algoritmos de anomalias e outras técnicas de análise para detectar tráfego mal-intencionado em tempo real.

Mitigação interna de ataques  

O AWS Shield Standard incorpora técnicas de mitigação automática, oferecendo proteção contra ataques à infraestrutura comuns e mais frequentes. As mitigações automáticas são aplicadas em linha aos aplicativos, sem afetar a latência. A detecção sempre ativa e a mitigação em linha minimizam o tempo de inatividade dos aplicativos, sem necessidade de envolver o AWS Support para receber proteção contra DDoS. O AWS Shield Standard usa diversas técnicas, como filtragem determinística de pacotes e modelagem de tráfego com base em prioridade para mitigar automaticamente os ataques sem afetar as aplicações. Também é possível mitigar os ataques de DDoS na camada de aplicações criando regras com o AWS WAF. Com o AWS WAF, você paga apenas pelo que usar.


Detecção aprimorada

O AWS Shield Advanced oferece detecção aprimorada, inspecionando fluxos de rede e monitorando o tráfego na camada de aplicativos para recursos de endereço IP elástico, Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53. Com o uso de técnicas adicionais, como monitoramento de recursos específicos, o AWS Shield Advanced proporciona detecção granular de ataques de DDoS. O AWS Shield Advanced detecta ataques de DDoS na camada de aplicações, como floods de HTTP ou floods de consultas de DNS, estabelecendo um padrão comum de tráfego para os recursos e identificando anomalias.

Mitigação avançada de ataques

Além dos benefícios do AWS Shield Standard, o AWS Shield Advanced oferece mitigações automáticas mais sofisticadas. O AWS DDoS Response Team (DRT) também aplica mitigações manuais contra ataques de DDoS mais complexos e sofisticados. O AWS Shield Advanced usa técnicas de roteamento avançadas para oferecer automaticamente maior capacidade de mitigação e proteger contra grandes ataques de DDoS. Você pode usar o AWS WAF para responder a incidentes de ataque na camada de aplicações. O AWS WAF permite configurar regras proativas, como Rate Based Blacklisting, para bloquear automaticamente tráfego inválido ou responder imediatamente aos incidentes assim que eles ocorrerem. Não há custo adicional para o uso do AWS WAF para proteção da camada de aplicações. Você também pode interagir diretamente com o DRT para implementar regras do AWS WAF em seu nome como resposta a um ataque de DDoS à camada de aplicativos. O DRT diagnosticará o ataque e, com sua permissão, aplicará as mitigações em seu nome.

Visibilidade e notificação de ataques

O AWS Shield Advanced oferece visibilidade completa dos ataques de DDoS, com notificações em tempo quase real por meio do Amazon CloudWatch. Ao trabalhar em conjunto com o AWS DDoS Response Team (DRT), você pode acessar análises e investigações pós-evento. Também é possível visualizar um resumo dos ataques anteriores no console de gerenciamento do AWS WAF e AWS Shield.

Suporte especializado

O AWS Shield Advanced proporciona acesso ao AWS DDoS Response Team (DRT) 24 horas por dia, 7 dias por semana. O DRT pode ser acionado antes, durante ou após um ataque de DDoS. O DRT ajudará a avaliar os incidentes, identificar as causas raiz e aplicar as mitigações em seu nome. Você também pode interagir com o DRT em análises pós-ataque.

Proteção contra custo de DDoS

O AWS Shield Advanced é fornecido com a “proteção contra custo de DDoS”, uma garantia contra o aumento dos encargos como resultado de ataques de DDoS que geram picos de uso nos serviços Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), no Amazon CloudFront ou Amazon Route 53. Se qualquer um desses serviços aumentar a escala como resposta a um ataque de DDoS, a AWS providenciará créditos de serviços para as cobranças por picos de uso. Para obter mais detalhes sobre como solicitar créditos de serviço, consulte AWS WAF e AWS Shield Advanced Documentation.

As aplicações web executadas na AWS já estão protegidas pelo AWS Shield Standard. Para habilitar o AWS Shield Advanced, acesse o console de gerenciamento do AWS WAF e AWS Shield e selecione os recursos que serão protegidos pela versão Advanced.

Comece a usar o AWS Shield