AWS Shield

Proteção gerenciada contra DDoS

O AWS Shield é um serviço gerenciado de proteção contra DDoS (Negação de serviço distribuída) que protege os aplicativos executados na AWS. O AWS Shield oferece de detecção e mitigações em linha automáticas e sempre ativas que minimizam o tempo de inatividade e a latência dos aplicativos, fornecendo proteção contra DDoS sem necessidade de envolver o AWS Support. O AWS Shield tem dois níveis, Standard e Advanced.

Todos os clientes da AWS se beneficiam gratuitamente com as proteções automáticas do AWS Shield Standard. O AWS Shield Standard protege contra os ataques de DDoS mais comuns, que ocorrem com frequência nas camadas de rede e transporte e visam sites ou aplicativos web. Ao usar o AWS Shield Standard com o Amazon CloudFront e o Amazon Route 53, você recebe uma proteção abrangente de disponibilidade contra todos os ataques à infraestrutura conhecidos (camadas 3 e 4).

Para obter níveis mais altos de proteção contra ataques direcionados a aplicativos executados em recursos do Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53, você pode inscrever-se no AWS Shield Advanced. Além das proteções nas camadas de rede e transporte fornecidas com a versão Padrão, o AWS Shield Advanced fornece detecção e mitigação adicionais contra ataques grandes e sofisticados de DDoS, visibilidade em tempo quase real dos ataques e integração com o AWS WAF, um firewall para aplicativo web. Além disso, o AWS Shield Advanced oferece acesso 24 horas por dia, 7 dias por semana ao AWS DDoS Response Team (DRT) e proteção contra picos relacionados a DDoS nas cobranças do Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53.

O AWS Shield Advanced está disponível globalmente em todos os pontos de presença do Amazon CloudFront e do Amazon Route 53. Você pode proteger seus aplicativos web hospedados em qualquer lugar do mundo implantando o Amazon CloudFront na frente do seu aplicativo. Os servidores de origem podem ser o Amazon S3, o Amazon Elastic Compute Cloud (EC2), o Elastic Load Balancing (ELB) ou um servidor personalizado fora da AWS. Também é possível habilitar o AWS Shield Advanced diretamente em um IP elástico ou em um Elastic Load Balancing (ELB) nestas regiões da AWS: Norte da Virgínia, Oregon, Irlanda, Tóquio e Norte da Califórnia.

Benefícios

Integração e implantação perfeitas

Com o AWS Shield Standard, os recursos da AWS são automaticamente protegidos contra os ataques de DDoS mais comuns e frequentes nas camadas de rede e transporte. Você pode obter um nível mais alto de defesa simplesmente habilitando a proteção do AWS Shield Advanced para os recursos de IP elástico, Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53 que você quer proteger usando o console ou as APIs de gerenciamento.

Proteção personalizável

Com o AWS Shield Advanced, você tem a flexibilidade de criar regras personalizadas para mitigar ataques sofisticados na camada de aplicativos. Essas regras personalizáveis podem ser implantadas instantaneamente, permitindo a rápida mitigação de ataques. Você pode definir proativamente regras automáticas para bloquear tráfego inválido ou responder a incidentes à medida que eles ocorrem. Além disso, você tem acesso ao AWS DDoS Response Team (DRT), 24 horas por dia, 7 dias por semana, que pode criar regras para mitigar ataques de DDoS na camada de aplicativos.

Econômico

Como um cliente da AWS, você obtém automaticamente proteção na camada de rede contra os ataques de DDoS mais comuns por meio do AWS Shield Standard. Essa proteção não exige custos ou recursos adicionais, nem tempo de inicialização. Com o AWS Shield Advanced, você obtém a "proteção contra custo de DDoS", um recurso que protege sua conta da AWS contra picos de uso dos serviços EC2, Elastic Load Balancing (ELB), Amazon CloudFront e Amazon Route 53 como resultado de um ataque de DDoS.

Casos de uso de proteção

Aplicativos web e APIs

Quando você usa o Amazon CloudFront, o AWS Shield Standard oferece automaticamente uma proteção abrangente contra ataques na camada de infraestrutura como floods de SYN, floods de UDP ou outros ataques de reflexão. Os sistemas de detecção e mitigação sempre ativos do AWS Shield Standard analisam automaticamente tráfego mal-intencionado nas camadas 3 e 4 para proteger os aplicativos. Mais de 99% dos ataques ao Amazon CloudFront na camada de infraestrutura detectados pelo AWS Shield Standard são mitigados automaticamente em menos de um segundo.

Saiba como usar o Amazon CloudFront para proteger seus aplicativos dinâmicos contra ataques de DDoS.

Saiba como a Slack usa o Amazon CloudFront como proteção contra ataques de DDoS.

Para contar com uma proteção adicional contra ataques de DDoS grandes e sofisticados, você também pode usar o AWS Shield Advanced no Amazon CloudFront. Com o Shield Advanced, os clientes obtêm acesso 24 horas por dia, 7 dias por semana ao AWS DDoS Response Team (DRT), que aplica proativamente todas as mitigações necessárias para qualquer ataque sofisticado na camada de infraestrutura (camada 3 ou 4) usando técnicas adicionais, como engenharia de tráfego. Além disso, o AWS Shield Advanced também protege contra ataques na camada de aplicativos, como HTTP floods. O sistema de detecção sempre ativo do AWS Shield Advanced estabelece uma linha base do tráfego de aplicativos no estado normal do cliente e monitora qualquer anomalia. O AWS Shield Advanced inclui gratuitamente o AWS WAF, o que permite personalizar qualquer mitigação na camada de aplicativos.

Slack - Aceleração segura da API

Palestrante:
Alex Graham, Sr. Engenheiro de operações, Slack Technologies, Inc.

200x100_Slack_Logo

DNS

O AWS Shield Standard protege automaticamente zonas hospedadas do Amazon Route 53 contra ataques de DDoS na camada de infraestrutura, sem custo adicional. Estão incluídos ataques como Reflection ou floods de SYN que visam frequentemente o seu DNS. O AWS Shield Standard usa automaticamente várias técnicas como validações de cabeçalho e modelagem de tráfego baseada em prioridades para mitigar automaticamente esses ataques de DDoS.

Além disso, o AWS Shield Advanced oferece proteção adicional para cenários extremos que exigem intervenção manual por meio do acesso ao AWS DDoS Response Team, 24 horas por dia, 7 dias por semana. E o AWS Shield Advanced também oferece visibilidade sobre os ataques na infraestrutura do Route 53.

Saiba mais sobre Como reduzir riscos de DDoS usando o Amazon Route 53 e o AWS Shield.

Outros aplicativos (como aplicativos baseados em UDP)

Para outros aplicativos personalizados não baseados no TCP (como UDP, SIP etc.), não é possível usar serviços como Amazon CloudFront ou Elastic Load Balancing. Nesses casos, muitas vezes é necessário executar aplicativos diretamente em instâncias do Amazon EC2 voltadas à Internet. O AWS Shield Standard também protege sua instância do Amazon EC2 contra ataques de DDoS comuns na camada de infraestrutura (camadas 3 e 4), como ataques de reflexão de UDP (por exemplo, reflexão de DNS, NTP, SSDP etc.). O AWS Shield Standard usa várias técnicas, como modelagem de tráfego baseada em prioridade, acionadas automaticamente quando uma assinatura bem definida de ataque de DDoS é detectada.

Você também pode obter proteção avançada contra ataques de DDoS grandes e sofisticados para esses aplicativos habilitando o AWS Shield Advanced em endereços IP elásticos. A detecção avançada de DDoS do AWS Shield Advanced detecta automaticamente o tipo de recurso e o tamanho da instância do EC2 da AWS e aplica as mitigações predefinidas adequadas. Com o AWS Shield Advanced, os clientes também podem criar seus próprios perfis de mitigação personalizada interagindo 24 horas por dia, 7 dias por semana com o AWS DDoS Response Team (DRT). O AWS Shield Advanced também garante que, durante um ataque de DDoS, todas as listas de controle de acesso (ACLs) de rede da Amazon VPC sejam aplicadas automaticamente na borda da rede da AWS, permitindo acessar capacidade adicional de largura de banda e análise para mitigar grandes ataques volumétricos de DDoS. Com o AWS Shield Advanced, você pode obter proteção adicional contra ataques de DDoS, como floods de SYN, ou outros vetores como floods de UDP.

Saiba mais sobre Como anexar um IP elástico a uma instância do Amazon EC2.

Conceitos básicos da AWS

icon1

Cadastrar-se para obter uma conta da AWS

Obtenha acesso instantâneo ao nível gratuito da AWS.
icon2

Aprenda com tutoriais de 10 minutos

Explore e aprenda com tutoriais simples.
icon3

Comece a criar com a AWS

Comece a criar usando os guias passo a passo que ajudam a iniciar seu projeto da AWS.

Saiba mais sobre o AWS Shield

Acesse a página de recursos
Pronto para criar?
Comece a usar o AWS Shield
Mais dúvidas?
Entre em contato conosco