AWS Shield
Nuvem AWS

O AWS Shield é um serviço gerenciado de proteção contra negação de serviço distribuída (DDoS) que protege as aplicações web executadas na AWS. O AWS Shield oferece detecção permanente e mitigações automáticas em linha que minimizam o tempo de inatividade e a latência das aplicações, fornecendo proteção contra DDoS sem necessidade de envolver o AWS Support. O AWS Shield tem dois níveis, Standard e Advanced.

Todos os clientes da AWS se beneficiam gratuitamente com as proteções automáticas do AWS Shield Standard. O AWS Shield Standard protege contra os ataques de DDoS mais comuns, que ocorrem com frequência nas camadas de rede e transporte e visam sites ou aplicações web.

Para obter um nível mais alto de proteção contra ataques direcionados a aplicações web executadas em recursos do Elastic Load Balancing (ELB), do Amazon CloudFront e do Amazon Route 53, você pode assinar o AWS Shield Advanced. Além das proteções comuns nas camadas de rede e transporte fornecidas com a versão Standard, o AWS Shield Advanced oferece detecção e mitigação adicionais contra ataques grandes e sofisticados de DDoS, visibilidade em tempo quase real dos ataques e integração com o AWS WAF, um firewall para aplicações web. O AWS Shield Advanced também oferece acesso ao AWS DDoS Response Team (DRT) e proteção contra picos relacionados a DDoS em cargas de trabalho do ELB, CloudFront ou Route 53.

O AWS Shield Advanced está disponível globalmente em todos os pontos de presença do Amazon CloudFront e do Amazon Route 53. Você pode proteger suas aplicações Web hospedadas em qualquer lugar do mundo implantando o Amazon CloudFront na frente da sua aplicação. Seus servidores de origem podem ser o Amazon S3, o Amazon EC2, o Elastic Load Balancing ou um servidor personalizado fora da AWS. Você também pode ativar o AWS Shield Advanced diretamente no Elastic Load Balancing nas seguintes regiões da AWS – Virgínia do Norte, Oregon, Irlanda e Tóquio.


100x100_benefit_ingergration

Com o AWS Shield Standard, os recursos da AWS são automaticamente protegidos contra os ataques de DDoS mais comuns que ocorrem com mais frequência nas camadas de rede e transporte. Você pode obter um nível mais alto de defesa simplesmente habilitando a proteção do AWS Shield Advanced para os recursos de Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53 que você quer proteger usando o console ou as APIs de gerenciamento.

100x100_benefit_customize

Com o AWS Shield Advanced, você tem a flexibilidade de criar regras personalizadas para mitigar ataques sofisticados na camada de aplicações. Essas regras personalizáveis podem ser implantadas instantaneamente, permitindo a rápida mitigação de ataques. Você pode definir regras automáticas para bloquear automaticamente tráfego inválido ou responder a incidentes à medida que eles ocorrem. Além disso, também é possível acionar o AWS DDoS Response Team (DRT), 24 horas por dia, 7 dias por semana, que pode criar regras em seu nome para mitigar ataques de DDoS na camada de aplicações.

100x100_benefit_lowcost-affordable

Como um cliente da AWS, você obtém automaticamente proteção na camada de rede contra os ataques de DDoS mais comuns por meio do AWS Shield Standard. Essa proteção não exige custos ou recursos adicionais, nem tempo de inicialização. Com o AWS Shield Advanced, você obtém a "proteção contra custo de DDoS", um recurso que protege sua conta da AWS contra picos de uso do Elastic Load Balancing (ELB), do Amazon CloudFront e do Amazon Route 53 como resultado de um ataque de DDoS.

Detecção rápida

O AWS Shield Standard oferece um monitoramento de fluxo de rede sempre ativo que inspeciona o tráfego de entrada da AWS e usa uma combinação de assinaturas de tráfego, algoritmos de anomalias e outras técnicas de análise para detectar tráfego mal-intencionado em tempo real.

Mitigação interna de ataques  

O AWS Shield Standard incorpora técnicas de mitigação automática, oferecendo proteção contra ataques comuns, que ocorrem com mais frequência nas camadas 3 e 4 da infraestrutura. As mitigações automáticas são aplicadas em linha às aplicações, o que evita afetar a latência. A detecção sempre ativa e a mitigação em linha minimizam o tempo de inatividade das aplicações, sem necessidade de envolver o AWS Support para receber proteção contra DDoS. O AWS Shield Standard usa diversas técnicas, como filtragem determinística de pacotes e modelagem de tráfego com base em prioridade para mitigar automaticamente os ataques sem afetar as aplicações. Também é possível mitigar os ataques de DDoS na camada de aplicações criando regras com o AWS WAF. Com o AWS WAF, você paga apenas pelo que usar.


Detecção aprimorada

O AWS Shield Advanced oferece detecção aprimorada, inspecionando fluxos de rede e monitorando o tráfego na camada de aplicações para recursos do Elastic Load Balancing (ELB), Amazon CloudFront ou Amazon Route 53. Com o uso de técnicas adicionais, como monitoramento de recursos específicos, o AWS Shield Advanced proporciona detecção granular de ataques de DDoS. O AWS Shield Advanced detecta ataques de DDoS na camada de aplicações, como floods de HTTP ou floods de consultas de DNS, estabelecendo um padrão comum de tráfego para os recursos e identificando anomalias.

Mitigação avançada de ataques

Além dos benefícios do AWS Shield Standard, o AWS Shield Advanced oferece mitigações automáticas mais sofisticadas. O AWS DDoS Response Team (DRT) também aplica mitigações manuais contra ataques de DDoS mais complexos e sofisticados. O AWS Shield Advanced usa técnicas de roteamento avançadas para oferecer automaticamente recursos de mitigação adicionais e proteger contra grandes ataques de DDoS. Você pode usar o AWS WAF para responder a incidentes de ataque na camada de aplicações. O AWS WAF permite configurar regras proativas, como Rate Based Blacklisting, para bloquear automaticamente tráfego inválido ou responder imediatamente aos incidentes assim que eles ocorrerem. Não há custo adicional para o uso do AWS WAF para proteção da camada de aplicações. Você também pode interagir com o DRT em incidentes individuais ou mediante autorização prévia. O DRT diagnosticará o ataque e, com sua permissão, aplicará as mitigações em seu nome.

Visibilidade e notificação de ataques

O AWS Shield Advanced oferece visibilidade completa dos ataques de DDoS, com notificações em tempo quase real por meio do Amazon CloudWatch. Ao trabalhar em conjunto com o DDoS Response Team (DRT), você pode acessar análises e investigações pós-evento. Também é possível visualizar um resumo dos ataques anteriores no console de gerenciamento do AWS WAF e AWS Shield.

Suporte especializado

O AWS Shield Advanced proporciona acesso ao DDoS Response Team (DRT), 24 horas por dia, 7 dias por semana. O DRT pode ser acionado antes, durante ou após um ataque de DDoS. O DRT ajudará a avaliar os incidentes, identificar as causas raiz e aplicar as mitigações em seu nome. Você também pode interagir com o DRT em análises pós-ataque.

Proteção contra custo de DDoS

O AWS Shield Advanced é fornecido com a "proteção contra custo de DDoS", uma garantia contra o aumento dos encargos como resultado de um ataque de DDoS, que causa picos de uso no Elastic Load Balancing (ELB), no Amazon CloudFront ou no Amazon Route 53. Se qualquer um desses serviços aumentar a escala como resposta a um ataque de DDoS, a AWS providenciará créditos de serviços para as cobranças por picos de uso. Para obter mais detalhes sobre como solicitar créditos de serviço, consulte AWS WAF e AWS Shield Advanced Documentation.

As aplicações web executadas na AWS já estão protegidas pelo AWS Shield Standard. Para habilitar o AWS Shield Advanced, acesse o console de gerenciamento do AWS WAF e AWS Shield e selecione os recursos que serão protegidos pela versão Advanced.

Comece a usar o AWS Shield