Geral

P: O que é o AWS Shield?

O AWS Shield é um serviço gerenciado que fornece proteção contra ataques distribuídos de negação de serviço (DDoS) para os aplicativos executados na AWS. O AWS Shield Standard é habilitado automaticamente a todos os clientes da AWS sem custo adicional. O AWS Shield Advanced é um serviço pago opcional. O AWS Shield Advanced oferece proteções adicionais contra ataques maiores e mais sofisticados para aplicativos executados no Amazon EC2, no Elastic Load Balancing (ELB), no Amazon CloudFront, no AWS Global Accelerator e no Route 53.

P: O que é o AWS Shield Standard?

O AWS Shield Standard oferece a todos os clientes da AWS proteção contra ataques comuns e mais frequentes à infraestrutura (camadas 3 e 4), como floods de SYN/UDP, ataques de reflexão e outros tipos de ataque, proporcionando alta disponibilidade aos aplicativos na AWS.

P: O que é o AWS Shield Advanced?

O AWS Shield Advanced oferece melhor proteção contra ataques maiores e mais sofisticados para aplicativos executados nos recursos protegidos do Amazon EC2, do Elastic Load Balancing (ELB), do Amazon CloudFront, do AWS Global Accelerator e do Route 53. A proteção do AWS Shield Advanced oferece monitoramento sempre ativo com base no fluxo do tráfego de rede e monitoramento ativo de aplicativos para provisionar notificações de incidentes suspeitos de ataques de DDoS em tempo quase real. O AWS Shield Advanced também emprega técnicas avançadas de mitigação e roteamento de ataques para mitigar ataques automaticamente. Clientes com suporte Business ou Empresarial também podem acionar o DDoS Response Team (DRT) 24 horas por dia, 7 dias por semana, para gerenciar e mitigar ataques de DDoS na camada de aplicativos. A proteção contra custos de ataques de DDoS para escalabilidade protege sua fatura da AWS contra o aumento de taxas resultante de picos de uso do Amazon EC2, do Elastic Load Balancing (ELB), do Amazon CloudFront, do AWS Global Accelerator e do Amazon Route 53 durante um ataque DDoS.

P: O que é a proteção contra custos de ataques de DDoS para escalabilidade?

O AWS Shield Advanced inclui a proteção contra custos de ataques de DDoS, uma proteção contra o aumento da cobrança de escalabilidade resultante de picos de uso dos recursos protegidos do Amazon EC2, do Elastic Load Balancing (ELB), do Amazon CloudFront, do AWS Global Accelerator ou do Amazon Route 53. Se qualquer um dos recursos protegidos pelo AWS Shield Advanced aumentar a escala como resposta a um ataque de DDoS, você poderá solicitar créditos por meio do canal normal do AWS Support.

P: Posso usar o AWS Shield para proteger sites que não estão hospedados na AWS?

Sim, o AWS Shield está integrado com o Amazon CloudFront, que permite origens personalizadas fora da AWS.

P: Posso usar o IPv6 com todos os recursos do AWS Shield?

Sim. Todas as detecções e mitigações do AWS Shield funcionam com IPv6 e IPv4, sem qualquer alteração perceptível de desempenho, escalabilidade ou disponibilidade do serviço.

P: Como faço para testar o AWS Shield?

A política de uso aceitável da AWS descreve o comportamento permitido e proibido na AWS e inclui descrições das proibições de violações de segurança e abuso de rede. No entanto, como geralmente não é possível distinguir o teste de penetração e outros eventos simulados destas atividades, nós estabelecemos uma política para que os clientes solicitem uma permissão para conduzir testes de penetração e verificações de vulnerabilidade para o ou provenientes do ambiente da AWS. Acesse a nossa página de testes de penetração para solicitar permissões.

P: Em quais regiões da AWS o AWS Shield Standard está disponível?

O AWS Shield Standard está disponível em todos os serviços da AWS de cada região da AWS e ponto de presença da AWS em todo o mundo.

Consulte os Produtos e serviços regionais para obter detalhes sobre a disponibilidade do AWS Shield Standard por região.

P: O AWS Shield Advanced está disponível em quais regiões da AWS?

O AWS Shield Advanced está disponível globalmente em todos os pontos de presença do Amazon CloudFront, do AWS Global Accelerator e do Amazon Route 53 em todo o mundo. Você pode proteger seus aplicativos web hospedados em qualquer lugar do mundo implantando o Amazon CloudFront na frente do seu aplicativo. Os servidores de origem podem ser o Amazon S3, o Amazon EC2, o Elastic Load Balancing ou um servidor personalizado fora da AWS. Também é possível habilitar o AWS Shield Advanced diretamente em um Elastic Load Balancing ou no Amazon EC2 nestas regiões da AWS: Norte da Virgínia, Norte da Califórnia, Ohio, Oregon, Irlanda, Londres, Frankfurt, Estocolmo, Cingapura, Sydney, Seul e Tóquio.

Consulte os Produtos e serviços regionais para obter detalhes atualizados sobre a disponibilidade do AWS Shield Advanced por região.

P: O AWS Shield é qualificado para a HIPAA?

Sim. A AWS expandiu seu programa de conformidade com a HIPAA para incluir o AWS Shield como um serviço qualificado para a HIPAA. Se você assinou um acordo de associado comercial (BAA) com a AWS, poderá usar o AWS Shield para proteger aplicativos web executados na AWS contra ataques de negação de serviço distribuída (DDoS). Para obter mais informações, consulte Conformidade com a HIPAA.

Configuração de proteções

P: Que tipos de ataques o AWS Shield pode ajudar a interromper?

O AWS Shield ajuda a proteger um site contra todos os tipos de ataques de DDoS, incluindo ataques na camada de infraestrutura (como floods de UDP), ataques de exaustão de estado (como floods de TCP SYN) e ataques na camada de aplicativos (como de floods HTTP GET ou floods de HTTP POST). Consulte o documento AWS WAF and AWS Shield Advanced Developer Guide para obter exemplos.

P: Que tipos de ataque o AWS Shield Standard pode ajudar a evitar?

O AWS Shield Standard oferece proteção automática para aplicativos web executados na AWS contra os ataques na camada de infraestrutura mais comuns, como floods de UPD, e ataques de exaustão de estado, como floods de TCP SYN. Além disso, os clientes podem usar o AWS WAF para obter proteção contra ataques na camada de aplicativo, como floods de HTTP POST ou floods de HTTP GET. Encontre mais detalhes sobre como implantar proteções da camada de aplicativo no documento AWS WAF and AWS Shield Advanced Developer Guide.

P: Em quantos recursos posso ativar a proteção do AWS Shield Standard?

Não há limite para o número de recursos protegidos pelo AWS Shield Standard. Você pode obter todos os benefícios das proteções do AWS Shield Standard seguindo as melhores práticas de resiliência contra DDoS na AWS.

P: Em quantos recursos posso habilitar a proteção do AWS Shield Advanced?

É possível habilitar até 1000 recursos da AWS de cada tipo de recurso compatível (Classic/Application Load Balancers, distribuições do Amazon CloudFront, zonas de hospedagem do Amazon Route 53, IPs elásticos, aceleradores do AWS Global Accelerator) com a proteção do AWS Shield Advanced. Se quiser habilitar a proteção em mais de 1000 recursos, faça uma solicitação de aumento de limite abrindo um caso do AWS Support.

P: Posso ativar a proteção do AWS Shield Advanced por meio de uma API?

Sim. O AWS Shield Advanced pode ser ativado por meio de APIs. Também é possível adicionar ou remover recursos da AWS da proteção do AWS Shield Advanced usando APIs.

P: Com que rapidez os ataques são mitigados?

Normalmente, 99% dos ataques na camada de infraestrutura detectados pelo AWS Shield são mitigados em menos de um segundo no Amazon CloudFront e no Amazon Route 53, e em menos de cinco minutos no Elastic Load Balancing. O 1% restante dos ataques de infraestrutura é normalmente mitigado em menos de 20 minutos. Os ataques na camada de aplicativo são mitigados pela criação de regras no AWS WAF, inspecionadas e mitigadas em linha com o tráfego de entrada.

Resposta a ataques

P: Quais as ferramentas oferecidas pelo AWS Shield Standard para mitigar ataques de DDoS?

O AWS Shield Standard protege automaticamente aplicativos web executados na AWS contra os ataques de DDoS mais comuns e frequentes. Você pode obter todos os benefícios do AWS Shield Standard seguindo as melhores práticas de resiliência contra DDoS na AWS.

P: Quais as ferramentas oferecidas pelo AWS Shield Advanced para mitigar ataques de DDoS?

O AWS Shield Advanced gerencia a mitigação de ataques de DDoS nas camadas 3 e 4. Isso significa que seus aplicativos designados são protegidos contra ataques como os floods de UDP ou os floods de TCP SYN. Além disso, para ataques na camada de aplicativos (camada 7), o AWS Shield Advanced pode detectar ataques como os floods de HTTP e os floods de DNS. É possível usar o AWS WAF para aplicar suas próprias mitigações ou, se você contar com o suporte Business ou Empresarial, acionar o AWS DDoS Response Team (DRT) 24 horas por dia, 7 dias por semana, para criar regras de mitigação de ataques de DDoS na camada 7 para você.

P: Preciso de um plano de suporte especial para entrar em contato com o AWS DDoS Response Team?

Sim. Você precisa do plano de suporte Business ou Empresarial para encaminhar o assunto ou envolver o AWS DDoS Response Team (DRT). Consulte o site do AWS Support para obter mais detalhes sobre os planos do AWS Support.

P: Como faço para entrar em contato com o AWS DDoS Response Team?

Você pode acionar o AWS DDoS Response Team (DRT) por meio do suporte comum da AWS ou entrar em contato com o AWS Support.

P: Com que rapidez posso acionar o AWS DDoS Response Team (DRT)?

Os tempos de resposta do DRT dependem do plano de AWS Support que você assinou. Faremos o possível para responder à sua solicitação inicial no prazo correspondente. Consulte o site do AWS Support para obter mais detalhes sobre os planos do AWS Support.

Visibilidade e relatórios

P: O AWS Shield notifica sobre a ocorrência de ataques?

Sim. Com o AWS Shield Advanced, você será notificado sobre ataques de DDoS por meio de métricas do CloudWatch.

P: Com que rapidez receberei as notificações de ataque?

Normalmente, o AWS Shield Advanced notifica sobre a ocorrência de um ataque alguns minutos após sua detecção.

P: Posso obter um histórico de todos os ataques de DDoS em meus recursos da AWS?

Sim. Com o AWS Shield Advanced, você poderá ver o histórico de todos os incidentes nos últimos 13 meses.

P: Posso ver os ataques na AWS?

Sim, os clientes do AWS Shield Advanced obtêm acesso ao Painel do ambiente de ameaças global, que fornece uma visualização anônima e com amostras de todos os ataques de DDoS vistos na AWS nas últimas duas semanas.

P: Como posso verificar se as regras do AWS WAF estão funcionando?

O AWS WAF inclui duas maneiras diferentes de verificar como o seu site está sendo protegido: métricas de um minuto são disponibilizadas no CloudWatch e exemplos de solicitações da web são disponibilizados na API do AWS WAF ou no console de gerenciamento. Além disso, você pode habilitar logs abrangentes que são entregues pelo Amazon Kinesis Firehose para um destino de sua escolha. Essas opções permitem que você veja quais solicitações foram bloqueadas, permitidas ou contadas e qual regra foi utilizada em uma determinada solicitação (por exemplo, esta solicitação da web foi bloqueada devido a uma condição de endereço IP etc.). Para obter mais informações, consulte o documento AWS WAF and AWS Shield Advanced Developer Guide.

Faturamento

P: Como sou cobrado pelo AWS Shield Standard?

O AWS Shield Standard é incorporado aos serviços da AWS que você já usa para aplicativos web. Não há custos adicionais para o AWS Shield Standard.

P: Como sou cobrado pelo AWS Shield Advanced?

Com o AWS Shield Advanced, você paga uma taxa mensal de 3.000 USD por mês por organização. Além disso, você paga as taxas de uso de transferência de dados do AWS Shield Advanced para os recursos da AWS que contam com a proteção avançada. As cobranças do AWS Shield Advanced são adicionadas às taxas padrão do Amazon EC2, do Elastic Load Balancing (ELB), do Amazon CloudFront, do AWS Global Accelerator e do Amazon Route 53. Visite a página de definição de preço do AWS Shield para obter mais detalhes.

P: Posso escolher proteger somente alguns dos meus recursos com o AWS Shield Advanced?

Sim, o AWS Shield Advanced permite a flexibilidade de escolher os recursos que você gostaria de proteger. Você será cobrado somente pela transferência de dados do AWS Shield Advanced nesses recursos protegidos.

P: Como posso habilitar o AWS Shield Advanced em várias contas da AWS?

Se sua organização tiver várias contas da AWS, então você poderá assinar várias contas da AWS no AWS Shield Advanced habilitando-o individualmente em cada conta usando o Console de Gerenciamento da AWS ou a API. A taxa mensal será paga uma vez, desde que as contas da AWS estejam todas em um único faturamento consolidado e desde que você possua todas as contas e os recursos da AWS nessas contas.

Saiba mais sobre a definição de preço do AWS Shield

Acesse a página de definição de preço
Pronto para criar?
Comece a usar o AWS Shield
Mais dúvidas?
Entre em contato conosco