O AWS Shield é um serviço gerenciado de proteção contra DDoS (negação de serviço distribuída) que protege as aplicações executadas na AWS. Ele oferece detecção dinâmica e mitigações em linha automáticas que minimizam o tempo de inatividade e a latência das aplicações, fornecendo proteção contra DDoS sem necessidade de envolver o AWS Support. O AWS Shield tem dois níveis: Standard e Advanced.

AWS Shield Standard


Todos os clientes da AWS se beneficiam gratuitamente com as proteções automáticas do AWS Shield Standard. O AWS Shield Standard protege contra os ataques DDoS mais comuns e frequentes nas camadas de rede e de transporte que visam sites ou aplicações na Web. Ao usar o AWS Shield Standard com o Amazon CloudFront e o Amazon Route 53, você recebe uma proteção abrangente de disponibilidade contra todos os ataques à infraestrutura conhecidos (camadas 3 e 4).

Proteção de DDoS de limite estático para serviços da AWS subjacentes

O AWS Shield Standard oferece um monitoramento de fluxo de rede sempre ativo que inspeciona o tráfego de entrada nos serviços da AWS e aplica uma combinação de assinaturas de tráfego, algoritmos de anomalias e outras técnicas de análise para detectar tráfego mal-intencionado em tempo real. O Shield Standard define limites estáticos para cada tipo de recurso da AWS, mas não fornece proteção personalizada para suas aplicações.

Mitigação de ataques em linha

As técnicas de mitigação automática são criadas no AWS Shield Standard, oferecendo aos serviços da AWS proteção contra ataques comuns e frequentes à infraestrutura. Como as mitigações automáticas para proteger os serviços da AWS são aplicadas em linha, elas não afetam a latência. O Shield Standard usa técnicas, como filtragem determinística de pacotes e modelagem de tráfego com base em prioridade para mitigar automaticamente ataques básicos na camada de rede.

AWS Shield Advanced

Para obter níveis mais altos de proteção contra ataques direcionados a suas aplicações executadas em recursos do Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53, você pode assinar o AWS Shield Advanced. Além das proteções nas camadas de rede e transporte fornecidas com a versão Standard, o Shield Advanced fornece detecção e mitigação adicionais contra ataques DDoS grandes e sofisticados, visibilidade de ataques quase em tempo real e integração ao AWS WAF, um firewall para aplicações Web. O Shield Advanced também oferece acesso à equipe AWS Shield Response (SRT) 24 horas, 7 dias na semana, e proteção contra picos relacionados a DDoS em suas cobranças do EC2, ELB, CloudFront, Global Accelerator e Route 53.


Detecção personalizada com base em padrões de tráfego da aplicação

O AWS Shield Advanced fornece detecção personalizada com base em padrões de tráfego para seus recursos protegidos de endereço de IP elástico e no ELB, CloudFront, Global Accelerator e Route 53. Usando técnicas adicionais de monitoramento específicas de regiões e recursos, o Shield Advanced detecta e alerta sobre ataques DDoS menores. O Shield Advanced também detecta ataques na camada de aplicações, como floods de HTTP ou floods de consultas de DNS definindo uma linha de base de tráfego para seus recursos e identificando anomalias.

Detecção com base na integridade

O AWS Shield Advanced usa a integridade de suas aplicações para aprimorar a responsividade e a precisão na detecção e mitigação de ataques. Agora você pode definir uma verificação de integridade no Route 53 e associá-la a um recurso que seja protegido pelo Shield Advanced no console ou na API. Isso permite que o Shield Advanced detecte ataques que afetam a integridade de sua aplicação mais rapidamente e em limites menores de tráfego, melhorando a resiliência da sua aplicação contra DDoS e evitando a notificação de falsos positivos. O status de integridade dos recursos também é disponibilizado à SRT para que a equipe possa priorizar adequadamente a resposta a aplicações com problemas de integridade. Você pode aplicar a detecção baseada em integridade a todos os tipos de recursos compatíveis com o Shield Advanced: IP elástico, ELB, CloudFront, Global Accelerator e Route 53.

Mitigação avançada de ataques

O AWS Shield Advanced oferece mitigações automáticas mais sofisticadas para ataques direcionados a suas aplicações executadas em recursos protegidos do EC2, ELB, CloudFront, Global Accelerator e Route 53. O Shield Advanced usa técnicas de roteamento avançadas para implantar automaticamente capacidade adicional de mitigação e proteger sua aplicação contra ataques DDoS. Para clientes com suporte Business ou Enterprise, o SRT também aplica mitigações manuais em casos de ataques DDoS mais complexos e sofisticados que podem ser exclusivos para sua aplicação. Para ataques à camada de aplicações, você pode usar o AWS WAF sem custo adicional para os recursos protegidos do Shield Advanced e configurar regras proativas, como bloqueio com base em taxa para bloquear automaticamente solicitações da Web de endereços IP de origem de ataque, ou responder imediatamente a incidentes à medida que eles ocorrerem. Você também pode interagir diretamente com o SRT para implementar regras do AWS WAF personalizadas em seu nome como resposta a um ataque DDoS à camada de aplicações. O SRT diagnosticará o ataque e, com sua permissão, aplicará mitigações em seu nome, reduzindo o tempo em que suas aplicações podem ser afetadas por um ataque DDoS em andamento.

Mitigações automáticas de DDoS na camada de aplicações

O AWS Shield Advanced pode proteger automaticamente aplicações Web mitigando eventos de DDoS na camada de aplicações (C7) sem que você ou o AWS SRT precisem fazer intervenções manuais. O Shield Advanced pode criar regras do WAF nas suas ACLs da Web para mitigar automaticamente em ataque ou pode ativá-las em modo apenas contagem. Com isso, você pode responder rapidamente a eventos de DDoS e evitar tempo de inatividade da aplicação devido a ataques DDoS na camada de aplicações.

Resposta proativa a eventos

O AWS Shield Advanced oferece o envolvimento proativo do SRT quando um evento DDoS é detectado. Quando você ativar o envolvimento proativo, o SRT entrará em contato diretamente com você quando uma verificação de integridade do Route 53 associada ao seu recurso protegido indicar um problema durante um evento DDoS. Isso permite que você interaja com especialistas mais rapidamente quando a disponibilidade da sua aplicação puder ser afetada por um possível ataque. Você pode receber envolvimento proativo para eventos de camada de rede e camada de transporte em endereços IP elásticos e aceleradores do Global Accelerator e para ataques de camada da aplicação em distribuições do CloudFront e em Application Load Balancers.

Grupos de proteção

O AWS Shield Advanced permite agrupar recursos em grupos de proteção, oferecendo ao estilo de autoatendimento uma maneira de personalizar o escopo de detecção e mitigação para sua aplicação ao tratar vários recursos como uma única unidade. O agrupamento de recursos melhora a precisão da detecção, reduz falsos positivos, facilita a proteção automática de recursos recém-criados e acelera o tempo para mitigar ataques contra vários recursos. Por exemplo, se um aplicativo é formado por quatro distribuições do CloudFront, você pode adicioná-las a um único grupo de proteção para receber detecção e proteção para a coleta de recursos como um todo. Os relatórios também podem ser consumidos no nível do grupo de proteção, proporcionando uma visão mais holística da integridade geral da aplicação.

Visibilidade e notificação de ataques

O AWS Shield Advanced proporciona visibilidade completa de ataques DDoS, com notificação praticamente em tempo real por meio do Amazon CloudWatch e diagnósticos detalhados no AWS WAF, no console do AWS Shield ou via APIs. Você pode ver um resumo de ataques anteriores no console.

Proteção contra custo de DDoS

O AWS Shield Advanced oferece proteção contra custo de DDoS, para evitar o aumento das cobranças resultante de picos de uso relacionados a DDoS em recursos protegidos do EC2, ELB, CloudFront, Global Accelerator e Route 53. Se algum desses recursos protegidos for ampliado em resposta a um ataque DDoS, você poderá solicitar créditos de serviço do Shield Advanced por meio do seu canal regular do AWS Support.

Suporte especializado

Para clientes com planos de suporte Business ou Enterprise, o AWS Shield Advanced proporciona acesso ao SRT 24 horas, 7 dias na semana. A equipe pode ser acionada antes, durante ou após um ataque DDoS. O SRT ajudará a selecionar os incidentes, identificar as causas raiz e aplicar as mitigações em seu nome. O SRT tem grande experiência em responder rapidamente e mitigar ataques DDoS em clientes AWS.

Disponibilidade global

O AWS Shield Advanced está disponível globalmente em todos os locais de borda do CloudFront, do Global Accelerator e do Route 53. Você pode proteger suas aplicações Web hospedadas em qualquer lugar do mundo implantando o CloudFront acima da aplicação. Os servidores de origem podem ser o Amazon Simple Storage Service (S3), o EC2, o ELB ou um servidor personalizado fora da AWS. Você também pode ativar proteções diretamente em instâncias de IP elástico ou do ELB em todas as regiões da AWS em que o Shield Advanced está disponível.

Gerenciamento centralizado da proteção

Os clientes do AWS Shield Advanced podem usar o AWS Firewall Manager para aplicar proteções do Shield Advanced e do AWS WAF em toda a organização. O custo do Firewall Manager está incluído na taxa de assinatura do Shield Advanced. Usando o Firewall Manager, você pode configurar automaticamente políticas que abrangem várias contas e recursos. O Firewall Manager audita contas automaticamente para encontrar recursos novos ou desprotegidos e garante que as proteções do Shield Advanced e do AWS WAF sejam aplicadas universalmente. Isso permite que os desenvolvedores se movam rapidamente e implantem novas aplicações com a certeza de que as proteções apropriadas serão aplicadas automaticamente. Para saber mais sobre esse serviço de gerenciamento de proteção, consulte AWS Firewall Manager.

Saiba mais sobre os preços do AWS Shield

Acesse a página de definição de preço
Pronto para criar?
Comece a usar o AWS Shield
Mais dúvidas?
Entre em contato conosco