AWS Shield

Управляемая защита от DDoS-атак

AWS Shield – это управляемый сервис защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Он защищает приложения, работающие на AWS. AWS Shield обеспечивает непрерывное обнаружение и автоматическую линейную нейтрализацию атак, сокращая время простоя и задержку приложений и избавляя пользователя от необходимости обращаться в службу поддержки AWS в случае DDoS-атак. AWS предлагает два уровня AWS Shield – Standard и Advanced.

Защита AWS Shield Standard предоставляется всем клиентам бесплатно. AWS Shield Standard защищает от типичных и частых DDoS-атак сетевого и транспортного уровня, нацеленных на веб-сайты и приложения. При использовании AWS Shield Standard совместно с Amazon CloudFront и Amazon Route 53 обеспечивается комплексная защита от всех известных инфраструктурных атак (уровень 3 и 4).

Можно оформить подписку на AWS Shield Advanced и обеспечить защиту более высокого уровня от атак, нацеленных на приложения в сервисах Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53. В дополнение к защите сетевого и транспортного уровня AWS Shield Advanced обеспечивает средства обнаружения и нейтрализации сложных широкомасштабных DDoS-атак, видимость атак в режиме, близком к реальному времени, и интеграцию с брандмауэром интернет-приложений AWS WAF. AWS Shield Advanced также предоставляет круглосуточный доступ к услугам подразделения AWS DDoS Response Team (DRT) и защищает от вызванных DDoS-атаками всплесков расходов на Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53.

AWS Shield Advanced доступен по всему миру на всех периферийных местоположениях Amazon CloudFront и Amazon Route 53. Выполнив развертывание Amazon CloudFront перед приложением, можно защитить интернет-приложения, размещенные в любых местоположениях по всему миру. В качестве серверов источника могут использоваться Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) или настроенный сервер за пределами AWS. Защиту AWS Shield Advanced можно включить непосредственно на эластичном IP-адресе или балансировщике Elastic Load Balancing (ELB) в следующих регионах AWS: Северная Вирджиния, Орегон, Ирландия, Токио и Северная Калифорния.

Преимущества

Эффективная интеграция и развертывание

AWS Shield Standard автоматически защищает ресурсы AWS от типичных и частых DDoS-атак сетевого и транспортного уровня. Для обеспечения более высокого уровня безопасности можно с помощью консоли управления или API включить защиту AWS Shield Advanced для эластичного IP-адреса, балансировщика Elastic Load Balancing (ELB), а также определенных ресурсов Amazon CloudFront и Amazon Route 53.

Настраиваемая защита

AWS Shield Advanced поддерживает пользовательские правила нейтрализации сложных атак уровня приложений. Пользовательские правила применяются мгновенно, что позволяет оперативно реагировать на последствия атак. В дополнение можно заранее задать правила, которые будут автоматически блокировать вредоносный трафик или обеспечивать автоматическое реагирование на инциденты. Помимо этого клиенты получают круглосуточный доступ к подразделению AWS DDoS Response Team (DRT), специалисты которого могут подготовить за вас правила нейтрализации DDoS-атак на уровне приложений.

Экономичность

Каждому клиенту AWS автоматически предоставляется защита от большинства типичных DDoS-атак сетевого уровня с помощью AWS Shield Standard. Эта защита активируется автоматически и не требует дополнительных ресурсов, финансовых или временных затрат. AWS Shield Advanced включает защиту от лишних расходов в случае DDoS-атак, т. е. от расходов, вызванных всплесками нагрузки на сервисы EC2, Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53 в результате DDoS-атаки.

Примеры использования для защиты

Интернет-приложения и API

При использовании Amazon CloudFront сервис AWS Shield Standard обеспечивает автоматическую комплексную защиту от атак уровня инфраструктуры, таких как SYN-флуд, UDP-флуд и другие атаки отражения. Сервис AWS Shield Standard защищает приложения с помощью систем постоянного обнаружения и нейтрализации атак, которые обеспечивают автоматическую блокировку вредоносного трафика на уровнях 3 и 4. AWS Shield Standard автоматически нейтрализует более 99 % обнаруженных атак уровня инфраструктуры, направленных на Amazon CloudFront, менее чем за 1 секунду.

Узнайте, как использовать Amazon CloudFront для защиты динамических приложений от DDoS-атак.

Узнайте, как Slack использует Amazon CloudFront для защиты от DDoS-атак.

Для дополнительной защиты от сложных широкомасштабных DDoS-атак можно использовать в Amazon CloudFront сервис AWS Shield Advanced. AWS Shield Advanced предоставляет клиентам круглосуточный доступ к подразделению AWS DDoS Response Team (DRT), специалисты которого обеспечивают предупреждающую нейтрализацию любых сложных атак уровня инфраструктуры (уровней 3 и 4) с помощью таких дополнительных методов, как управление потоком трафика. Помимо этого, AWS Shield Advanced обеспечивает защиту от атак уровня приложений, таких как HTTP-флуд. Встроенная в AWS Shield Advanced система обнаружения атак ведет постоянный мониторинг трафика для выявления аномалий, основываясь на информации о трафике приложения при стабильной нагрузке. В рамках AWS Shield Advanced бесплатно доступен сервис AWS WAF для настройки любых мер нейтрализации атак уровня приложений.

Slack – безопасное ускорение API

Докладчик
Алекс Грэм, старший операционный инженер, Slack Technologies, Inc.

200x100_Slack_Logo

DNS

AWS Shield Standard автоматически защищает зоны хостинга Amazon Route 53 от DDoS-атак инфраструктурного уровня без дополнительных расходов. В число таких атак входят атаки отражения или SYN-флуд, нацеленный на DNS-серверы. AWS Shield Standard автоматически использует различные методики, например проверку заголовков и формирование трафика на основании приоритетов, для автоматического подавления подобных DDoS-атак.

Кроме того, AWS Shield Advanced предлагает дополнительную защиту в экстремальных сценариях, когда необходимо обеспечить ручное вмешательство с круглосуточным доступом к подразделению AWS DDoS Response Team. Кроме того, AWS Shield Advanced также обеспечивает наглядное представление атак, направленных на инфраструктуру Route 53.

Подробнее о том, как снизить риск DDoS-атак с помощью Amazon Route 53 и AWS Shield.

Другие приложения (например, на основе UDP)

Для прочих настраиваемых приложений, не основанных на TCP (например, UDP-, SIP-приложений и других), использовать Amazon CloudFront или Elastic Load Balancing нельзя. Зачастую подобные приложения приходится запускать непосредственно на инстансах Amazon EC2 с выходом в Интернет. Сервис AWS Shield Standard обеспечивает защиту инстансов Amazon EC2 от распространенных DDoS-атак уровня инфраструктуры (уровней 3 и 4), таких как атаки c отражением UDP-пакетов, с отражением DNS, NTP, SSDP и т. д. Сервис AWS Shield Standard автоматически задействует различные методики, такие как формирование трафика на основании приоритетов, при обнаружении четких признаков DDoS-атаки.

Кроме того, можно обеспечить продвинутую защиту подобных приложений от сложных широкомасштабных DDoS-атак с помощью сервиса AWS Shield Advanced для эластичных IP-адресов. Сервис AWS Shield Advanced, обладающий расширенными возможностями обнаружения DDoS-атак, автоматически определяет тип ресурса AWS и размер инстанса EC2 для применения соответствующих готовых мер нейтрализации атак. В дополнение к этому сервис AWS Shield Advanced позволяет клиентам создавать собственные настраиваемые профили нейтрализации атак, привлекая к этому специалистов подразделения AWS DDoS Response Team (DRT), которое работает круглосуточно. Кроме того, во время DDoS-атаки сервис AWS Shield Advanced автоматически применяет все сетевые списки контроля доступа (ACL) Amazon VPC на границе сети AWS. Это предоставляет дополнительную пропускную способность и ресурсы для очистки трафика в целях нейтрализации крупномасштабных DDoS-атак. AWS Shield Advanced обеспечивает дополнительную защиту от таких DDoS-атак, как SYN-флуд, а также от других векторов атаки, например от UDP-флуда.

Подробнее о присоединении эластичных IP-адресов к инстансам Amazon EC2.

Начать работу с AWS

icon1

Зарегистрируйте аккаунт AWS

Получите мгновенный доступ к уровню бесплатного пользования AWS.
icon2

Обучение с помощью 10-минутных учебных пособий

Знакомьтесь с сервисами и учитесь с помощью простых учебных пособий.
icon3

Начните разработку с AWS

Начните создавать проекты на AWS с помощью пошаговых руководств.
Готовы приступить к разработке?
Начните работу с AWS Shield уже сегодня
Возникли дополнительные вопросы?
Свяжитесь с нами