AWS Shield
Облако AWS

AWS Shield – это управляемый сервис защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Он защищает приложения, работающие на AWS. AWS Shield обеспечивает непрерывное обнаружение и автоматическую линейную нейтрализацию атак, сокращая время простоя и задержку приложений и избавляя пользователя от необходимости обращаться в службу поддержки AWS в случае DDoS-атак. AWS предлагает два уровня AWS Shield – Standard и Advanced.

Защита AWS Shield Standard предоставляется всем клиентам бесплатно. AWS Shield Standard защищает от типичных и частых DDoS-атак сетевого и транспортного уровня, нацеленных на веб-сайты и приложения. При использовании AWS Shield Standard совместно с Amazon CloudFront и Amazon Route 53 обеспечивается комплексная защита от всех известных инфраструктурных атак (уровень 3 и 4).

Можно оформить подписку на AWS Shield Advanced и обеспечить защиту более высокого уровня от атак, нацеленных на приложения в сервисах Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53. В дополнение к защите сетевого и транспортного уровня AWS Shield Advanced обеспечивает средства обнаружения и нейтрализации сложных широкомасштабных DDoS-атак, видимость атак в режиме, близком к реальному времени, и интеграцию с брандмауэром интернет-приложений AWS WAF. AWS Shield Advanced также предоставляет доступ к услугам подразделения AWS DDoS Response Team (DRT) и защищает от вызванных DDoS-атаками всплесков расходов на Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53.

AWS Shield Advanced доступен по всему миру на всех периферийных местоположениях Amazon CloudFront и Amazon Route 53. Выполнив развертывание Amazon CloudFront перед приложением, можно защитить интернет-приложения, размещенные в любых местоположениях по всему миру. В качестве серверов источника могут использоваться Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) или настроенный сервер за пределами AWS. Защиту AWS Shield Advanced можно включить непосредственно на эластичном IP-адресе или балансировщике Elastic Load Balancing (ELB) в следующих регионах AWS: Северная Вирджиния, Орегон, Ирландия, Токио и Северная Калифорния.

100x100_benefit_ingergration

AWS Shield Standard автоматически защищает ресурсы AWS от типичных и частых DDoS-атак сетевого и транспортного уровня. Для обеспечения более высокого уровня безопасности можно с помощью консоли управления или API включить защиту AWS Shield Advanced для эластичного IP-адреса, балансировщика Elastic Load Balancing (ELB), а также определенных ресурсов Amazon CloudFront и Amazon Route 53.

100x100_benefit_customize

AWS Shield Advanced поддерживает пользовательские правила нейтрализации сложных атак уровня приложений. Пользовательские правила применяются мгновенно, что позволяет оперативно реагировать на последствия атак. В дополнение можно заранее задать правила, которые будут автоматически блокировать вредоносный трафик или обеспечивать автоматическое реагирование на инциденты. Помимо этого клиенты получают круглосуточный доступ к подразделению AWS DDoS Response Team (DRT), специалисты которого могут подготовить за вас правила нейтрализации DDoS-атак на уровне приложений.

100x100_benefit_lowcost-affordable

Каждому клиенту AWS автоматически предоставляется защита от большинства типичных DDoS-атак сетевого уровня с помощью AWS Shield Standard. Эта защита активируется автоматически и не требует дополнительных ресурсов, финансовых или временных затрат. AWS Shield Advanced включает защиту от лишних расходов в случае DDoS-атак, т. е. от расходов, вызванных всплесками нагрузки на сервисы EC2, Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53 в результате DDoS-атаки.

Быстрое обнаружение

AWS Shield Standard ведет непрерывный мониторинг входящего сетевого трафика и с помощью одновременной оценки подписей трафика, применения алгоритмов выявления аномалий и других аналитических приемов обнаруживает вредоносный трафик в режиме реального времени

Линейная нейтрализация атак

В AWS Shield Standard встроены технологии автоматической нейтрализации атак, которые защищают от типичных и наиболее частых атак инфраструктурного уровня. Автоматическая нейтрализация применяется в линейном режиме, так что на задержку приложений она не влияет. AWS Shield Standard использует ряд технологий, таких как детерминированная фильтрация пакетов и формирование трафика на основании приоритетов, для автоматической нейтрализации атак без ущерба для приложений. Можно также обеспечить нейтрализацию DDoS-атак уровня приложений с помощью соответствующих правил сервиса AWS WAF. С AWS WAF вы платите только за то, что используете.

Постоянный мониторинг и линейная нейтрализация сводят к минимуму время простоя приложений, и клиентам не приходится обращаться в службу поддержки AWS для защиты от DDoS-атак


Расширенное обнаружение вторжений

AWS Shield Advanced предоставляет круглосуточный доступ к подразделению DDoS AWS Response Team (DRT), специалисты которого готовы помочь клиентам до обнаружения DDoS-атак, в процессе таковых и после их завершения. Специалисты DRT помогут определить уровень и причины инцидента и устранить его последствия от имени пользователя. Кроме того, специалисты DRT смогут провести совместно с пользователем анализ по итогам атаки.

Улучшенная нейтрализация атак

AWS Shield Advanced предлагает инструменты для более эффективной автоматической нейтрализации атак. С помощью улучшенных технологий маршрутизации AWS Shield Advanced автоматически предлагает дополнительный уровень нейтрализации, что обеспечивает расширенную защиту от широкомасштабных DDoS-атак. В случаях особо сложных и масштабных DDoS-атак специалисты AWS DDoS Response Team (DRT) подключаются к нейтрализации атаки вручную. Для реагирования на инциденты, связанные с атаками уровня приложений, можно использовать AWS WAF. AWS WAF позволяет настраивать профилактические правила, такие как внесение в черный список на основании рейтинга, автоматически блокировать вредоносный трафик и мгновенно реагировать на инциденты. За использование AWS WAF на уровне приложений дополнительная плата не взимается. Клиент может связаться со специалистами DRT напрямую и попросить применить правила AWS WAF от своего имени для реагирования на DDoS-атаки уровня приложений. Специалисты DRT будут диагностировать атаки и, с разрешения пользователя, принимать меры по нейтрализации от его имени.

Наглядное представление и оповещения об атаках

AWS Shield Advanced обеспечивает полное наглядное представление DDoS-атак с помощью уведомлений, которые отправляются через Amazon CloudWatch в режиме, близком к реальному времени, и подробных диагностических сведений, доступных в консоли управления AWS WAF и AWS Shield. Совместно со специалистами DDoS Response Team (DRT) можно сможете получить доступ к аналитике и расследованию инцидента. Описания предыдущих атак также доступны в консоли управления AWS WAF и AWS Shield.

Специализированная поддержка

AWS Shield Advanced позволяет добиться более высоких показателей обнаружения вторжений за счет мониторинга сетевого трафика и входящего трафика уровня приложений для эластичных IP-адресов, балансировщиков Elastic Load Balancing (ELB), а также ресурсов Amazon CloudFront и Amazon Route 53. Дополнительные технологии, такие как мониторинг по типу ресурсов, позволяют AWS Shield Advanced добиться точного определения DDoS-атак. AWS Shield Advanced определяет DDoS-атаки уровня приложений, такие как HTTP-флуд и флуд DNS-запросов, за счет определения типичных характеристик входящего трафика для ресурсов пользователя и выявления аномалий.

Защита от лишних расходов в случае DDoS-атак

AWS Shield Advanced включает защиту от лишних расходов в случае DDoS-атак, т. е. от расходов, вызванных всплесками нагрузки на сервисы Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53 в результате DDoS-атаки. Если любой из этих сервисов начнет масштабироваться в ответ на DDoS-атаку, AWS предоставит сервису AWS Shield соответствующую сумму кредитов на обслуживание. Подробная информация о запросе кредитов на использование сервисов приведена в расширенной документации AWS WAF и AWS Shield.

DNS

Использование Amazon Route 53

AWS Shield Standard автоматически защищает зоны хостинга Amazon Route 53 от DDoS-атак инфраструктурного уровня без дополнительных расходов. В число таких атак входят атаки отражения или SYN-флуд, нацеленный на DNS-серверы. AWS Shield Standard автоматически использует различные методики, например проверку заголовков и формирование трафика на основании приоритетов, для автоматического подавления подобных DDoS-атак.

Кроме того, AWS Shield Advanced предлагает дополнительную защиту в экстремальных сценариях, когда необходимо обеспечить ручное вмешательство с круглосуточным доступом к подразделению AWS DDoS Response Team. Кроме того, AWS Shield Advanced также обеспечивает наглядное представление атак, направленных на инфраструктуру Route 53.

Подробнее о том, как снизить риск DDoS-атак с помощью Amazon Route 53 и AWS Shield.


Интернет-приложения и API
Использование Amazon CloudFront или Application Load Balancer

При использовании Amazon CloudFront сервис AWS Shield Standard обеспечивает автоматическую комплексную защиту от атак уровня инфраструктуры, таких как SYN-флуд, UDP-флуд и другие атаки отражения. Сервис AWS Shield Standard защищает приложения с помощью систем постоянного обнаружения и нейтрализации атак, которые обеспечивают автоматическую блокировку вредоносного трафика на уровнях 3 и 4. AWS Shield Standard автоматически нейтрализует более 99 % обнаруженных атак уровня инфраструктуры, направленных на Amazon CloudFront, менее чем за 1 секунду.

Узнайте, как использовать Amazon CloudFront для защиты динамических приложений от DDoS-атак.

Узнайте, как Slack использует Amazon CloudFront для защиты от DDoS-атак.

Докладчик
Алекс Грэхем, старший операционный инженер, Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

Для дополнительной защиты от сложных широкомасштабных DDoS-атак можно использовать в Amazon CloudFront сервис AWS Shield Advanced. AWS Shield Advanced предоставляет клиентам круглосуточный доступ к подразделению AWS DDoS Response Team (DRT), специалисты которого обеспечивают предупреждающую нейтрализацию любых сложных атак уровня инфраструктуры (уровней 3 и 4) с помощью таких дополнительных методов, как управление потоком трафика. Помимо этого, AWS Shield Advanced обеспечивает защиту от атак уровня приложений, таких как HTTP-флуд. Встроенная в AWS Shield Advanced система обнаружения атак ведет постоянный мониторинг трафика для выявления аномалий, основываясь на информации о трафике приложения при стабильной нагрузке. В рамках AWS Shield Advanced бесплатно доступен сервис AWS WAF для настройки любых мер нейтрализации атак уровня приложений.


Другие приложения (например, на основе UDP)
Использование эластичных IP-адресов

Для прочих настраиваемых приложений, не основанных на TCP (например, UDP-, SIP-приложений и других), использовать Amazon CloudFront или Elastic Load Balancing нельзя. Зачастую подобные приложения приходится запускать непосредственно на инстансах Amazon EC2 с выходом в Интернет. Сервис AWS Shield Standard обеспечивает защиту инстансов Amazon EC2 от распространенных DDoS-атак уровня инфраструктуры (уровней 3 и 4), таких как атаки c отражением UDP-пакетов, с отражением DNS, NTP, SSDP и т. д. Сервис AWS Shield Standard автоматически задействует различные методики, такие как формирование трафика на основании приоритетов, при обнаружении четких признаков DDoS-атаки.

Кроме того, можно обеспечить продвинутую защиту подобных приложений от сложных широкомасштабных DDoS-атак с помощью сервиса AWS Shield Advanced для эластичных IP-адресов. Сервис AWS Shield Advanced, обладающий расширенными возможностями обнаружения DDoS-атак, автоматически определяет тип ресурса AWS и размер инстанса EC2 для применения соответствующих готовых мер нейтрализации атак. В дополнение к этому сервис AWS Shield Advanced позволяет клиентам создавать собственные настраиваемые профили нейтрализации атак, привлекая к этому специалистов подразделения AWS DDoS Response Team (DRT), которое работает круглосуточно. Кроме того, во время DDoS-атаки сервис AWS Shield Advanced автоматически применяет все сетевые списки контроля доступа (ACL) Amazon VPC на границе сети AWS. Это предоставляет дополнительную пропускную способность и ресурсы для очистки трафика в целях нейтрализации крупномасштабных DDoS-атак. AWS Shield Advanced обеспечивает дополнительную защиту от таких DDoS-атак, как SYN-флуд, а также от других векторов атаки, например от UDP-флуда.

Узнайте больше о присоединении эластичных IP-адресов к инстансам Amazon EC2.

Интернет-приложения на AWS уже защищены AWS Shield Standard. Активировать защиту AWS Shield Advanced можно в консоли управления AWS WAF и AWS Shield, выбрав нуждающиеся в защите ресурсы.

Начните работу с AWS Shield уже сегодня