AWS Shield – это сервис зашиты от атак типа «распределенный отказ в обслуживании» (DDoS). Он защищает интернет-приложения, работающие на AWS. AWS Shield обеспечивает непрерывное обнаружение и автоматическую линейную нейтрализацию атак, сокращая время простоя и задержку приложений и избавляя пользователя от необходимости обращаться в службу поддержки AWS в случае DDoS-атак. AWS предлагает два уровня AWS Shield – Standard и Advanced.
Защита AWS Shield Standard предоставляется всем клиентам бесплатно. AWS Shield Standard защищает от типичных и частых DDoS-атак сетевого и транспортного уровня, нацеленных на веб-сайты и приложения.
AWS Shield Advanced обеспечивает защиту более высокого уровня от атак, нацеленных на интернет-приложения в сервисах Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53. В дополнение к защите сетевого и транспортного уровня AWS Shield Advanced обеспечивает средства обнаружения и нейтрализации сложных широкомасштабных DDoS-атак, видимость атак в режиме, близком к реальному времени, и интеграцию с брандмауэром интернет-приложений AWS WAF. AWS Shield Advanced также дает доступ к услугам подразделения AWS DDoS Response Team (DRT) и защищает от вызванных DDoS-атаками всплесков расходов на ELB, CloudFront и Route 53.
AWS Shield Advanced доступен по всему миру на всех периферийных местоположениях Amazon CloudFront и Amazon Route 53. Выполнив развертывание Amazon CloudFront перед приложением, можно защитить интернет-приложения, размещенные в любых местоположениях по всему миру. В качестве серверов источника могут использоваться Amazon S3, Amazon EC2, Elastic Load Balancing или специальный сервер вне AWS. Можно включить AWS Shield Advanced и непосредственно на балансировщиках Elastic Load Balancing в регионах Северная Вирджиния, Орегон, Ирландия и Токио.
AWS Shield Standard автоматически защищает ресурсы AWS от типичных и частых DDoS-атак сетевого и транспортного уровня. Для обеспечения более высокого уровня защиты можно с помощью Консоли управления ил API подключить AWS Shield Advanced для обеспечения безопасности Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53.
AWS Shield Advanced поддерживает пользовательские правила нейтрализации сложных атак уровня приложений. Пользовательские правила применяются мгновенно, что позволяет оперативно реагировать на последствия атак. Дополнительно можно задать правила предупреждения, которые будут автоматически блокировать вредоносный трафик. Помимо этого клиенты получают круглосуточный доступ к подразделению AWS DDoS Response Team (DRT), специалисты которого подготовят за вас правила нейтрализации DDoS-атак уровня приложений.
Каждому клиенту AWS автоматически предоставляется защита от типичных DDoS-атак сетевого уровня с помощью AWS Shield Standard. Эта защита активируется автоматически и не требует дополнительных ресурсов, финансовых или временных затрат. AWS Shield Advanced включает возможность защиты от лишних расходов в случае DDoS-атак. Благодаря этой возможности вы будете защищены от лишних расходов, вызванных ростом использования Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53 в результате DDoS-атаки.
Быстрое обнаружение
AWS Shield Standard ведет непрерывный мониторинг входящего сетевого трафика и с помощью сочетания подписей трафика, алгоритмов выявления аномалий и других аналитических приемов выявляет вредоносный трафик в режиме реального времени.
Нейтрализация линейных атак
В AWS Shield Standard встроены технологии автоматической нейтрализации атак, которые защищают от типичных и наиболее частых атак на третий и четвертый уровни инфраструктуры. Автоматическая нейтрализация применяется в линейном режиме, так что на задержку приложений она не влияет. Постоянный мониторинг и линейная нейтрализация сводят к минимуму время простоя приложений, и пользователям не приходится обращаться в службу поддержки AWS для защиты от DDoS-атак. AWS Shield Standard использует ряд технологий, таких как детерминированная фильтрация пакетов и формирование трафика на основании приоритетов, для автоматической нейтрализации атак без ущерба для приложений. Можно также обеспечить нейтрализацию DDoS-атак уровня приложений с помощью соответствующих правил сервиса AWS WAF. С AWS WAF вы платите только за то, что используете.
Расширенное обнаружение вторжений
AWS Shield Advanced позволяет добиться более высоких показателей обнаружения вторжений за счет мониторинга сетевого трафика и трафика уровня приложений, входящего в Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53. Дополнительные технологии, такие как мониторинг по типу ресурсов, позволяют AWS Shield Advanced добиться точного определения DDoS-атак. AWS Shield Advanced определяет DDoS-атаки уровня приложений, такие как HTTP-флуд и флуд DNS-запросов, за счет определения типичных характеристик входящего трафика для ресурсов пользователя и выявления аномалий.
Улучшенная нейтрализация атак
В дополнение к функциям AWS Shield Standard AWS Shield Advanced предлагает инструменты для более эффективной автоматической нейтрализации атак. В случаях особо сложных и масштабных DDoS-атак специалисты AWS DDoS Response Team (DRT) подключаются к нейтрализации атаки вручную. С помощью улучшенных технологий маршрутизации AWS Shield Advanced автоматически обеспечивает дополнительный уровень нейтрализации, что позволяет улучшенную защиту от широкомасштабных DDoS-атак. Для реагирования на инциденты, связанные с атаками уровня приложений, можно использовать AWS WAF. AWS WAF позволяет настраивать профилактические правила, такие как внесение в черный список на основании рейтинга, автоматически блокировать вредоносный трафик и мгновенно реагировать на инциденты. За использование AWS WAF на уровне приложений дополнительная плата не взимается. Специалисты DRT могут подключаться к работе по факту конкретного инцидента или с предварительной авторизацией. Специалисты DRT будут диагностировать атаки и, с разрешения пользователя, принимать меры по нейтрализации от его имени.
Видимость и оповещения об атаках
AWS Shield Advanced обеспечивает полную видимость DDoS-атак и высылает уведомления в режиме, близком к реальному времени, через Amazon CloudWatch. Совместно со специалистами DDoS Response Team (DRT) можно сможете получить доступ к аналитике и расследованию инцидента. Описания предыдущих атак доступны в консоли управления AWS WAF и AWS Shield.
Специализированная поддержка
AWS Shield Advanced включает в себя доступ к подразделению DDoS Response Team (DRT), специалисты которого готовы помочь пользователям до, во время и после DDoS-атак. Специалисты DRT помогут определить уровень и причины инцидента и устранить его последствия от имени пользователя. Кроме того, специалисты DRT смогут провести совместно с пользователем анализ по итогам атаки.
Защита от лишних расходов в случае DDoS-атак
AWS Shield Advanced включает защиту от лишних расходов в случае DDoS-атак. Благодаря этой возможности вы будете защищены от лишних расходов на резкое масштабирование в результате атаки на Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53. Если любой из этих сервисов начнет масштабироваться в ответ на DDoS-атаку, AWS предоставит соответствующую сумму кредитов на обслуживание. Подробная информация о запросе кредитов на обслуживание приведена в расширенной документации AWS WAF и AWS Shield.
Интернет-приложения на AWS уже защищены AWS Shield Standard. Активировать защиту AWS Shield Advanced можно в консоли управления AWS WAF и AWS Shield, выбрав нуждающиеся в защите ресурсы.
