Вопросы и ответы по AWS Shield
Общие вопросы
Открыть всеЧто представляет собой защита от лишних расходов в случае DDoS-атак?
AWS Shield Advanced предусматривает защиту от лишних расходов в случае DDoS-атак, благодаря чему пользователь не несет лишних расходов при чрезмерной нагрузке на защищенные ресурсы Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator и Amazon Route 53 во время DDoS-атаки. Если любой из ресурсов под защитой AWS Shield Advanced будет испытывать повышенную нагрузку в ответ на DDoS-атаку, можно обратиться в AWS Support и получить кредиты.
Можно ли использовать AWS Shield для защиты веб-сайтов, размещенных не на AWS?
Да, AWS Shield интегрирован с Amazon CloudFront, который поддерживает пользовательские источники за пределами AWS.
Можно ли использовать протокол IPv6 для работы со всеми возможностями AWS Shield?
Да. Все возможности обнаружения и нейтрализации AWS Shield работают с IPv6 и IPv4 без заметной разницы в производительности, масштабируемости и доступности сервисов.
В каких Регионах AWS доступен сервис AWS Shield расширенный?
AWS Shield Advanced доступен во всех периферийных местоположениях Amazon CloudFront, AWS Global Accelerator и Amazon Route 53 по всему миру. Выполнив развертывание Amazon CloudFront перед приложением, можно защитить интернет-приложения, размещенные в любых местоположениях по всему миру. В качестве серверов источника можно использовать Простой сервис хранения данных Amazon (S3), Amazon EC2, Эластичную балансировку нагрузки или специальный сервер вне AWS. Защиту AWS Shield расширенного можно включить непосредственно на Эластичной балансировке нагрузки или Amazon EC2 в следующих регионах AWS: Северная Вирджиния, Огайо, Орегон, Северная Калифорния, Монреаль, Сан‑Паулу, Ирландия, Франкфурт, Лондон, Париж, Стокгольм, Сингапур, Токио, Сидней, Сеул, Мумбаи, Милан, Кейптаун, Гонконг, Бахрейн, Малайзия и ОАЭ.
Актуальные сведения о доступности сервиса AWS Shield расширенного по Регионам AWS см. на странице Продукты и сервисы по регионам.
Соответствует ли сервис AWS Shield требованиям HIPAA?
Да, AWS расширила свою программу соответствия требованиям HIPAA. Теперь сервис AWS Shield соответствует требованиям HIPAA. Если вы заключили с AWS договор делового партнерства (BAA), можно использовать AWS Shield для защиты интернет-приложений, работающих на AWS, от атак типа «распределенный отказ в обслуживании» (DDoS). Подробнее см. на странице Соответствие требованиям HIPAA.
Настройка защиты
Открыть всеОт каких видов атак может защитить AWS Shield стандартный?
AWS Shield Standard автоматически защищает интернет-приложения на AWS от типичных и частых DDoS-атак инфраструктурного уровня, таких как UDP-флуд, и атак на истощение ресурсов, таких как TCP/SYN-флуд. Для защиты от атак прикладного уровня, таких как HTTP POST- и GET-флуд, можно использовать сервис AWS WAF. Подробнее о развертывании защиты прикладного уровня см. в руководстве для разработчиков по AWS WAF и AWS Shield расширенного.
Сколько ресурсов можно подключить к защите AWS Shield расширенного?
К защите AWS Shield Advanced можно подключить до 1000 ресурсов AWS для каждого поддерживаемого типа ресурсов (балансировщиков Classic / Application Load Balancer, баз раздачи Amazon CloudFront, зон хостинга Amazon Route 53, эластичных IP‑адресов, акселераторов AWS Global Accelerator). Чтобы подключить более 1000 ресурсов к защите AWS Shield расширенного, направьте запрос на повышение лимита в Поддержку AWS.
Можно ли активировать защиту AWS Shield расширенного через API?
Да. Защиту AWS Shield Advanced можно активировать через API. С помощью API также можно подключать ресурсы AWS к AWS Shield Advanced и отключать их.
Как быстро нейтрализуются атаки?
99 % обнаруживаемых AWS Shield атак инфраструктурного уровня нейтрализуются менее чем за секунду для Amazon CloudFront и Amazon Route 53 и менее чем за 5 минут для Elastic Load Balancing. Оставшийся 1 % атак инфраструктурного уровня обыкновенно нейтрализуется менее чем за 20 минут. Атаки прикладного уровня нейтрализуются с помощью правил AWS WAF за счет обнаружения и нейтрализации по ходу обработки входящего трафика в реальном времени.
Можно ли защищать ресурсы за пределами AWS?
Да, некоторые клиенты используют адреса AWS для своих серверных инстансов. Чаще всего это адреса глобальных распределенных сервисов CloudFront и Route 53. Эти сервисы также рекомендуются для обеспечения устойчивости к DDoS‑атакам. Клиенты могут обеспечивать защиту дистрибутивов CloudFront и зон хостинга Route 53 с помощью Shield Advanced. Обратите внимание: серверные ресурсы необходимо настроить таким образом, чтобы они принимали трафик только с адресов AWS.
Реагирование на атаки
Открыть всеКакие инструменты нейтрализации DDoS-атак предлагает сервис AWS Shield расширенный?
AWS Shield Advanced отвечает за нейтрализацию DDoS-атак 3 и 4 уровней. Следовательно, выбранные приложения будут защищены от таких атак, как UDP‑флуд и TCP / SYN‑флуд. Кроме этого, на уровне приложения (уровень 7) AWS Shield Advanced предусматривает обнаружение таких атак, как HTTP‑флуд и DNS‑флуд. Можно применить собственные средства нейтрализации посредством AWS WAF или, если оформлен план поддержки «Для бизнеса» или «Корпоративный», воспользоваться круглосуточной помощью специалистов группы AWS Shield Response Team (SRT), которые от вашего имени подготовят правила для нейтрализации DDoS‑атак на седьмом уровне.
Нужно ли оформлять особый план поддержки, чтобы обращаться в группу AWS Shield Response Team?
Да, чтобы передать обращение в группу AWS Shield Response Team (SRT) или воспользоваться ее помощью, нужно оформить план поддержки «Для бизнеса» или «Корпоративный». Подробную информацию об уровнях поддержки см. на странице Поддержка AWS.
Как обратиться в сервис AWS Shield Response Team?
Обратиться в сервис AWS Shield Response Team (SRT) можно через стандартные каналы поддержки AWS или через Поддержку AWS.
Как быстро мне ответят специалисты из сервиса AWS Shield Response Team (SRT)?
Время ответа SRT зависит от уровня поддержки AWS Support. Мы сделаем все возможное, чтобы ответить на исходный запрос пользователя в надлежащие сроки. Подробную информацию об уровнях поддержки см. на странице Поддержка AWS.
Наглядность и отчетность
Открыть всеУведомляет ли AWS Shield об атаках?
Да. Клиенты с AWS Shield Advanced получают оповещения о DDoS-атаках через метрики CloudWatch.
Как быстро приходит оповещение об атаках?
Обычно оповещения AWS Shield Advanced рассылаются в течение нескольких минут после обнаружения атаки.
Можно ли получить доступ к истории всех DDoS-атак моих ресурсов AWS?
Да. Клиенты с AWS Shield Advanced получают доступ к истории инцидентов на протяжении последних 13 месяцев.
Можно ли видеть атаки по всей AWS?
Да. Пользователи AWS Shield Advanced имеют доступ к глобальной панели состояния угроз. На этой панели анонимно представлены образцы всех DDoS-атак, которые наблюдались в AWS в течение последних двух недель.
Как проверить, работают ли мои правила AWS WAF?
В AWS WAF предусмотрено два разных способа контролировать защиту веб‑сайта: поминутные метрики доступны в CloudWatch, а образцы сетевых запросов доступны в API AWS WAF или через консоль управления AWS. Кроме этого, можно активировать глобальные журналы, которые будут доставлены куда вам нужно через Amazon Kinesis Firehose. Они позволяют увидеть, какие запросы были заблокированы, пропущены или подсчитаны и какое правило сработало на конкретный запрос (например, что данный запрос был заблокирован по IP‑адресу и т. п.). Дополнительную информацию об этом см. в руководстве для разработчиков по сервисам AWS WAF и AWS Shield расширенный.
Я хочу провести тестирование на уязвимость для оценки сервиса и своего приложения. Какая процедура для этого рекомендуется?
См. страницу Проверка уязвимостей в AWS. Однако сюда не относится нагрузочное тестирование на DDoS, которое запрещено на AWS. Если вам требуется тестирование на DDoS в режиме реального времени, вы можете подать на него заявку в AWS Support. Для утверждения заявки требуется заключение соглашения об условиях тестирования между AWS, клиентом и поставщиком теста на DDoS. Обратите внимание: мы работаем только с проверенными поставщиками тестов на DDoS. Процедура утверждения заявки занимает 3–4 недели.
Оплата
Открыть всеКак оплачивается использование сервиса AWS Shield стандартного?
AWS Shield Standard встроен в сервисы AWS, которые используются интернет-приложениями. Дополнительная плата за использование AWS Shield Standard не взимается.
Как оплачивается пользование сервиса AWS Shield расширенного?
Ежемесячная стоимость AWS Shield Advanced составляет 3000 USD для каждой организации. Кроме того, оплате подлежит передача данных через подключенные к AWS Shield Advanced ресурсы AWS. Стоимость AWS Shield Advanced прибавляется к стандартной стоимости Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator и Amazon Route 53. Дополнительную информацию см. на странице цен на AWS Shield.
Можно ли выбрать для защиты с помощью сервиса AWS Shield расширенного лишь некоторые ресурсы?
Да. AWS Shield Advanced — гибкий инструмент. Он позволяет выбирать ресурсы, для которых необходима защита. Для этих ресурсов будет взиматься только плата за передачу данных AWS Shield Advanced.
Как включить сервис AWS Shield расширенный для нескольких аккаунтов AWS?
При наличии у организации нескольких аккаунтов AWS можно подключить их к AWS Shield Advanced, отдельно активировав этот сервис для каждого аккаунта с помощью консоли управления AWS или API. Ежемесячная плата будет взиматься только один раз при условии, что все аккаунты AWS входят в одну группу консолидированной оплаты и все эти аккаунты AWS и ресурсы аккаунтов принадлежат одному пользователю или одной организации.