Начните работать с AWS бесплатно

Создать бесплатный аккаунт

Получите доступ к бесплатному пакету уровень бесплатного пользования AWS в течение двенадцати месяцев и используйте возможности базовой поддержки AWS Basic Support, в том числе круглосуточный доступ к сервису поддержки клиентов, форумы поддержки и многое другое.

Вопрос: Что такое AWS Shield?

AWS Shield – это сервис защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Сервис защищает интернет-приложения, работающие на AWS. AWS Shield Standard доступен всем клиентам AWS бесплатно. AWS Shield Advanced – дополнительный платный сервис, доступный клиентам с уровнями поддержки AWS Support «Корпоративный» и «Для бизнеса». AWS Shield Advanced предлагает защиту более высокого уровня от масштабных и сложных атак, нацеленных на интернет-приложения на базе сервисов Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53.

Вопрос: Что такое AWS Shield Standard?

AWS Shield Standard защищает всех клиентов AWS от типичных и частых атак на третий и четвертый уровни инфраструктуры, включая SYN/UDP-флуд, атаки отражения и прочие, что помогает обеспечить высокую доступность клиентских приложений на AWS.

Вопрос: Что такое AWS Shield Advanced?

AWS Shield Advanced предлагает защиту более высокого уровня от масштабных и сложных атак, нацеленных на интернет-приложения на базе сервисов Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53. Сервис AWS Shield Advanced доступен клиентам с уровнями поддержки AWS Support «Корпоративный» и «Для бизнеса». AWS Shield Advanced ведет непрерывный мониторинг трафика и активных приложений и уведомляет о DDoS-атаках в режиме, близком к реальному времени. AWS Shield Advanced также предоставляет клиенту гибкие инструменты для моментального принятия решений по устранению последствий атаки. При этом клиент всегда может обратиться в круглосуточную службу DDoS Response Team (DRT), которая поможет нейтрализовать и устранить последствия DDoS-атаки на уровне приложения. Функция защиты от лишних расходов в случае DDoS-атак сервиса AWS Shield Advanced защищает пользователя от лишних расходов, вызванных ростом использования Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53 в результате DDoS-атаки.

Вопрос: Что представляет собой защита от лишних расходов в случае DDoS-атак?

AWS Shield Advanced включает защиту от лишних расходов в случае DDoS-атак, благодаря которой пользователь не несет лишних расходов, вызванных ростом использования Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53 в результате DDoS-атаки. Если любой из этих сервисов начнет масштабироваться в ответ на DDoS-атаку, можно обратиться в службу поддержки AWS и получить соответствующую сумму кредитов на обслуживание.

Вопрос: Можно ли использовать AWS Shield для защиты веб-сайтов, размещенных не на AWS?

Да, AWS Shield интегрирован с Amazon CloudFront, который поддерживает пользовательские источники за пределами AWS.

Вопрос: Можно ли использовать протокол IPv6 для работы со всеми возможностями AWS Shield?

Да. Все возможности обнаружения и нейтрализации AWS Shield работают с IPv6 и IPv4 без заметной разницы в производительности, масштабируемости и доступности сервисов.

Вопрос: Есть ли стартовые требования для активации AWS Shield Advanced?

Да. AWS Shield Advanced можно активировать только на аккаунтах с уровнями поддержки AWS Support «Корпоративный» и «Для бизнеса». Более подробную информацию об уровнях поддержки см. на странице AWS Support.

Вопрос: Как протестировать AWS Shield?

Приемлемая политика использования AWS содержит описание разрешенных и запрещенных видов поведения в сервисах AWS, а также примеры нарушений защиты и угроз сетевой безопасности. Однако процесс проверки уязвимостей и моделирование других событий зачастую неотличимы от подобных действий, и мы создали политику получения разрешений на проведение такого рода тестирования и сканирования на наличие уязвимостей с выполнением входящих и исходящих действий, связанных со средой AWS. Запросить разрешение можно на странице тестирования на проникновение.

Вопрос: В каких регионах доступен сервис AWS Shield Standard?

AWS Shield Standard доступен на всех сервисах AWS во всех регионах AWS и во всех периферийных местоположениях по всему миру.

Дополнительные сведения о доступности сервиса AWS Shield Standard по регионам см. на странице Продукты и сервисы по регионам.

Вопрос: В каких регионах доступен сервис AWS Shield Advanced?

AWS Shield Advanced доступен на всех периферийных местоположениях Amazon CloudFront и Amazon Route 53 по всему миру. Выполнив развертывание Amazon CloudFront перед приложением, можно защитить интернет-приложения, размещенные в любых местоположениях по всему миру. В качестве серверов источника могут использоваться Amazon S3, Amazon EC2, Elastic Load Balancing или специальный сервер вне AWS. Можно включить AWS Shield Advanced и непосредственно на балансировщиках Elastic Load Balancing в регионах AWS Северная Вирджиния, Северная Калифорния, Орегон, Ирландия и Токио.

Дополнительные сведения о доступности сервиса AWS Shield Advanced по регионам см. на странице Продукты и сервисы по регионам.

Вопрос: Соответствует ли сервис AWS Shield требованиям HIPAA?

Да, AWS расширила свою программу соответствия требованиям HIPAA. Теперь сервис AWS Shield соответствует требованиям HIPAA. Если вы заключили с AWS договор делового партнерства (BAA), можно использовать AWS Shield для защиты интернет-приложений, работающих на AWS, от атак типа «распределенный отказ в обслуживании» (DDoS). Подробнее см. на странице Соответствие требованиям HIPAA.


Вопрос: От каких видов атак защищает AWS Shield?

AWS Shield защищает веб-сайты пользователей от всех типов DDoS-атак, включая атаки инфраструктурного уровня (например, UDP-флуд), атаки на истощение ресурсов (TCP/SYN-флуд) и атаки прикладного уровня (HTTP GET- и POST-флуд). Примеры см. в руководстве для разработчиков по AWS WAF и AWS Shield Advanced.

Вопрос: От каких видов атак может защитить AWS Shield Standard?

AWS Shield Standard автоматически защищает интернет-приложения на AWS от типичных и частых DDoS-атак инфраструктурного уровня, таких как UDP-флуд, и атак на истощение ресурсов, таких как TCP/SYN-флуд. Для защиты от атак прикладного уровня, таких как HTTP POST- и GET-флуд, можно использовать сервис AWS WAF. Подробнее о развертывании защиты прикладного уровня см. в руководстве для разработчиков по AWS WAF и AWS Shield Advanced.

Вопрос: Сколько ресурсов можно подключить к защите AWS Shield Standard?

Количество ресурсов, подключаемых к защите AWS Shield Standard, неограниченно. Чтобы извлечь максимум пользы из защиты AWS Shield Standard, следуйте рекомендациям по защите от DDoS-атак на AWS.

Вопрос: Сколько ресурсов можно подключить к защите AWS Shield Advanced?

К защите AWS Shield Advanced можно подключить до 100 ресурсов AWS, включая балансировщики нагрузок, базы раздачи Amazon CloudFront и наборы делегирования Amazon Route 53. Чтобы подключить более 100 ресурсов к защите AWS Shield Advanced, направьте запрос на повышение лимита в службу поддержки AWS Support.

Вопрос: Можно ли активировать защиту AWS Shield Advanced через API?

Да. Защиту AWS Shield Advanced можно активировать через API. С помощью API также можно подключать ресурсы AWS к AWS Shield Advanced и отключать их.

Вопрос: Как быстро нейтрализуются атаки?

99 % обнаруживаемых AWS Shield атак инфраструктурного уровня нейтрализуются менее чем за секунду для Amazon CloudFront и Amazon Route 53 и менее чем за 5 минут для Elastic Load Balancing. Оставшийся 1 % атак инфраструктурного уровня обыкновенно нейтрализуется менее чем за 20 минут. Атаки прикладного уровня нейтрализуются с помощью правил AWS WAF за счет обнаружения и нейтрализации по ходу обработки входящего трафика в реальном времени.


Вопрос: Какие инструменты нейтрализации DDoS-атак предлагает AWS Shield Standard?

AWS Shield Standard автоматически защищает интернет-приложения на AWS от стандартных и частых DDoS-атак. Чтобы использовать все преимущества защиты AWS Shield Standard, следуйте рекомендациям по защите от DDoS-атак на AWS.

Вопрос: Какие инструменты нейтрализации DDoS-атак предлагает AWS Shield Advanced?

AWS Shield Advanced отвечает за нейтрализацию DDoS-атак 3 и 4 уровней. Таким образом, выбранные интернет-приложения будут защищены от таких атак, как UDP-флуд и TCP/SYN-флуд. Для защиты от атак прикладного (седьмого) уровня можно применить собственные средства нейтрализации посредством AWS WAF или воспользоваться помощью круглосуточной службы AWS DDoS Response Team (DRT), специалисты которой подготовят правила для нейтрализации DDoS-атак седьмого уровня за вас.

Вопрос: Как обратиться в службу AWS DDoS Response Team?

Обратиться в службу AWS DDoS Response Team (DRT) можно через стандартные каналы поддержки AWS или через AWS Support.

Вопрос: Как быстро мне ответят специалисты из службы AWS DDoS Response Team?

Время ответа DRT зависит от уровня поддержки AWS Support. Мы сделаем все возможное, чтобы ответить на исходный запрос пользователя в надлежащие сроки. Подробную информацию об уровнях поддержки см. на странице AWS Support.


Вопрос: Уведомляет ли AWS Shield об атаках?

Да. Клиенты с AWS Shield Advanced получают оповещения о DDoS-атаках через метрики CloudWatch.

Вопрос: Как быстро приходят оповещения об атаках?

Обычно оповещения AWS Shield Advanced рассылаются в течение нескольких минут после обнаружения атаки.

Вопрос: Можно ли получить доступ к истории всех DDoS-атак на мои ресурсы AWS?

Да. Клиенты с AWS Shield Advanced получают доступ к истории инцидентов на протяжении последних 13 месяцев.

Вопрос: Как проверить, работают ли мои правила AWS WAF?

В AWS WAF предусмотрено два разных способа контролировать защиту веб-сайта: поминутные метрики доступны в CloudWatch, а образцы сетевых запросов доступны в API AWS WAF или через консоль управления. Это позволяет увидеть, какие запросы были заблокированы, пропущены или подсчитаны, и какое правило сработало на конкретный запрос (например, что данный запрос был заблокирован по IP-адресу и т. п.). Подробнее об этом см. в руководстве для разработчиков по AWS WAF и AWS Shield Advanced.


Вопрос: Как оплачивается использование AWS Shield Standard?

AWS Shield Standard встроен в сервисы AWS, которые используются интернет-приложениями. Дополнительная плата за использование AWS Shield Standard не взимается.

Вопрос: Как оплачивается использование AWS Shield Advanced?

Ежемесячная стоимость AWS Shield Advanced составляет 3000 USD. Кроме того, оплате подлежит передача данных через подключенные к AWS Shield Advanced ресурсы AWS. Стоимость AWS Shield Advanced прибавляется к стандартной стоимости Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53. Подробную информацию см. на странице цен на AWS Shield Advanced.

Вопрос: Как включить AWS Shield Advanced для нескольких аккаунтов AWS?

Если у вашей организации есть несколько аккаунтов AWS, то можно подписать несколько аккаунтов AWS на AWS Shield Advanced. Ежемесячная плата будет взиматься только один раз при условии, что все аккаунты AWS входят в одну группу консолидированной оплаты и все эти аккаунты AWS и ресурсы аккаунтов принадлежат одному пользователю или одной организации.