Общие вопросы

Вопрос. Что такое AWS Shield?

AWS Shield – это управляемый сервис для защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Сервис защищает приложения, работающие на платформе AWS. Доступ к AWS Shield Standard автоматически предоставляется всем клиентам AWS. AWS Shield Advanced – это дополнительный платный сервис. AWS Shield Advanced обеспечивает дополнительную защиту от сложных, масштабных атак, которые нацелены на приложения на базе Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator и Route 53.

Вопрос. Что такое AWS Shield Standard?

AWS Shield Standard защищает всех клиентов AWS от типичных и частых атак на третий и четвертый уровни инфраструктуры, включая SYN / UDP‑флуд, атаки отражения и прочие, что помогает обеспечить высокую доступность клиентских приложений на AWS.

Вопрос: Что такое AWS Shield Advanced?

AWS Shield Advanced обеспечивает более мощную защиту от сложных, масштабных атак, которые нацелены на приложения, работающие на базе защищенных сервисов Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator и Route 53. AWS Shield Advanced ведет непрерывный мониторинг трафика и активных приложений, уведомляя об угрозах DDoS-атак в режиме, близком к реальному времени. В AWS Shield Advanced используются передовые способы маршрутизации и методы автоматизированной нейтрализации атак. При этом клиент, оформивший план поддержки «Для бизнеса» или «Корпоративный», всегда может обратиться к специалистам группы Shield Response Team (SRT), которые помогут нейтрализовать DDoS‑атаку на уровне приложения и устранить ее последствия. Сервис защиты от лишних расходов в случае DDOS‑атак позволяет избежать увеличения суммы счета AWS при чрезмерной нагрузке на защищенные ресурсы Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator и Amazon Route 53 во время DDoS‑атаки.

Вопрос. Что представляет собой защита от лишних расходов в случае DDoS-атак?

AWS Shield Advanced предусматривает защиту от лишних расходов в случае DDoS-атак, благодаря чему пользователь не несет лишних расходов при чрезмерной нагрузке на защищенные ресурсы Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator и Amazon Route 53 во время DDoS-атаки. Если любой из ресурсов под защитой AWS Shield Advanced будет испытывать повышенную нагрузку в ответ на DDoS-атаку, можно обратиться в AWS Support и получить кредиты.

Вопрос. Можно ли использовать AWS Shield для защиты веб-сайтов, размещенных не на AWS?

Да, AWS Shield интегрирован с Amazon CloudFront, который поддерживает пользовательские источники за пределами AWS.

Вопрос. Можно ли использовать протокол IPv6 для работы со всеми возможностями AWS Shield?

Да. Все возможности обнаружения и нейтрализации AWS Shield работают с IPv6 и IPv4 без заметной разницы в производительности, масштабируемости и доступности сервисов.

Вопрос: Как протестировать AWS Shield?

Приемлемая политика использования AWS содержит описание разрешенных и запрещенных видов поведения в сервисах AWS, а также примеры нарушений защиты и угроз сетевой безопасности. Однако процесс моделирования DDoS‑атаки, проверки уязвимостей и моделирование других событий зачастую неотличимы от подобных действий, и мы создали политику получения разрешений на проведение тестирования защиты от DDoS‑атак и проникновения или сканирования на наличие уязвимостей. Подробнее см. на странице тестирования на проникновение и в политике моделирования DDoS‑атаки.

Вопрос: В каких регионах доступен сервис AWS Shield Standard?

AWS Shield Standard доступен на всех сервисах AWS во всех регионах AWS и во всех периферийных местоположениях по всему миру.

Дополнительные сведения о доступности сервиса AWS Shield Standard по регионам см. на странице Продукты и сервисы по регионам.

Вопрос. В каких регионах доступен сервис AWS Shield Advanced?

AWS Shield Advanced доступен во всех периферийных местоположениях Amazon CloudFront, AWS Global Accelerator и Amazon Route 53 по всему миру. Выполнив развертывание Amazon CloudFront перед приложением, можно защитить интернет-приложения, размещенные в любых местоположениях по всему миру. В качестве серверов источника можно использовать Простой сервис хранения данных Amazon (S3), Amazon EC2, Эластичную балансировку нагрузки или специальный сервер вне AWS. Защиту AWS Shield расширенного можно включить непосредственно на Эластичной балансировке нагрузки или Amazon EC2 в следующих регионах AWS: Северная Вирджиния, Огайо, Орегон, Северная Калифорния, Монреаль, Сан‑Паулу, Ирландия, Франкфурт, Лондон, Париж, Стокгольм, Сингапур, Токио, Сидней, Сеул, Мумбаи, Милан, Кейптаун, Гонконг, Бахрейн, Малайзия и ОАЭ.

Актуальные сведения о доступности сервиса AWS Shield расширенный по регионам см. на странице Продукты и сервисы по регионам.

Вопрос. Соответствует ли сервис AWS Shield требованиям HIPAA?

Да, AWS расширила свою программу соответствия требованиям HIPAA. Теперь сервис AWS Shield соответствует требованиям HIPAA. Если вы заключили с AWS договор делового партнерства (BAA), можно использовать AWS Shield для защиты интернет-приложений, работающих на AWS, от атак типа «распределенный отказ в обслуживании» (DDoS). Подробнее см. на странице Соответствие требованиям HIPAA.

Настройка защиты

Вопрос. От каких видов атак может защитить AWS Shield Standard?

AWS Shield Standard автоматически защищает интернет-приложения на AWS от типичных и частых DDoS-атак инфраструктурного уровня, таких как UDP-флуд, и атак на истощение ресурсов, таких как TCP/SYN-флуд. Для защиты от атак прикладного уровня, таких как HTTP POST- и GET-флуд, можно использовать сервис AWS WAF. Подробнее о развертывании защиты прикладного уровня см. в руководстве для разработчиков по AWS WAF и AWS Shield Advanced.

Вопрос. Сколько ресурсов можно подключить к защите AWS Shield Standard?

Количество ресурсов, подключаемых к защите AWS Shield Standard, неограниченно. Чтобы извлечь максимум пользы из защиты AWS Shield Standard, следуйте рекомендациям по защите от DDoS-атак на AWS.

Вопрос. Сколько ресурсов можно подключить к защите AWS Shield Advanced?

К защите AWS Shield Advanced можно подключить до 1000 ресурсов AWS для каждого поддерживаемого типа ресурсов (балансировщиков Classic / Application Load Balancer, баз раздачи Amazon CloudFront, зон хостинга Amazon Route 53, эластичных IP‑адресов, акселераторов AWS Global Accelerator). Чтобы подключить более 1000 ресурсов к защите AWS Shield Advanced, направьте запрос на повышение лимита в AWS Support.

Вопрос. Можно ли активировать защиту AWS Shield Advanced через API?

Да. Защиту AWS Shield Advanced можно активировать через API. С помощью API также можно подключать ресурсы AWS к AWS Shield Advanced и отключать их.

Вопрос. Как быстро нейтрализуются атаки?

99 % обнаруживаемых AWS Shield атак инфраструктурного уровня нейтрализуются менее чем за секунду для Amazon CloudFront и Amazon Route 53 и менее чем за 5 минут для Elastic Load Balancing. Оставшийся 1 % атак инфраструктурного уровня обыкновенно нейтрализуется менее чем за 20 минут. Атаки на уровне приложений нейтрализуются с помощью правил AWS WAF. Обнаружение и нейтрализация происходят в процессе обработки входящего трафика в режиме реального времени.

Вопрос. Можно ли защищать ресурсы за пределами AWS?

Да, некоторые клиенты используют адреса AWS для своих серверных инстансов. Чаще всего это адреса глобальных распределенных сервисов CloudFront и Route 53. Эти сервисы также рекомендуются для обеспечения устойчивости к DDoS‑атакам. Клиенты могут обеспечивать защиту дистрибутивов CloudFront и зон хостинга Route 53 с помощью Shield Advanced. Обратите внимание: серверные ресурсы необходимо настроить таким образом, чтобы они принимали трафик только с адресов AWS.

Реагирование на атаки

Вопрос. Какие инструменты нейтрализации DDoS-атак предлагает AWS Shield Standard?

AWS Shield Standard автоматически защищает интернет-приложения на AWS от стандартных и частых DDoS-атак. Чтобы использовать все преимущества защиты AWS Shield Standard, следуйте рекомендациям по защите от DDoS-атак на AWS.

Вопрос. Какие инструменты нейтрализации DDoS-атак предлагает AWS Shield Advanced?

AWS Shield Advanced отвечает за нейтрализацию DDoS-атак 3 и 4 уровней. Следовательно, выбранные приложения будут защищены от таких атак, как UDP‑флуд и TCP / SYN‑флуд. Кроме этого, на уровне приложения (уровень 7) AWS Shield Advanced предусматривает обнаружение таких атак, как HTTP‑флуд и DNS‑флуд. Можно применить собственные средства нейтрализации посредством AWS WAF или, если оформлен план поддержки «Для бизнеса» или «Корпоративный», воспользоваться круглосуточной помощью специалистов группы AWS Shield Response Team (SRT), которые от вашего имени подготовят правила для нейтрализации DDoS‑атак на седьмом уровне.

Вопрос. Нужно ли оформлять особый план поддержки, чтобы обращаться в группу AWS Shield Response Team?

Да, чтобы передать обращение в группу AWS Shield Response Team (SRT) или воспользоваться ее помощью, нужно оформить план поддержки «Для бизнеса» или «Корпоративный». Подробную информацию об уровнях поддержки см. на странице AWS Support.

Вопрос. Как обратиться в сервис AWS Shield Response Team?

Обратиться в сервис AWS Shield Response Team (SRT) можно через стандартные каналы поддержки AWS или через AWS Support.

Вопрос. Как быстро мне ответят специалисты из сервиса AWS Shield Response Team (SRT)?

Время ответа SRT зависит от уровня поддержки AWS Support. Мы сделаем все возможное, чтобы ответить на исходный запрос пользователя в надлежащие сроки. Подробную информацию об уровнях поддержки см. на странице AWS Support.

Наглядность и отчетность

Вопрос. Уведомляет ли AWS Shield об атаках?

Да. Клиенты с AWS Shield Advanced получают оповещения о DDoS-атаках через метрики CloudWatch.

Вопрос. Как быстро приходит оповещение об атаках?

Обычно оповещения AWS Shield Advanced рассылаются в течение нескольких минут после обнаружения атаки.

Вопрос. Можно ли получить доступ к истории всех DDoS-атак моих ресурсов AWS?

Да. Клиенты с AWS Shield Advanced получают доступ к истории инцидентов на протяжении последних 13 месяцев.

Вопрос. Можно ли видеть атаки по всей AWS?

Да. Пользователи AWS Shield Advanced имеют доступ к глобальной панели состояния угроз. На этой панели анонимно представлены образцы всех DDoS-атак, которые наблюдались в AWS в течение последних двух недель.

Вопрос. Как проверить, работают ли мои правила AWS WAF?

В AWS WAF предусмотрено два разных способа контролировать защиту веб‑сайта: поминутные метрики доступны в CloudWatch, а образцы сетевых запросов доступны в API AWS WAF или через консоль управления AWS. Кроме этого, можно активировать глобальные журналы, которые будут доставлены куда вам нужно через Amazon Kinesis Firehose. Они позволяют увидеть, какие запросы были заблокированы, пропущены или подсчитаны и какое правило сработало на конкретный запрос (например, что данный запрос был заблокирован по IP‑адресу и т. п.). Дополнительную информацию об этом см. в руководстве для разработчиков по AWS WAF и AWS Shield Advanced.

Вопрос: Я хочу провести тестирование на уязвимость для оценки сервиса и своего приложения. Какая процедура для этого рекомендуется?

См. страницу Тестирование на уязвимость в AWS. Однако сюда не относится нагрузочное тестирование на DDoS, которое запрещено на AWS. Если вам требуется тестирование на DDoS в режиме реального времени, вы можете подать на него заявку в AWS Support. Для утверждения заявки требуется заключение соглашения об условиях тестирования между AWS, клиентом и поставщиком теста на DDoS. Обратите внимание: мы работаем только с проверенными поставщиками тестов на DDoS. Процедура утверждения заявки занимает 3–4 недели.

 

Оплата

Вопрос. Как оплачивается использование AWS Shield Standard?

AWS Shield Standard встроен в сервисы AWS, которые используются интернет-приложениями. Дополнительная плата за использование AWS Shield Standard не взимается.

Вопрос. Как оплачивается использование AWS Shield Advanced?

Ежемесячная стоимость AWS Shield Advanced составляет 3000 USD для каждой организации. Кроме того, оплате подлежит передача данных через подключенные к AWS Shield Advanced ресурсы AWS. Стоимость AWS Shield Advanced прибавляется к стандартной стоимости Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator и Amazon Route 53. Дополнительную информацию см. на странице цен на AWS Shield.

Вопрос. Можно ли выбрать для защиты с помощью AWS Shield Advanced лишь некоторые ресурсы?

Да. AWS Shield Advanced — гибкий инструмент. Он позволяет выбирать ресурсы, для которых необходима защита. Для этих ресурсов будет взиматься только плата за передачу данных AWS Shield Advanced.

Вопрос. Как включить AWS Shield Advanced для нескольких аккаунтов AWS?

При наличии у организации нескольких аккаунтов AWS можно подключить их к AWS Shield Advanced, отдельно активировав этот сервис для каждого аккаунта с помощью консоли управления AWS или API. Ежемесячная плата будет взиматься только один раз при условии, что все аккаунты AWS входят в одну группу консолидированной оплаты и все эти аккаунты AWS и ресурсы аккаунтов принадлежат одному пользователю или одной организации.

Подробнее о ценах на AWS Shield

Перейти на страницу цен
Готовы приступить к разработке?
Начните работу с AWS Shield уже сегодня
Есть вопросы?
Связаться с нами