AWS Shield
AWS Cloud

AWS Shield คือ บริการป้องกัน Distributed Denial of Service (DDoS) ที่ได้รับการจัดการซึ่งจะปกป้องแอปพลิเคชันที่ทำงานบน AWS AWS Shield มีการตรวจจับที่ทำงานอยู่ตลอดเวลาและการลดการโจมตีภายในแบบอัตโนมัติที่จะลดเวลาหยุดทำงานและเวลาแฝงของแอปพลิเคชัน ทำให้ไม่จำเป็นต้องติดต่อ AWS Support เพื่อรับประโยชน์จากการป้องกัน DDoS AWS Shield มีสองระดับชั้นคือ Standard และ Advanced

ลูกค้า AWS ทุกรายจะได้รับประโยชน์จากการป้องกันของ AWS Shield Standard อัตโนมัติโดยไม่มีค่าใช้จ่ายเพิ่มเติม AWS Shield Standard จะป้องกันการโจมตี DDoS ซึ่งพบมากและเกิดขึ้นบ่อยในเครือข่ายและชั้นสื่อสารนำส่งข้อมูลที่มุ่งโจมตีเว็บไซต์และแอปพลิเคชันของคุณ เมื่อคุณใช้ AWS Shield Standard กับ Amazon CloudFront และ Amazon Route 53 คุณจะได้รับการป้องกันจากการโจมตีโครงสร้างพื้นฐานที่รู้จักกันดีทั้งหมด (ชั้น 3 และ 4) แบบครบวงจรและพร้อมใช้งาน

หากต้องการการป้องกันระดับสูงขึ้นจากการโจมตีที่มุ่งเป้าไปยังแอปพลิเคชันที่ทำงานบนทรัพยากร Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront และ Amazon Route 53 คุณสามารถสมัครใช้งาน AWS Shield Advanced ได้ นอกเหนือจากการป้องกันเครือข่ายและชั้นสื่อสารนำส่งข้อมูลที่มาพร้อมกับแบบ Standard แล้ว AWS Shield Advanced ยังมีการตรวจจับเพิ่มเติมและการลดการโจมตี DDoS ขนาดใหญ่และมีชั้นเชิง สามารถมองเห็นการโจมตีได้แบบใกล้เคียงเวลาจริง และการผสานรวมกับไฟร์วอลล์เว็บแอปพลิเคชัน AWS WAF AWS Shield Advanced ยังทำให้คุณสามารถเข้าถึง AWS DDoS Response Team (DRT) ได้ตลอดเวลาและป้องกันปริมาณการใช้งานที่เพิ่มขึ้นจาก DDoS ในค่าใช้จ่าย Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront และ Amazon Route 53 ของคุณ

AWS Shield Advanced มีให้ใช้งานทั่วโลกในสถานที่ตั้ง Edge ของ Amazon CloudFront และ Amazon Route 53 ทั้งหมด คุณสามารถป้องกันเว็บแอปพลิเคชันซึ่งโฮสต์อยู่ที่ใดในโลกก็ได้โดยปรับใช้ Amazon CloudFront ที่ด้านหน้าแอปพลิเคชันของคุณ เซิร์ฟเวอร์ต้นทางของคุณอาจเป็น Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) หรือเซิร์ฟเวอร์ที่กำหนดเองนอก AWS ก็ได้ คุณยังสามารถเปิดใช้งาน AWS Shield Advanced ได้โดยตรงบน Elastic IP หรือ Elastic Load Balancing (ELB) ในภูมิภาค AWS ต่อไปนี้ เวอร์จิเนียตอนเหนือ ออริกอน ไอร์แลนด์ โตเกียว และแคลิฟอร์เนียตอนเหนือ

100x100_benefit_ingergration

เมื่อใช้ AWS Shield Standard ทรัพยากร AWS ของคุณจะได้รับการป้องกันจากการโจมตี DDoS ซึ่งพบมากและเกิดขึ้นบ่อยในเครือข่ายและชั้นสื่อสารนำส่งข้อมูล คุณสามารถรับการป้องกันระดับสูงขึ้นได้เพียงเปิดใช้งานการปกป้อง AWS Shield Advanced สำหรับทรัพยากร Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront หรือ Amazon Route 53 ที่คุณต้องการป้องกันโดยใช้ Management Console หรือ API

100x100_benefit_customize

เมื่อใช้ AWS Shield Advanced คุณจะมีความยืดหยุ่นในการเขียนกฎที่ปรับแต่งเองเพื่อลดการโจมตีชั้นแอปพลิเคชันที่มีชั้นเชิง กฎที่ปรับแต่งเองเหล่านี้สามารถปรับใช้ได้ทันที ซึ่งจะทำให้คุณลดการโจมตีได้อย่างรวดเร็ว คุณสามารถตั้งค่ากฎในเชิงรุกเพื่อบล็อกการรับส่งข้อมูลที่ไม่ดีโดยอัตโนมัติ หรือตอบโต้ต่อเหตุการณ์ที่เกิดขึ้นได้ คุณยังสามารถเข้าถึง AWS DDoS Response Team (DRT) ซึ่งเป็นผู้เขียนกฎในนามของคุณเพื่อลดการโจมตี DDoS ในชั้นแอปพลิเคชันได้ตลอดเวลา

100x100_benefit_lowcost-affordable

ในฐานะลูกค้า AWS คุณจะได้รับการป้องกันชั้นเครือข่ายจากการโจมตี DDoS ที่พบมากโดยอัตโนมัติด้วย AWS Shield Standard การป้องกันนี้ไม่มีค่าใช้จ่าย ทรัพยากร หรือเวลาเริ่มต้นเพิ่มเติม เมื่อใช้ AWS Shield Advanced คุณจะได้รับ “การป้องกันค่าใช้จ่าย DDoS” ซึ่งเป็นคุณสมบัติที่จะป้องกันใบเรียกเก็บเงิน AWS ของคุณจากปริมาณการใช้งาน EC2, Elastic Load Balancing (ELB), Amazon CloudFront และ Amazon Route 53 ที่เพิ่มขึ้นเนื่องจากการโจมตี DDoS

การตรวจจับอย่างรวดเร็ว

AWS Shield Standard มีการตรวจสอบการไหลของข้อมูลในเครือข่ายที่ทำงานอยู่ตลอดเวลาซึ่งจะตรวจสอบข้อมูลที่เข้ามาใน AWS และใช้การผสมผสานลายเซ็นการรับส่งข้อมูล อัลกอริธึมที่ผิดปกติ และเทคนิคการวิเคราะห์อื่นๆ เพื่อตรวจจับการรับส่งข้อมูลที่เป็นอันตรายได้ในเวลาจริง

การลดการโจมตีภายใน

เทคนิคการลดการโจมตีโดยอัตโนมัติที่มีมาใน AWS Shield Standard จะป้องกันคุณจากการโจมตีโครงสร้างพื้นฐานซึ่งพบมากและเกิดขึ้นบ่อย การลดการโจมตีโดยอัตโนมัติจะใช้อยู่ภายในแอปพลิเคชันของคุณ ทำให้ไม่มีผลกระทบด้านเวลาแฝง AWS Shield Standard ใช้เทคนิคที่หลากหลาย เช่น การกรองชุดข้อมูลที่กำหนดขึ้น การควบคุมการรับส่งข้อมูลตามความสำคัญเพื่อลดการโจมตีโดยอัตโนมัติโดยไม่ส่งผลต่อแอปพลิเคชันของคุณ คุณยังสามารถลดการโจมตี DDoS ในชั้นแอปพลิเคชันได้โดยเขียนกฎด้วย AWS WAF เมื่อใช้ AWS WAF คุณจะจ่ายเฉพาะส่วนที่คุณใช้เท่านั้น

การตรวจจับที่ทำงานอยู่ตลอดเวลาและการลดการโจมตีภายในจะลดเวลาหยุดทำงานของแอปพลิเคชันลง ทำให้คุณจะไม่ต้องติดต่อ AWS Support เพื่อรับการป้องกัน DDoS


การตรวจจับที่ดียิ่งขึ้น

เมื่อใช้ AWS Shield Advanced คุณจะสามารถเข้าถึง AWS DDoS Response Team (DRT) ซึ่งเป็นผู้ที่คุณติดต่อได้ก่อน ระหว่าง และหลังการโจมตี DDoS ได้ตลอดเวลา DRT จะช่วยคุณแยกแยะเหตุการณ์ ระบุต้นตอของปัญหา และใช้การลดการโจมตีในนามของคุณ คุณยังสามารถติดต่อ DRT เพื่อทำการวิเคราะห์หลังการโจมตีใดๆ ได้ด้วย

การลดการโจมตีขั้นสูง

AWS Shield Advanced ช่วยคุณลดการโจมตีแบบอัตโนมัติอย่างมีชั้นเชิงมากยิ่งขึ้น เทคนิคการจัดเส้นทางขั้นสูงทำให้ AWS Shield Advanced มีความสามารถลดการโจมตีเพิ่มเติมโดยอัตโนมัติซึ่งจะป้องกันการโจมตี DDoS ที่ใหญ่ขึ้นได้ AWS DDoS Response Team (DRT) ยังใช้การลดการโจมตีด้วยตนเองสำหรับการโจมตี DDoS ที่ซับซ้อนและมีชั้นเชิงยิ่งขึ้น สำหรับการโจมตีในชั้นแอปพลิเคชัน คุณสามารถใช้ AWS WAF เพื่อตอบโต้เหตุการณ์ได้ การใช้ AWS WAF ทำให้คุณสามารถตั้งค่ากฎเชิงรุก เช่น Rate Based Blacklisting เพื่อบล็อกการรับส่งข้อมูลที่ไม่ดีโดยอัตโนมัติ หรือตอบโต้ต่อเหตุการณ์ที่เกิดขึ้นได้ การใช้งาน AWS WAF เพื่อป้องกันชั้นแอปพลิเคชันไม่มีค่าใช้จ่ายเพิ่มเติม คุณยังสามารถติดต่อกับ DRT โดยตรงเพื่อให้วางกฎ AWS WAF ในนามของคุณ เพื่อตอบโต้การโจมตี DDoS ในชั้นแอปพลิเคชันได้ DRT จะวินิจฉัยการโจมตีและใช้การลดการโจมตีในนามของคุณ เมื่อคุณอนุญาต

ความสามารถในการมองเห็นและการแจ้งเตือนการโจมตี

AWS Shield Advanced ทำให้คุณสามารถมองเห็นการโจมตี DDoS ได้ทั้งหมดพร้อมการแจ้งเตือนที่ใกล้เคียงเวลาจริงผ่าน Amazon CloudWatch และการวินิจฉัยแบบลงรายละเอียดใน Management Console “AWS WAF และ AWS Shield” เมื่อร่วมมือกับ DDoS Response Team (DRT) คุณจะสามารถเข้าถึงการวิเคราะห์และการสืบค้นหลังเหตุการณ์ได้ คุณยังสามารถดูสรุปการโจมตีก่อนหน้าได้จาก Management Console “AWS WAF และ AWS Shield”

การสนับสนุนเฉพาะทาง

AWS Shield Advanced ให้การตรวจจับที่ดียิ่งขึ้น การตรวจสอบการไหลของข้อมูลในเครือข่าย และการติดตามการรับส่งข้อมูลในชั้นแอปพลิเคชันกับทรัพยากร Elastic IP Address, Elastic Load Balancing (ELB), Amazon CloudFront หรือ Amazon Route 53 ของคุณ การใช้เทคนิคเพิ่มเติมอย่างการติดตามทรัพยากรที่เฉพาะเจาะจง ทำให้ AWS Shield Advanced สามารถตรวจจับรายละเอียดเล็กๆ ของการโจมตี DDoS ได้ AWS Shield Advanced ตรวจจับการโจมตี DDoS ในชั้นแอปพลิเคชันอย่างการส่งคำขอ HTTP จำนวนมาก หรือการส่งคำถาม DNS จำนวนมากด้วยการทำเบสไลน์การรับส่งข้อมูลบนทรัพยากรของคุณและการระบุความผิดปกติ

การป้องกันค่าใช้จ่าย DDoS

AWS Shield Advanced มาพร้อมกับ “การป้องกันค่าใช้จ่าย DDoS” ซึ่งเป็นการปกป้องค่าใช้จ่ายที่เพิ่มขึ้นเนื่องจากการโจมตี DDoS ที่ทำให้การใช้งาน Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront หรือ Amazon Route 53 เพิ่มขึ้น หากการบริการเหล่านี้เพิ่มขนาดขึ้นเพื่อตอบโต้การโจมตี DDoS AWS จะให้บริการเครดิต AWS Shield สำหรับค่าใช้จ่ายที่เกิดจากการใช้งานที่เพิ่มขึ้นอย่างรวดเร็วผิดปกติ เรียนรู้เพิ่มเติมเกี่ยวกับวิธีขอเครดิตบริการได้ที่เอกสารประกอบ AWS WAF และ AWS Shield Advanced

DNS

การใช้ Amazon Route 53

AWS Shield Standard จะป้องกันพื้นที่โฮสต์ Amazon Route 53 ของคุณจากการโจมตี DDoS ในชั้นโครงสร้างพื้นฐานโดยอัตโนมัติและไม่มีค่าใช้จ่ายเพิ่มเติม ซึ่งรวมถึงการโจมตีอย่างเช่น การโจมตีแบบ Reflection หรือการส่งคำขอ SYN จำนวนมาก ซึ่งบ่อยครั้งจะมุ่งไปที่ DNS ของคุณ AWS Shield Standard ใช้เทคนิคที่หลากหลายโดยอัตโนมัติ เช่น การตรวจสอบยืนยันส่วนเฮดเดอร์ การควบคุมการรับส่งข้อมูลตามความสำคัญเพื่อลดการโจมตี DDoS เหล่านี้โดยอัตโนมัติ

นอกจากนี้ AWS Shield Advanced ยังให้การป้องกันเพิ่มเติมสำหรับสถานการณ์รุนแรงที่เจ้าหน้าที่จำเป็นต้องเข้าไปแทรกแซง โดยสามารถติดต่อทีม AWS DDoS Response Team ได้ทุกวันตลอด 24 ชั่วโมง นอกจากนี้ AWS Shield Advanced ยังให้ความสามารถในการมองเห็นการโจมตีในโครงสร้างพื้นฐาน Route 53 ของคุณ

เรียนรู้เพิ่มเติมเกี่ยวกับวิธีลดความเสี่ยง DDoS โดยใช้ Amazon Route 53 และ AWS Shield


เว็บแอปพลิเคชันและ API
การใช้ Amazon CloudFront หรือ Application Load Balancer

เมื่อใช้ Amazon CloudFront จะได้รับการป้องกันครบวงจรโดยอัตโนมัติจากการโจมตีชั้นโครงสร้างพื้นฐานจาก AWS Shield Standard เช่น การส่งคำขอ SYN จำนวนมาก การส่ง UDP จำนวนมากหรือการโจมตีแบบ Reflection อื่นๆ การตรวจจับที่ทำงานอยู่ตลอดเวลาและระบบลดการโจมตีอัตโนมัติของ AWS Shield Standard จะล้างการรับส่งข้อมูลที่ไม่ดีในชั้นที่ 3 และ 4 เพื่อป้องกันแอปพลิเคชันของคุณ การโจมตีชั้นโครงสร้างพื้นฐานกว่า 99% ที่ตรวจจับได้โดย AWS Shield Standard จะลดลงอัตโนมัติในเวลาไม่ถึง 1 วินาทีสำหรับการโจมตีบน Amazon CloudFront

เรียนรู้วิธีใช้ Amazon CloudFront เพื่อป้องกันแอปพลิเคชัน Dynamic จากการโจมตี DDoS

เรียนรู้ว่า Slack ใช้ Amazon CloudFront เพื่อป้องกันการโจมตี DDoS อย่างไร

วิทยากร:
Alex Graham, Sr. Operations Engineer, Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

หากต้องการการป้องกันเพิ่มขึ้นสำหรับการโจมตี DDoS ขนาดใหญ่และมีชั้นเชิง คุณยังสามารถใช้ AWS Shield Advanced บน Amazon CloudFront ได้เช่นกัน เมื่อใช้ Shield Advanced ลูกค้าจะสามารถเข้าถึง AWS DDoS Response Team (DRT) ได้ตลอดเวลาโดยทีมดังกล่าวพร้อมใช้การลดการโจมตีที่จำเป็นสำหรับการโจมตีชั้นโครงสร้างพื้นฐาน (ชั้น 3 หรือ 4) ที่มีชั้นเชิงโดยใช้เทคนิคเพิ่มเติมอย่างวิศวกรรมการรับส่งข้อมูล นอกจากนี้ AWS Shield Advanced ยังป้องกันคุณจากการโจมตีชั้นแอปพลิเคชัน เช่น การส่งคำขอ HTTP จำนวนมาก ระบบการตรวจจับที่ทำงานอยู่ตลอดเวลาที่มาพร้อมกับ AWS Shield Advanced จะทำการเบสไลน์การรับส่งข้อมูลแอปพลิเคชันของลูกค้าให้อยู่ในสถานะมั่นคงและตรวจสอบความผิดปกติต่างๆ AWS Shield Advanced รวมถึง AWS WAF ที่ไม่มีค่าใช้จ่ายเพิ่มเติมทำให้คุณสามารถกำหนดการลดการโจมตีชั้นแอปพลิเคชันได้ด้วยตนเอง


แอปพลิเคชันอื่นๆ (เช่น แอปพลิเคชันที่ใช้ UDP)
การใช้ Elastic IP Address

สำหรับแอปพลิเคชันแบบกำหนดเองอื่นๆ ซึ่งไม่ได้ใช้ TCP (เช่น UDP, SIP ฯลฯ) คุณจะไม่สามารถใช้บริการอย่าง Amazon CloudFront หรือ Elastic Load Balancing ได้ ในกรณีเหล่านี้ คุณจะต้องเรียกใช้แอปพลิเคชันโดยตรงจาก Amazon EC2 instance แบบเข้าถึงผ่านอินเทอร์เน็ตได้ AWS Shield Standard ยังป้องกันอินสแตนซ์ Amazon EC2 instance จากการโจมตี DDoS ชั้นโครงสร้างพื้นฐาน (ชั้น 3 และ 4) ปกติ เช่น การโจมตี UDP reflection, อย่าง DNS reflection, NTP reflection, SSDP reflection ฯลฯ AWS Shield Standard ใช้เทคนิคที่หลากหลาย เช่น การควบคุมการรับส่งข้อมูลตามความสำคัญที่จะทำงานโดยอัตโนมัติเมื่อตรวจพบลายเซ็นการโจมตี DDoS ที่ชัดเจน

คุณยังจะได้รับการป้องกันจากการโจมตี DDoS ขนาดใหญ่และมีชั้นเชิงสำหรับแอปพลิเคชันเหล่านี้โดยเปิดใช้งาน AWS Shield Advanced หรือ Elastic IP address การตรวจจับ DDoS ที่ดียิ่งขึ้นของ AWS Shield Advanced จะตรวจจับประเภทของทรัพยากร AWS โดยอัตโนมัติและขนาดของ EC2 instance รวมถึงใช้การลดการโจมตีที่ได้ระบุไว้ล่วงหน้าอย่างเหมาะสม เมื่อใช้ AWS Shield Advanced ลูกค้ายังสามารถสร้างโปรไฟล์การลดการโจมตีแบบกำหนดเองได้โดยติดต่อ AWS DDoS Response Team (DRT) ที่ทำงานตลอดเวลา AWS Shield Advanced ยังทำให้แน่ใจได้ว่าระหว่างการโจมตี DDoS ระบบจะบังคับใช้ Access Control List (ACL) ของ Amazon VPC Network ทั้งหมดโดยอัตโนมัติที่เขตแดนของเครือข่าย AWS ทำให้คุณสามารถเข้าถึงแบนด์วิดท์เพิ่มเติมและล้างความจุเพื่อลดการโจมตี DDoS ที่มีขนาดใหญ่ได้ เมื่อใช้ AWS Shield Advanced คุณจะได้รับการป้องกันเพิ่มเติมจากการโจมตี DDoS เช่น การส่งคำขอ SYN จำนวนมาก หรือทิศทางอื่นๆ อย่าง การส่ง UDP จำนวนมาก

เรียนรู้เพิ่มเติมเกี่ยวกับการแนบ Elastic IP เข้ากับ Amazon EC2 Instance

เว็บแอปพลิเคชันของคุณที่ทำงานบน AWS ได้รับการป้องกันโดย AWS Shield Standard แล้ว ในการเปิดใช้งาน AWS Shield Advanced ให้ไปที่ Management Console “AWS WAF และ AWS Shield” แล้วเลือกทรัพยากรที่คุณต้องการเปิดใช้งานการป้องกันแบบ Advanced

เริ่มต้นใช้งาน AWS Shield