AWS Armor
AWS 雲端

AWS Shield 是一種受管的分散式拒絕服務 (DDoS) 保護服務,可保護在 AWS 上執行的 Web 應用程式不受攻擊。AWS Shield 不只提供永遠開啟的偵測服務,還提供自動的內嵌風險降低功能,可將應用程式停機與延遲時間縮到最短,因此您無須聯絡 AWS Support 也能輕鬆享受 DDoS 保護。AWS Shield 有兩種方案 – Standard 與 Advanced。

所有 AWS 客戶都能使用 AWS Shield Standard 提供的自動保護,無須額外付費。AWS Shield Standard 可保護您的網站或應用程式,不被最常見且經常發生的網路與傳輸層 DDoS 攻擊。

如果您在 Elastic Load Balancing (ELB)、Amazon CloudFrontAmazon Route 53 資源上執行 Web 應用程式,並想為這些應用程式提供更高一層的防護,則可選擇訂閱 AWS Shield Advanced。除了 Standard 隨附的常見網路與傳輸層保護,AWS Shield Advanced 還提供針對大型精密 DDoS 攻擊的額外偵測與防護功能、近乎即時地了解攻擊,並整合了 AWS WAF Web 應用程式防火牆。此外,您還可以透過 AWS Shield Advanced 使用 AWS DDoS 反應團隊 (DRT) 服務,並同時享有與 DDoS 相關的 ELB、CloudFront 或 Route 53 高峰費用保護。


100x100_benefit_ingergration

啟用 AWS Shield Standard 後,會自動保護您的 AWS 資源不受常見且經常發生的網路與傳輸層 DDoS 攻擊。只要使用管理主控台或 API,針對您想要保護的 Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 資源啟用 AWS Shield Advanced 保護,就能獲得更高一層的防護。

100x100_benefit_customize

如果您採用 AWS Shield Advanced,即可享有撰寫自訂規則的彈性,藉此抵禦精密的應用程式層攻擊。這類自訂規則可以立即部署,以快速抵禦攻擊。您可以設定主動式規則,自動封鎖不良流量,或在事件發生時回應事件。此外,您還可以使用全年無休的 AWS DDoS 反應團隊 (DRT) 服務,由他們代您撰寫規則,藉此防禦應用程式層 DDoS 攻擊。

100x100_benefit_lowcost-affordable

AWS 客戶可透過 AWS Shield Standard 自動獲得網路層保護,以免受到部分最常見的 DDoS 攻擊。這項防護不須額外的費用、資源或時間即可直接啟用。使用 AWS Shield Advanced,即可享有「DDoS 費用保護」功能。這項功能可保護您的 AWS 帳單費用,避免 DDoS 攻擊造成 Elastic Load Balancing (ELB)、Amazon CloudFront 與 Amazon Route 53 用量高峰所帶來的高額費用。

快速偵測

AWS Shield Standard 提供永遠啟用的網路流量監控功能,可檢查連入 AWS 的流量,並搭配使用流量簽章、不規則演算法與其他分析技術,即時偵測惡意流量。

內嵌的降低攻擊功能

自動風險降低技術內建於 AWS Shield Standard 中,可保護您不受最常見且經常發生的基礎設施 (Layer 3 與 4) 攻擊。自動風險降低功能內嵌於您的應用程式中,因此不會有延遲的影響。永遠啟用的偵測功能與內嵌風險降低技術,大幅縮短了應用程式的停機時間,因此您不必與 AWS Support 聯繫即可享有 DDoS 保護。AWS Shield Standard 採用了多種技術來自動防禦攻擊,如決定性封包篩選,及依據流量管制設定的優先順序,且同時不會對您的應用程式造成影響。此外,您也可以使用 AWS WAF 撰寫規則,藉此防禦應用程式層的 DDoS 攻擊。使用 AWS WAF 只需按實際用量付費。


增強型偵測

AWS Shield Advanced 提供了增強型偵測,可同時偵測網路流量,並監控連至 Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 資源的應用程式層流量。由於採用了資源專用監控等其他技術,AWS Shield Advanced 可以更細微的方式偵測 DDoS 攻擊。透過制訂資源流量基準及識別異常現象,AWS Shield Advanced 能偵測到 HTTP 泛洪或 DNS 查詢泛洪等應用程式層的 DDoS 攻擊。

進階攻擊風險降低

除了具備 AWS Shield Standard 的優點之外,AWS Shield Advanced 還提供您更精密的自動風險降低功能。AWS DDoS 反應團隊 (DRT) 也可針對更複雜且精密的 DDoS 攻擊提供手動防護。AWS Shield Advanced 採用進階路由技術,可自動提供額外的風險降低功能,進而抵禦大型 DDoS 攻擊。針對應用程式層攻擊,您可以使用 AWS WAF 來回應事件。使用 AWS WAF 可設定主動規則 (如速率黑名單),藉此自動封鎖不良流量,或在事件發生時立即回應。使用 AWS WAF 為應用程式層提供保護無須額外付費。此外,您還能與 DRT 針對個別事件或事前授權進行互動。DRT 可以診斷攻擊,並在您的許可下代您套用風險降低功能。

可見性與攻擊通知

AWS Shield Advanced 可讓您完全看清 DDoS 攻擊,並透過 Amazon CloudWatch 以近乎即時的速度接收通知。您可以與 DDoS 反應團隊 (DRT) 合作,取得事件後分析與調查。您也可以透過 “AWS WAF and AWS Shield” 管理主控台,查看攻擊發生前的摘要。

專業支援

使用 AWS Shield Advanced,您可享有全年無休的 DDoS 反應團隊 (DRT) 服務,在 DDoS 攻擊前後與期間取得協助。DRT 可協助分類事件、找出根本原因,並代您套用風險降低功能。您也可以與 DRT 聯繫,取得攻擊後的分析。

DDoS 費用保護

AWS Shield Advanced 隨附「DDoS 費用保護」,這項防衛機制可以避免 DDoS 攻擊造成 Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 用量高峰,進而導致費用暴增。如上述任一服務因 DDoS 攻擊而導致用量上升,AWS 會針對高峰用量費用提供服務抵扣。有關如何申請服務抵扣的更多詳細資訊,請移至 AWS WAF 與 AWS Shield Advanced 文件

您在 AWS 上執行的 Web 應用程式已受到 AWS Shield Standard 保護。若要啟用 AWS Shield Advanced,請移至 “AWS WAF and AWS Shield” 管理主控台,然後選取您想啟用 Advanced 方案保護的資源。

開始使用 AWS Shield