AWS Shield
AWS 雲端

AWS Shield 是一種受管的分散式拒絕服務 (DDoS) 保護服務,可保護在 AWS 上執行的 應用程式不受攻擊。AWS Shield 不只提供永遠開啟的偵測服務,還提供自動的內嵌風險降低功能,可將應用程式停機與延遲時間縮到最短,因此您無須聯絡 AWS Support 也能輕鬆享受 DDoS 保護。AWS Shield 有兩種方案 – Standard 與 Advanced。

所有 AWS 客戶都能使用 AWS Shield Standard 提供的自動保護,無須額外付費。AWS Shield Standard 可保護您的網站或應用程式,不被最常見且經常發生的網路與傳輸層 DDoS 攻擊。當您將 AWS Shield Standard 與 Amazon CloudFront 和 Amazon Route 53 搭配使用時,可獲得所有已知基礎設施 (Layer 3 和 4) 攻擊的全面可用性保護。

如果需要針對在 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFrontAmazon Route 53 資源上執行的 應用程式提供更高一層的攻擊防護,可訂閱 AWS Shield Advanced。除了 Standard 隨附的網路與傳輸層保護,AWS Shield Advanced 還提供針對大型精密 DDoS 攻擊的額外偵測與防護功能、近乎即時地了解攻擊,並與 AWS WAF Web 應用程式防火牆整合。AWS Shield Advanced 還提供全天候的 AWS DDoS 反應團隊 (DRT) 服務,以及與 DDoS 相關的 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFrontAmazon Route 53 高峰費用保護。

全球所有 Amazon CloudFront 和 Amazon Route 53 節點都可使用 AWS Shield Advanced。您可以藉由在應用程式前部署 Amazon CloudFront,保護在世界各地託管的 Web 應用程式。原始伺服器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB) 或位於 AWS 外部的自訂伺服器。您也可以直接在以下 AWS 區域的彈性 IP 或 Elastic Load Balancing (ELB) 上啟用 AWS Shield Advanced:維吉尼亞北部、奧勒岡、愛爾蘭、東京和加利佛尼亞北部。

100x100_benefit_ingergration

啟用 AWS Shield Standard 後,會自動保護您的 AWS 資源不受常見且經常發生的網路與傳輸層 DDoS 攻擊。只要使用管理主控台或 API,針對您想要保護的彈性 IP、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 資源啟用 AWS Shield Advanced 保護,就能獲得更高一層的防護。

100x100_benefit_customize

如果您採用 AWS Shield Advanced,即可享有撰寫自訂規則的彈性,藉此抵禦精密的應用程式層攻擊。這類自訂規則可以立即部署,以快速抵禦攻擊。您可以主動設定規則以自動封鎖不良流量,或在事件發生時回應事件。此外,您還可以全天候使用 AWS DDoS 反應團隊 (DRT) 服務,由他們代您撰寫規則,藉此防禦應用程式層 DDoS 攻擊。

100x100_benefit_lowcost-affordable

AWS 客戶可透過 AWS Shield Standard 自動獲得網路層保護,以免受到最常見的 DDoS 攻擊。這項防護不須額外的費用、資源或時間即可直接啟用。使用 AWS Shield Advanced,即可享有「DDoS 費用保護」功能。這項功能可保護您的 AWS 帳單費用,避免 DDoS 攻擊造成 EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 與 Amazon Route 53 用量高峰所帶來的高額費用。

快速偵測

AWS Shield Standard 提供永遠啟用的網路流量監控功能,可檢測連入 AWS 的流量,並搭配使用流量簽章、不規則演算法與其他分析技術,即時偵測惡意流量。

內嵌的攻擊降低功能

自動風險降低技術內建於 AWS Shield Standard 中,可保護您不受最常見且經常發生的基礎設施攻擊。自動風險降低功能內嵌於您的應用程式中,因此不會有延遲的影響。AWS Shield Standard 採用了多種技術來自動防禦攻擊,如決定性封包篩選,及依據流量管制設定的優先順序,且同時不會對您的應用程式造成影響。此外,您也可以使用 AWS WAF 撰寫規則,藉此防禦應用程式層的 DDoS 攻擊。使用 AWS WAF 只需按實際用量付費。

永遠啟用的偵測功能與內嵌風險降低技術大幅縮短了應用程式的停機時間,因此您不必與 AWS Support 聯繫即可享有 DDoS 保護。


增強型偵測

使用 AWS Shield Advanced,您可全天候使用 AWS DDoS 反應團隊 (DRT) 服務,在 DDoS 攻擊前後與期間取得協助。DRT 可協助分類事件、找出根本原因,並代您套用風險降低功能。您也可以與 DRT 聯繫,取得攻擊後的分析。

進階攻擊風險降低

AWS Shield Advanced 提供您更精密的自動風險降低功能。AWS Shield Advanced 採用進階路由技術,可自動提供額外的風險降低功能,進而抵禦較大型 DDoS 攻擊。AWS DDoS 反應團隊 (DRT) 也可針對更複雜且精密的 DDoS 攻擊提供手動防護。針對應用程式層攻擊,您可以使用 AWS WAF 來回應事件。使用 AWS WAF 可設定主動規則 (如速率黑名單),藉此自動封鎖不良流量,或在事件發生時立即回應。使用 AWS WAF 為應用程式層提供保護無須額外付費。您也可以直接與 DRT 配合,代您放置 AWS WAF 規則,以因應應用程式層 DDoS 攻擊。DRT 可以診斷攻擊,並在您的許可下代您套用風險降低功能。

可見性與攻擊通知

AWS Shield Advanced 透過 Amazon CloudWatch 近乎即時的通知和 "AWS WAF and AWS Shield" 管理主控台上的詳細診斷資訊,可讓您完全看清 DDoS 攻擊。您可以與 DDoS 反應團隊 (DRT) 合作,取得事件後分析與調查。您也可以透過 "AWS WAF and AWS Shield" 管理主控台,查看攻擊發生前的摘要。

專業支援

AWS Shield Advanced 提供了增強型偵測,可同時偵測網路流量,並監控連至彈性 IP 地址、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 資源的應用程式層流量。由於採用了資源專用監控等其他技術,AWS Shield Advanced 可以更細微的方式偵測 DDoS 攻擊。透過制訂資源流量基準及識別異常現象,AWS Shield Advanced 能偵測到 HTTP 泛洪或 DNS 查詢泛洪等應用程式層的 DDoS 攻擊。

DDoS 費用保護

AWS Shield Advanced 隨附「DDoS 費用保護」,這項防衛機制可以避免 DDoS 攻擊造成 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 用量高峰,進而導致費用暴增。如上述任一服務因 DDoS 攻擊而導致用量上升,AWS 會針對高峰用量費用提供 AWS Shield 服務抵扣。有關如何申請服務抵扣的更多詳細資訊,請移至 AWS WAF 與 AWS Shield Advanced 文件

DNS

使用 Amazon Route 53

AWS Shield Standard 會自動保護您的 Amazon Route 53 託管區域不受基礎設施層 DDoS 攻擊,不需額外費用。這些攻擊包含經常以 DNS 為目標的反射攻擊或 SYN 泛洪攻擊。AWS Shield Standard 自動採用多種技術以自動防禦這些 DDoS 攻擊,如標頭驗證及依據流量管制設定的優先順序。

AWS Shield Advanced 還能透過全年無休的 AWS DDoS 反應團隊,針對需要人為介入的極端案例提供額外的保護。此外,AWS Shield Advanced 也能讓您查看 Route 53 基礎設施的攻擊。

要進一步了解,請參閱 How to Reduce DDoS Risks Using Amazon Route 53 and AWS Shield


Web 應用程式和 API
使用 Amazon CloudFront 或 Application Load Balancer

使用 Amazon CloudFront 時,AWS Shield Standard 會自動提供完備的保護,免於受到 SYN 泛洪、UDP 泛洪等基礎設施層攻擊或其他反射攻擊。AWS Shield Standard 永遠啟用的偵測功能和風險降低系統會自動清理 Layer 3 和 4 的不良流量,以保護您的應用程式。AWS Shield Standard 所偵測到超過 99% 對 Amazon CloudFront 進行的基礎設施層攻擊都可在 1 秒內減緩。

了解如何使用 Amazon CloudFront 保護動態應用程式不受 DDoS 攻擊

了解 Slack 如何使用 Amazon CloudFront 避免 DDoS 攻擊

主講者:
Slack Technologies, Inc. 資深營運工程師 Alex Graham

Alex Graham, Sr. Operations Manager, Slack

您還可以在 Amazon CloudFront 上使用 AWS Shield Advanced,針對大型和複雜的 DDoS 攻擊提供額外的保護。使用 Shield Advanced 的客戶可全天候使用 AWS DDoS 反應團隊 (DRT) 服務,該團隊使用流量工程等額外技術,針對所有複雜的基礎設施層 (Layer 3 或 4) 攻擊主動採用所有必要的防禦措施。此外,AWS Shield Advanced 也能保護您不受 HTTP 泛洪等應用程式層的攻擊。AWS Shield Advanced 內建的永遠啟用偵測系統可建立客戶穩定狀態應用程式流量的基準,並監控任何異常狀況。AWS Shield Advanced 包含的 AWS WAF 無須額外費用,可讓您自訂任何應用程式層防禦措施。


其他應用程式 (例如,以 UDP 為基礎的應用程式)
使用彈性 IP 地址

如果不是以 TCP (如 UDP、SIP 等) 為基礎的其他自訂應用程式,您不能使用 Amazon CloudFront 或 Elastic Load Balancing 這類服務。在這些情況下,通常需要直接在與網際網路連結的 Amazon EC2 執行個體上執行您的應用程式。AWS Shield Standard 也能保護您的 Amazon EC2 執行個體不受 UDP 反射攻擊等常見的基礎設施層 (Layer 3 和 4) DDoS 攻擊,例如 DNS 反射、NTP 反射、SSDP 反射等攻擊。AWS Shield Standard 採用多種技術,像是依據優先順序設定的流量管制,會在偵測到定義完善的 DDoS 攻擊特徵時自動套用。

您也可以在彈性 IP 地址啟用 AWS Shield Advanced,為這些應用程式提供大型和複雜 DDoS 攻擊的進階防護。AWS Shield Advanced 增強的 DDoS 偵測功能會自動偵測 AWS 資源類型和 EC2 執行個體大小,並套用適當的預先定義防禦措施。使用 AWS Shield Advanced,客戶還可以透過全天候的 AWS DDoS 反應團隊 (DRT) 建立自己的自訂防禦描述檔。另外,AWS Shield Advanced 可確保您的所有 Amazon VPC 網路存取控制清單 (ACL) 在 DDoS 攻擊期間會自動在 AWS 網路邊界執行,讓您存取額外的頻寬和清理中容量,以減緩大規模 DDoS 攻擊。使用 AWS Shield Advanced,您可以獲得額外的保護,防禦 SYN 泛洪等 DDoS 攻擊,或是 UDP 泛洪等其他向量攻擊。

進一步了解連接彈性 IP 到 Amazon EC2 執行個體

您在 AWS 上執行的 Web 應用程式已受到 AWS Shield Standard 保護。若要啟用 AWS Shield Advanced,請移至 "AWS WAF and AWS Shield" 管理主控台,然後選取您想啟用 Advanced 方案保護的資源。

開始使用 AWS Shield