AWS Shield

受管的 DDoS 保護

AWS Shield 是一種受管的分散式拒絕服務 (DDoS) 保護服務,可保護 AWS 上執行的應用程式不受攻擊。AWS Shield 不只提供永遠開啟的偵測服務,還提供自動的內嵌風險降低功能,可將應用程式停機與延遲時間縮到最短,因此您無須聯絡 AWS Support 也能輕鬆享受 DDoS 保護。AWS Shield 有兩種方案 – Standard 與 Advanced。

所有 AWS 客戶都能使用 AWS Shield Standard 提供的自動保護,無須額外付費。AWS Shield Standard 可保護您的網站或應用程式,免於常見且經常發生的網路與傳輸層 DDoS 攻擊。若將 AWS Shield Standard 與 Amazon CloudFront 和 Amazon Route 53 搭配使用,即可享有所有已知基礎設施 (Layer 3 和 4) 攻擊的全方位保護,確保可用性。

如果 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 資源上執行的應用程式需要更高水準的攻擊防護,可訂閱 AWS Shield Advanced。除了 Standard 配備的網路與傳輸層保護之外,AWS Shield Advanced 也針對大型精密 DDoS 攻擊提供額外偵測與防護功能,除了能近乎即時地掌握攻擊情況,也整合 Web 應用程式防火牆 AWS WAF。AWS Shield Advanced 還編制 AWS DDoS 應變團隊 (DRT) 全天候提供服務,並因應 DDoS 造成的流量高峰,為您的 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 提供全方位保護。

全球所有 Amazon CloudFront 和 Amazon Route 53 節點都可使用 AWS Shield Advanced。您可以藉由在應用程式前部署 Amazon CloudFront,保護在世界各地託管的 Web 應用程式。原始伺服器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB),或位於 AWS 外部的自訂伺服器。您也可以直接在以下 AWS 區域,利用彈性 IP 或 Elastic Load Balancing (ELB) 啟用 AWS Shield Advanced:維吉尼亞北部、奧勒岡、愛爾蘭、東京和加利佛尼亞北部。

優點

無縫整合和部署

AWS Shield Standard 啟用後,會自動保護您的 AWS 資源不受常見且經常發生的網路與傳輸層 DDoS 攻擊。只要使用管理主控台或 API,針對您要保護的彈性 IP、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 資源啟用 AWS Shield Advanced 保護,就能獲得更高水準的防護。

自訂保護

使用 AWS Shield Advanced,即可享有撰寫自訂規則的彈性,抵禦應用程式層的精密攻擊。這類自訂規則可以立即部署,以快速抵禦攻擊。您可以主動設定規則以自動封鎖不良流量,或在事件發生時回應事件。此外,您還可以全天候使用 AWS DDoS 應變團隊 (DRT) 服務,由他們為您撰寫規則,防禦應用程式層的 DDoS 攻擊。

經濟實惠

AWS 客戶可透過 AWS Shield Standard 自動獲得網路層保護,以免受到最常見的 DDoS 攻擊侵擾。這項防護不須額外的費用、資源或時間即可直接啟用。使用 AWS Shield Advanced,即可享有「DDoS 費用保護」功能。這項功能可穩定您的 AWS 帳單費用,避免 DDoS 攻擊造成 EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 與 Amazon Route 53 用量暴增,產生高額費用。

保護使用案例

Web 應用程式和 API

使用 Amazon CloudFront 期間,AWS Shield Standard 會自動提供完備保護,免於受到 SYN 泛洪、UDP 泛洪等基礎設施層攻擊或其他反射攻擊。AWS Shield Standard 的偵測功能和風險降低系統會隨時保持啟用,自動清理 Layer 3 和 Layer 4 的不良流量,保護您的應用程式。AWS Shield Standard 所偵測到超過 99% 對 Amazon CloudFront 發起的基礎設施層攻擊,都可在 1 秒內有效紓解。

了解如何使用 Amazon CloudFront 保護動態應用程式不受 DDoS 攻擊

了解 Slack 如何使用 Amazon CloudFront 避免 DDoS 攻擊

您還可以在 Amazon CloudFront 上使用 AWS Shield Advanced,針對大型和複雜的 DDoS 攻擊提供額外保護。使用 Shield Advanced 的客戶可全天候使用 AWS DDoS 反應團隊 (DRT) 服務,該團隊使用流量工程等額外技術,針對所有複雜的基礎設施層 (Layer 3 或 4) 攻擊主動採用所有必要的防禦措施。此外,AWS Shield Advanced 也能保護您不受 HTTP 泛洪等應用程式層的攻擊。AWS Shield Advanced 內建的永遠啟用偵測系統可建立客戶穩定狀態應用程式流量的基準,並監控任何異常狀況。AWS Shield Advanced 包含的 AWS WAF 無需額外費用,可讓您自訂任何應用程式層防禦措施。

Slack - 保障 API 加速的安全

主講人:
Alex Graham 先生Slack Technologies, Inc. 系統營運工程師

200x100_Slack_Logo

DNS

AWS Shield Standard 會自動保護您的 Amazon Route 53 託管區域不受基礎設施層的 DDoS 攻擊所侵擾,且不需額外費用。這些攻擊包含經常以 DNS 為目標的反射攻擊或 SYN 泛洪攻擊。AWS Shield Standard 自動採用多種技術以自動防禦這些 DDoS 攻擊,如標頭驗證及依據流量管制設定的優先順序。

AWS Shield Advanced 還能透過全年無休的 AWS DDoS 反應團隊,針對需要人為介入的極端案例提供額外的保護。此外,AWS Shield Advanced 也能讓您查看 Route 53 基礎設施的攻擊。

如要進一步了解,請參閱 How to Reduce DDoS Risks Using Amazon Route 53 and AWS Shield

其他應用程式 (例如 UDP 型應用程式)

若非以 TCP (如 UDP、SIP 等) 為基礎的自訂應用程式,則不能使用 Amazon CloudFront 或 Elastic Load Balancing 等服務。在這些情況下,通常需要直接在與網際網路面向的 Amazon EC2 執行個體上執行您的應用程式。AWS Shield Standard 也能保護您的 Amazon EC2 執行個體不受 UDP 反射攻擊等常見的基礎設施層 (Layer 3 和 4) DDoS 攻擊,例如 DNS 反射、NTP 反射、SSDP 反射等攻擊。AWS Shield Standard 採用多種技術,像是依據優先順序設定的流量管制,會在偵測到定義完善的 DDoS 攻擊特徵時自動套用。

您也可以在彈性 IP 地址啟用 AWS Shield Advanced,為這些應用程式提供大型和複雜 DDoS 攻擊的進階防護。AWS Shield Advanced 增強的 DDoS 偵測功能會自動偵測 AWS 資源類型和 EC2 執行個體大小,並套用適當的預先定義防禦措施。使用 AWS Shield Advanced,客戶還可以透過全天候的 AWS DDoS 反應團隊 (DRT) 建立自己的自訂防禦描述檔。另外,AWS Shield Advanced 可確保您的所有 Amazon VPC 網路存取控制清單 (ACL) 在 DDoS 攻擊期間會自動在 AWS 網路邊界執行,讓您存取額外的頻寬和清理中容量,以減緩大規模 DDoS 攻擊。使用 AWS Shield Advanced,您可以獲得額外的保護,防禦 SYN 泛洪等 DDoS 攻擊,或是 UDP 泛洪等其他向量攻擊。

進一步了解如何將彈性 IP 連接到 Amazon EC2 執行個體

開始使用 AWS

icon1

註冊 AWS 帳戶

立即存取 AWS 免費方案
icon2

利用 10 分鐘教學了解

跟著 簡單的教學課程一同探索並學習。
icon3

開始使用 AWS 進行建置

參照逐步操作指南開始建置,協助您啟動 AWS 專案

進一步了解 AWS Shield

瀏覽功能頁面
準備好開始使用了嗎?
開始使用 AWS Shield
還有其他問題嗎?
聯絡我們