一般問題

問:什麼是 AWS Shield?

AWS Shield 是一種受管服務,可為 AWS 上執行的 Web 應用程式防禦 DDoS 攻擊。所有 AWS 客戶都可以免費使用 AWS Shield Standard。AWS Shield Advanced 是選用付費服務,AWS 商業支援與 AWS 企業支援客戶皆可使用。AWS Shield Advanced 可為 Elastic Load Balancing (ELB)、Amazon CloudFront 與 Route 53 上執行的應用程式提供額外保護,攔截更大型的複雜攻擊。

問:什麼是 AWS Shield Standard?

AWS Shield Standard 可為所有 AWS 客戶提供保護,防禦常見且最常發生在基礎設施 (Layer 3 與 Layer 4) 的攻擊,如 SYN/UDP 泛洪、反射式攻擊等,賦予 AWS 上執行的應用程式高可用性。

問:什麼是 AWS Shield Advanced?

AWS Shield Advanced 可為您在 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 與 Route 53 上執行的應用程式提供更周全的保護,使其不受更大型的複雜攻擊威脅。AWS Shield Advanced 適用於 AWS 商業支援與 AWS 企業支援客戶。AWS Shield Advanced 保護機制可針對網路流量提供隨時啟用的流量監控,同時監控使用中的應用程式,一旦發生 DDoS 攻擊,會以近乎即時的速度通知。在紓解攻擊方面,AWS Shield Advanced 也提供客戶極大的彈性,使其能立即採取應變行動。客戶還可以藉助全年無休的 DDoS 應變團隊 (DRT) 之力,管理及減少應用程式層的 DDoS 攻擊。AWS Shield Advanced 的 DDoS 費用保護功能可穩定您的 AWS 帳單費用,避免 DDoS 攻擊造成 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 與 Amazon Route 53 用量暴增,產生高額費用。

問:什麼是 DDoS 費用穩定功能?

AWS Shield Advanced 包含 DDoS 費用穩定功能,這項防衛機制可以避免 DDoS 攻擊造成 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 用量暴增,進而導致高額費用。如上述任一服務因 DDoS 攻擊而導致用量上升,您可以透過一般 AWS Support 管道申請抵扣。

問:AWS Shield 是否可以保護未託管於 AWS 的網站?

是,AWS Shield 已與 Amazon CloudFront 整合,可支援 AWS 以外的自訂來源。

問:IPv6 是否可與所有 AWS Shield 功能搭配使用?

是。AWS Shield 的所有偵測與緩解功能都可搭配 IPv6 與 IPv4 運作,對服務的效能、擴展性或可用性不會有任何明顯影響。

問:啟用 AWS Shield Advanced 是否有任何先決條件?

是。如要訂閱 AWS Shield Advanced,AWS 帳戶必須先採用 AWS 商業支援或 AWS 企業支援計劃。如需支援方案的詳細資訊,請參閱 AWS Support 網站

問:如何測試 AWS Shield?

「AWS 可接受的使用政策」描述了 AWS 上允許和禁止的行為,其中也一併描述了禁止的安全違規和網路濫用行為。不過,由於滲透測試和其他模擬事件時常與這些活動難以辨別,因此我們設立了客戶請求許可政策,對 AWS 環境執行滲透測試和漏洞掃描,或從 AWS 環境執行滲透測試和漏洞掃描。如要請求許可,請造訪我們的滲透測試頁面

問:哪些 AWS 區域提供 AWS Shield Standard?

全球每一個 AWS 區域和 AWS 節點的所有 AWS 服務都已提供 AWS Shield Standard。

請參閱區域性產品和服務,了解 AWS Shield Standard 在不同區域的供應情形詳細資訊。

問:哪些 AWS 區域提供 AWS Shield Advanced?

全球所有 Amazon CloudFront 和 Amazon Route 53 節點都已提供 AWS Shield Advanced。您可以藉由在應用程式前部署 Amazon CloudFront,保護在世界各地託管的 Web 應用程式。原始伺服器可以是 Amazon S3、Amazon EC2、Elastic Load Balancing,或位於 AWS 外部的自訂伺服器。您也可以在維吉尼亞北部、加利佛尼亞北部、俄亥俄、奧勒岡、愛爾蘭、東京、雪梨和法蘭克福等 AWS 區域,直接在 Elastic Load Balancing 啟用 AWS Shield Advanced。

請參閱區域性產品和服務,了解 AWS Shield Advanced 在不同區域的供應情形詳細資訊。

問:AWS Shield 是否符合 HIPAA 資格?

是,AWS 已經擴展其 HIPAA 合規計劃,將 AWS Shield 納入 HIPAA 合格服務。如果您擁有與 AWS 共同履行的商業夥伴協議 (BAA),即可使用 AWS Shield 保護 AWS 上執行的 Web 應用程式,使其不受分散式拒絕服務 (DDoS) 的攻擊。如需詳細資訊,請參閱 HIPAA 合規

設定保護

問:AWS Shield 可協助我阻擋哪些類型的攻擊?

AWS Shield 可保護網站不受所有類型的 DDoS 攻擊威脅,包含基礎設施層攻擊 (如 UDP 泛洪)、狀態耗盡攻擊 (如 TCP SYN 泛洪),以及應用程式層攻擊 (如 HTTP GET 或 POST 泛洪)。如需相關範例,請參閱 AWS WAF 和 AWS Shield Advanced 開發人員指南

問:AWS Shield Standard 可協助我阻擋哪些類型的攻擊?

AWS Shield Standard 會自動為 AWS 上執行的 Web 應用程式提供保護,防禦最常見且經常發生在基礎設施層的攻擊,例如 UDP 泛洪,以及 TCP SYN 泛洪等狀態耗盡攻擊。客戶也可以使用 AWS WAF,抵禦 HTTP POST 或 GET 泛洪等應用程式層攻擊。如需如何部署應用程式層保護的詳細資訊,請參閱 AWS WAF 和 AWS Shield Advanced 開發人員指南

問:我可為多少資源啟用 AWS Shield Standard 保護?

AWS Shield Standard 保護沒有資源數量限制。遵循 AWS 上的 DDoS 彈性最佳實務,即可享有 AWS Shield Standard 保護的所有優勢。

問:我可為多少資源啟用 AWS Shield Advanced 保護?

您最多可為 100 個 AWS 資源 (例如負載平衡器、Amazon CloudFront 分發、Amazon Route 53 委派集) 啟用 AWS Shield Advanced 保護。如果您想啟用超過 100 個資源,可以建立 AWS Support 案例,申請提高限額

問:是否可以透過 API 啟用 AWS Shield Advanced 保護?

是。您可透過 API 啟用 AWS Shield Advanced,也可以透過 API 從 AWS Shield Advanced 保護新增或移除 AWS 資源。

問:紓解攻擊的速度有多快?

通常,AWS Shield 偵測到的 99% 基礎設施層攻擊中,Amazon CloudFront 和 Amazon Route 53 上的攻擊可在 1 秒內緩解,而 Elastic Load Balancing 上的攻擊可在 5 分鐘內紓緩。剩餘 1% 的基礎設施攻擊通常可在 20 分鐘內減緩。您可在 AWS WAF 上撰寫規則,緩解應用程式層的攻擊,以內嵌方式檢查傳入流量並減少攻擊次數。

回應攻擊

問:AWS Shield Standard 提供哪些工具,可協助減少 DDoS 攻擊?

AWS Shield Standard 會自動保護 AWS 上執行的 Web 應用程式,使其不受常見 DDoS 攻擊威脅。遵循 AWS 上的 DDoS 彈性最佳實務,即可享有 AWS Shield Standard 的所有優勢。

問:AWS Shield Advanced 提供哪些工具,可協助減少 DDoS 攻擊?

AWS Shield Advanced 會針對 Layer 3 與 Layer 4 的 DDoS 攻擊管理防護情形。這表示您指定的 Web 應用程式會受到妥善保護,可免於 UDP 泛洪或 TCP SYN 泛洪等攻擊威脅。除此之外,針對應用程式層 (Layer 7) 攻擊,您可以利用 AWS WAF 套用自己的防護機制,或是委託全年無休的 AWS DDoS 應變團隊 (DRT) 為您撰寫規則,減少 Layer 7 DDoS 攻擊。

問:如何聯絡 AWS DDoS 應變團隊?

您可以透過 AWS 一般支援聯繫 AWS DDoS 應變團隊 (DRT),或是與 AWS Support 聯絡。

問:聯絡上 AWS DDoS 應變團隊 (DRT) 需要多久時間?

DRT 的回應時間取決於您訂閱的 AWS Support 方案。我們會盡一切合理的努力,在對應的時間範圍內回應您的初次請求。如需 AWS Support 方案的詳細資訊,請參閱 AWS Support 網站

可見性與報告

問:AWS Shield 是否會在攻擊發生時通知我?

是。使用 AWS Shield Advanced 期間,您可透過 CloudWatch 指標接收 DDoS 攻擊通知。

問:我多快能收到攻擊通知?

通常 AWS Shield Advanced 會在偵測到攻擊後幾分鐘內傳送攻擊通知。

問:是否可以取得 AWS 資源上發生的所有 DDoS 攻擊歷史記錄?

是。使用 AWS Shield Advanced 期間,您可以查看最近 13 個月所有事件的歷史記錄。

問:如何查看我的 AWS WAF 規則是否正常運作?

AWS WAF 提供兩種方法,供您查看網站受保護的情況:CloudWatch 可提供一分鐘指標,而 AWS WAF API 或管理主控台則可提供採樣的 Web 請求。透過這些方法,您可以查看已封鎖、允許或計算的請求,以及指定的請求符合哪個規則 (亦即 Web 請求是因 IP 地址條件而封鎖,或是其他原因)。如需詳細資訊,請參閱 AWS WAF 和 AWS Shield Advanced 開發人員指南

計費

問:AWS Shield Standard 如何計費?

AWS Shield Standard 內建於您已用於 Web 應用程式的 AWS 服務中,AWS Shield Standard 本身無需額外收費。

問:AWS Shield Advanced 如何計費?

使用 AWS Shield Advanced 期間,每個組織每月需支付 3,000 USD 的月費。此外,您也需要為啟用進階保護的 AWS 資源支付資料傳輸使用費。AWS Shield Advanced 費用是在 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 標準費用之外另外收取。如需詳細資訊,請參閱 AWS Shield 定價頁面

問:如何跨多個 AWS 帳戶啟用 AWS Shield Advanced?

如果您的組織擁有多個 AWS 帳戶,可向 AWS Shield Advanced 訂閱多個 AWS 帳戶。只要 AWS 帳戶都在一個合併帳單之下,且您擁有這些帳戶中的所有 AWS 帳戶和資源,就只需支付一次月費。

進一步了解 AWS Shield 定價

瀏覽定價頁面
準備好開始使用了嗎?
開始使用 AWS Shield
還有其他問題嗎?
聯絡我們