開始免費使用 AWS

建立免費帳戶

獲得 12 個月的 AWS 免費方案,同時享受 AWS 的基本支援功能,包括全年無休的客戶服務、支援論壇等等。

問:什麼是 AWS Shield?

AWS Shield 是一種受管服務,可為在 AWS 上執行的 Web 應用程式防禦 DDoS 攻擊。所有 AWS 客戶都可以免費使用 AWS Shield Standard。AWS Shield Advanced 則是選用付費服務,AWS 商業支援與 AWS 企業支援客戶皆可使用。AWS Shield Advanced 可針對在 Elastic Load Balancing (ELB)、Amazon CloudFront 與 Route 53 上執行的應用程式提供額外保護,攔截更大型的複雜攻擊。

問:什麼是 AWS Shield Standard?

AWS Shield Standard 可為所有 AWS 客戶提供保護,防禦常見且最常發生在基礎設施 (Layer 3 與 4) 的攻擊,如 SYN/UDP 泛洪、反射式攻擊等等,以支援在 AWS 上執行的應用程式具有高可用性。

問:什麼是 AWS Shield Advanced?

AWS Shield Advanced 可為您在 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 與 Route 53 上執行的應用程式提供增強的保護,使其不受更大型的複雜攻擊威脅。AWS Shield Advanced 適用於 AWS 商業支援與 AWS 企業支援客戶。AWS Shield Advanced 保護針對網路流量提供永遠啟用的流量監控及使用中應用程式監控,可以近乎即時的速度通知您 DDoS 攻擊。在攻擊減緩方面,AWS Shield Advanced 也提供客戶極大的彈性讓他們立即採取的動作。客戶還可以藉助全年無休的 DDoS 反應團隊 (DRT) 之力來管理和減緩應用程式層的 DDoS 攻擊。AWS Shield Advanced 的 DDoS 費用保護功能可保護您的 AWS 帳單費用,避免 DDoS 攻擊造成 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 與 Amazon Route 53 用量高峰所帶來的高額費用。

問:什麼是 DDoS 費用保護?

AWS Shield Advanced 包含 DDoS 費用保護,這項防衛機制可以避免 DDoS 攻擊造成 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 用量高峰,進而導致費用暴增。如上述任一服務因 DDoS 攻擊而導致用量上升,您可以透過一般 AWS Support 管道請求抵扣。

問:是否可以使用 AWS Shield 保護不在 AWS 託管的網站?

是,AWS Shield 與 Amazon CloudFront 整合,可支援 AWS 外的自訂來源。

問:是否能以 IPv6 搭配所有 AWS Shield 功能使用?

是。所有 AWS Shield 的偵測與減緩功能都可搭配 IPv6 與 IPv4 運作,對服務的效能、可擴展性或可用性不會有任何明顯的變更。

問:啟用 AWS Shield Advanced 是否有任何先決條件?

是。要訂閱 AWS Shield Advanced 的 AWS 帳戶必須具備 AWS 商業支援或 AWS 企業支援。如需支援方案的詳細資訊,請參閱 AWS Support 網站

問:可如何測試 AWS Shield?

AWS 可接受的使用政策描述了 AWS 上允許和禁止的行為,並且包含禁止的安全違規和網路濫用行為的描述。不過,由於滲透測試和其他模擬事件常常與這些活動難以辨別,因此我們建立了一項政策,讓客戶請求許可,對 AWS 環境進行滲透測試和漏洞掃描,或從 AWS 環境進行滲透測試和漏洞掃描。如要請求許可,請瀏覽我們的滲透測試頁面

問:哪些 AWS 區域提供 AWS Shield Standard?  

全球每一個 AWS 區域和 AWS 節點的所有 AWS 服務都提供 AWS Shield Standard。

請參閱區域性產品和服務,了解 AWS Shield Standard 在不同區域的可用性詳細資訊。

問:AWS Shield Advanced 在哪些 AWS 區域提供?

全球所有 Amazon CloudFront 和 Amazon Route 53 節點都提供 AWS Shield Advanced。您可以藉由在應用程式前部署 Amazon CloudFront,保護在世界各地託管的 Web 應用程式。原始伺服器可以是 Amazon S3、Amazon EC2、Elastic Load Balancing 或位於 AWS 外部的自訂伺服器。您也可以在維吉尼亞北部、加利佛尼亞北部、俄亥俄、奧勒岡、愛爾蘭、東京、雪梨和法蘭克福等 AWS 區域,直接在 Elastic Load Balancing 啟用 AWS Shield Advanced。

請參閱區域性產品和服務,了解 AWS Shield Advanced 在不同區域的可用性詳細資訊。

問:AWS Shield 是否符合 HIPAA 資格?

是,AWS 已經擴展其 HIPAA 合規計劃,將 AWS Shield 納入 HIPAA 合格服務。如果您擁有與 AWS 共同履行的商業夥伴協議 (BAA),可以使用 AWS Shield 保護在 AWS 上執行的 Web 應用程式不受分散式拒絕服務 (DDoS) 的攻擊。如需詳細資訊,請參閱 HIPAA 合規


問:AWS Shield 可協助我阻擋哪些類型的攻擊?

AWS Shield 可協助保護網站不受所有類型的 DDoS 攻擊威脅,包含基礎設施層攻擊 (如 UDP 泛洪)、狀態耗盡攻擊 (如 TCP SYN 泛洪),以及應用程式層攻擊 (如 HTTP GET 或 POST 泛洪)。如需相關範例,請參閱 AWS WAF and AWS Shield Advanced Developer Guide

問:AWS Shield Standard 可協助我阻擋哪些類型的攻擊?

AWS Shield Standard 會自動為 AWS 上執行的 Web 應用程式提供保護,防禦最常見且經常發生在基礎設施層的攻擊,例如 UDP 泛洪,以及 TCP SYN 泛洪等狀態耗盡攻擊。客戶也可以使用 AWS WAF 抵禦 HTTP POST 或 GET 泛洪等應用程式層攻擊。如需如何部署應用程式層保護的詳細資訊,請參閱 AWS WAF and AWS Shield Advanced Developer Guide

問:我可為多少資源啟用 AWS Shield Standard 保護?

AWS Shield Standard 保護沒有資源數量限制。遵循 AWS 上的 DDoS 彈性最佳實務即可獲得 AWS Shield Standard 保護的所有好處。

問:我可為多少資源啟用 AWS Shield Advanced 保護?

您最多可為 100 個 AWS 資源 (例如,負載平衡器、Amazon CloudFront 分發、Amazon Route 53 委派集) 啟用 AWS Shield Advanced 保護。如果您想啟用超過 100 個資源,可以建立 AWS Support 案例,請求提高限額

問:是否可以透過 API 啟用 AWS Shield Advanced 保護?

是。您可透過 API 啟用 AWS Shield Advanced。也可以透過 API 從 AWS Shield Advanced 保護新增或移除 AWS 資源。

問:減緩攻擊的速度有多快?

通常,AWS Shield 偵測到的 99% 基礎設施層攻擊,在 Amazon CloudFront 和 Amazon Route 53 上的攻擊可在 1 秒內減緩,而 Elastic Load Balancing 上的攻擊可在 5 分鐘內減緩。剩餘 1% 的基礎設施攻擊通常可在 20 分鐘內減緩。您可透過在 AWS WAF 上撰寫規則來減緩應用程式層攻擊,以內嵌方式檢查傳入流量並減少攻擊次數。


問:AWS Shield Standard 提供哪些工具來減少 DDoS 攻擊?

AWS Shield Standard 會自動保護您在 AWS 上執行的 Web 應用程式不受常見 DDoS 攻擊威脅。遵循 AWS 上的 DDoS 彈性最佳實務即可獲得 AWS Shield Standard 的所有好處。

問:AWS Shield Advanced 提供哪些工具來減少 DDoS 攻擊?

AWS Shield Advanced 會針對 layer 3 與 layer 4 的 DDoS 攻擊管理防護。這表示您指定的 Web 應用程式會受到妥善保護,可免於 UDP 泛洪或 TCP SYN 泛洪這類攻擊威脅。除此之外,針對應用程式層 (layer 7) 攻擊,您可以利用 AWS WAF 套用自己的防護,或是透過全年無休的 AWS DDoS 反應團隊 (DRT) 代您撰寫規則,藉以減少 Layer 7 DDoS 攻擊。

問:如何聯絡 AWS DDoS 反應團隊?

您可以透過 AWS 一般支援聯繫 AWS DDoS 反應團隊 (DRT),或是與 AWS Support 聯絡。

問:需要多久時間才能聯絡上 AWS DDoS 反應團隊 (DRT)?

DRT 的回應時間取決於您訂閱的 AWS Support 方案。我們將盡一切合理的努力,在對應的時間範圍內回應您的初次請求。如需 AWS Support 方案的詳細資訊,請參閱 AWS Support 網站


問:AWS Shield 是否會在攻擊發生時通知我?

是。使用 AWS Shield Advanced 時,您可透過 CloudWatch 指標接收 DDoS 攻擊通知。

問:我多快能收到攻擊通知?

通常 AWS Shield Advanced 會在偵測到攻擊後的幾分鐘內提供攻擊通知。

問:是否可以取得 AWS 資源上發生的所有 DDoS 攻擊歷史記錄?

是。使用 AWS Shield Advanced 時,您可以查看最近 13 個月所有事件的歷史記錄。

問:如何查看我的 AWS WAF 規則是否正常運作?

AWS WAF 提供兩種不同的方法讓您查看網站受保護的情況:CloudWatch 提供一分鐘指標,而 AWS WAF API 或管理主控台則提供採樣的 Web 請求。這些方法可讓您查看已封鎖、允許或計算的請求,以及指定的請求符合哪個規則 (即,這個 Web 請求是因 IP 地址條件而封鎖等等)。如需詳細資訊,請參閱 AWS WAF and AWS Shield Advanced Developer Guide


問:AWS Shield Standard 如何計費?

AWS Shield Standard 內建於您已經用於 Web 應用程式的 AWS 服務中,AWS Shield Standard 本身無須額外收費。

問:AWS Shield Advanced 如何計費?

使用 AWS Shield Advanced,每個組織每月需支付 3,000 USD 的月費。此外,您也需要為啟用進階保護的 AWS 資源支付資料傳輸使用費。AWS Shield Advanced 費用是在 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 標準費用之外另外收取。如需詳細資訊,請參閱 AWS Shield 定價頁面

問:如何跨多個 AWS 帳戶啟用 AWS Shield Advanced?

如果您的組織有多個 AWS 帳戶,可以向 AWS Shield Advanced 訂閱多個 AWS 帳戶。只要 AWS 帳戶都在一個合併帳單之下,且您擁有這些帳戶中的所有 AWS 帳戶和資源,則只需支付一次月費。