一般問題
AWS Shield 是一種代管服務,可為 AWS 上執行的 Web 應用程式防禦分散式拒絕服務 (DDoS) 攻擊。AWS Shield Standard 會自動啟用並提供給所有 AWS 客戶免費使用。AWS Shield Advanced 是選購的付費服務。AWS Shield Advanced 可為 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 與 Route 53 上執行的應用程式提供額外保護,攔截更精密且更大型的攻擊。
問:什麼是 AWS Shield Standard?
AWS Shield Standard 可為所有 AWS 客戶提供保護,防禦常見且最常發生在基礎設施 (Layer 3 與 Layer 4) 的攻擊,如 SYN/UDP 泛洪、反射式攻擊等,賦予 AWS 上執行的應用程式高可用性。
問:什麼是 AWS Shield Advanced?
AWS Shield Advanced 可為您在受保護的 Amazon EC2, Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 與 Route 53 資源上執行的應用程式提供更強勁的保護,使其不受更精密且更大型的攻擊威脅。AWS Shield Advanced 保護機制可針對網路流量提供隨時啟用的流量監控,同時監控使用中的應用程式,一旦發生 DDoS 攻擊,會以近乎即時的速度通知。AWS Shield Advanced 也採用進階攻擊緩解和路由技術,來自動減緩攻擊。擁有商業或企業支援的客戶還可以藉助全年無休的 Shield 應變團隊 (SRT) 之力,管理及減少應用程式層的 DDoS 攻擊。DDoS 擴展費用保障功能可穩定您的 AWS 帳單費用,避免 DDoS 攻擊造成受保護的 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 與 Amazon Route 53 用量暴增,產生高額費用。
問:什麼是 DDoS 擴展費用保障功能?
AWS Shield Advanced 包含 DDoS 費用穩定功能,這項防衛機制可以避免 DDoS 攻擊造成受保護的 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 用量暴增,進而導致高額費用。如上述任一 AWS Shield Advanced 受保護資源因 DDoS 攻擊而導致用量上升,您可以透過一般 AWS Support 管道申請抵扣。
問:AWS Shield 是否可以保護未託管於 AWS 的網站?
是,AWS Shield 已與 Amazon CloudFront 整合,可支援 AWS 以外的自訂來源。
問:IPv6 是否可與所有 AWS Shield 功能搭配使用?
是。AWS Shield 的所有偵測與緩解功能都可搭配 IPv6 與 IPv4 運作,對服務的效能、擴展性或可用性不會有任何明顯影響。
問:如何測試 AWS Shield?
「AWS 可接受的使用政策」描述了 AWS 上允許和禁止的行為,其中也一併描述了禁止的安全違規和網路濫用行為。不過,由於 DDoS 模擬測試、滲透測試和其他模擬事件時常與這些活動難以辨別,因此我們設立了客戶請求許可政策,以執行 DDoS 測試、滲透測試和漏洞掃描。如需詳細資訊,請瀏覽我們的滲透測試頁面和 DDoS 模擬測試政策。
問:哪些 AWS 區域提供 AWS Shield Standard?
全球每一個 AWS 區域和 AWS 節點的所有 AWS 服務都已提供 AWS Shield Standard。
請參閱區域性產品和服務,了解 AWS Shield Standard 在不同區域的供應情形詳細資訊。
問:哪些 AWS 區域提供 AWS Shield Advanced?
全球所有 Amazon CloudFront, AWS Global Accelerator, and Amazon Route 53 節點都已提供 AWS Shield Advanced。您可以藉由在應用程式前部署 Amazon CloudFront,保護在世界各地託管的 Web 應用程式。原始伺服器可以是 Amazon Simple Storage Service (S3)、Amazon EC2、Elastic Load Balancing,或位於 AWS 外部的自訂伺服器。您也可以直接在以下 AWS 區域,利用 Elastic Load Balancing 或 Amazon EC2 啟用 AWS Shield Advanced – 維吉尼亞北部、俄亥俄、奧勒岡、加利佛尼亞北部、蒙特婁、聖保羅、愛爾蘭、法蘭克福、倫敦、巴黎、斯德哥爾摩、新加坡、東京、雪梨、首爾、孟買、米蘭、開普敦、香港、巴林、馬來西亞和阿拉伯聯合大公國。
請參閱區域性產品和服務,了解 AWS Shield Advanced 在不同區域的最新供應情形詳細資訊。
問:AWS Shield 是否符合 HIPAA 資格?
是,AWS 已經擴展其 HIPAA 合規計劃,將 AWS Shield 納入 HIPAA 合格服務。如果您擁有與 AWS 共同履行的商業夥伴協議 (BAA),即可使用 AWS Shield 保護 AWS 上執行的 Web 應用程式,使其不受分散式拒絕服務 (DDoS) 的攻擊。如需詳細資訊,請參閱 HIPAA 合規。
設定保護
問:AWS Shield Standard 可協助我阻擋哪些類型的攻擊?
AWS Shield Standard 會自動為 AWS 上執行的 Web 應用程式提供保護,防禦最常見且經常發生在基礎設施層的攻擊,例如 UDP 泛洪,以及 TCP SYN 泛洪等狀態耗盡攻擊。客戶也可以使用 AWS WAF,抵禦 HTTP POST 或 GET 泛洪等應用程式層攻擊。如需如何部署應用程式層保護的詳細資訊,請參閱 AWS WAF 和 AWS Shield Advanced 開發人員指南。
問:我可為多少資源啟用 AWS Shield Standard 保護?
AWS Shield Standard 保護沒有資源數量限制。遵循 AWS 上的 DDoS 彈性最佳實務,即可享有 AWS Shield Standard 保護的所有優勢。
問:我可為多少資源啟用 AWS Shield Advanced 保護?
您最多可針對 AWS Shield Advanced 保護功能,在每個支援的資源類型啟用 1000 個 AWS 資源 (Classic/Application Load Balancer、Amazon CloudFront 分發、Amazon Route 53 主機代管區域、彈性 IP、AWS Global Accelerator 加速器)。如果您想啟用超過 1,000 個資源,可以建立 AWS Support 案例,申請提高限額。
問:是否可以透過 API 啟用 AWS Shield Advanced 保護?
是。您可透過 API 啟用 AWS Shield Advanced,也可以透過 API 從 AWS Shield Advanced 保護新增或移除 AWS 資源。
問:紓解攻擊的速度有多快?
通常,AWS Shield 偵測到的 99% 基礎設施層攻擊中,Amazon CloudFront 和 Amazon Route 53 上的攻擊可在 1 秒內緩解,而 Elastic Load Balancing 上的攻擊可在 5 分鐘內紓緩。剩餘 1% 的基礎設施攻擊通常可在 20 分鐘內減緩。您可在 AWS WAF 上撰寫規則,緩解應用程式層的攻擊,以內嵌方式檢查傳入流量並減少攻擊次數。
問:我是否可以在 AWS 外部保護資源?
可以,我們有許多客戶選擇在其後端執行個體前面使用 AWS 端點。這些端點通常是我們分佈全球的 CloudFront 和 Route 53 服務。這些服務也是我們針對 DDoS 恢復能力建議的最佳實務。客戶可以利用 Shield Advanced 來保護這些 CloudFront 分發和 Route 53 託管區域。請注意,您必須將其後端資源鎖定為只接受來自 AWS 端點的流量。
回應攻擊
問:AWS Shield Standard 提供哪些工具,可協助減少 DDoS 攻擊?
AWS Shield Standard 會自動保護 AWS 上執行的 Web 應用程式,使其不受常見 DDoS 攻擊威脅。遵循 AWS 上的 DDoS 彈性最佳實務,即可享有 AWS Shield Standard 的所有優勢。
問:AWS Shield Advanced 提供哪些工具,可協助減少 DDoS 攻擊?
AWS Shield Advanced 會針對 Layer 3 與 Layer 4 的 DDoS 攻擊管理防護情形。這表示您指定的應用程式會受到妥善保護,可免於 UDP 泛洪或 TCP SYN 泛洪等攻擊威脅。此外,針對應用程式層 (Layer 7) 攻擊,AWS Shield Advanced 能偵測 HTTP 泛洪和 DNS 泛洪之類的攻擊。您可以利用 AWS WAF 套用自己的防護機制,或者如果您擁有商業或企業支援,則委託全年無休的 AWS Shield 應變團隊 (SRT) 為您撰寫規則,減少 Layer 7 DDoS 攻擊。
問:我是否需要特殊支援計劃才能聯繫 AWS Shield 應變小組?
是的,您需要商業或企業支援計劃才能呈報或接觸 AWS Shield 應變小組 (SRT)。如需 AWS Support 方案的詳細資訊,請參閱 AWS Support 網站。
問:如何聯絡 AWS Shield 應變團隊?
您可以透過 AWS 一般支援聯繫 AWS Shield 應變團隊 (SRT),或是與 AWS Support 聯絡。
問:聯絡上 AWS Shield 應變團隊 (SRT) 需要多久時間?
SRT 的回應時間取決於您訂閱的 AWS Support 方案。我們會盡一切合理的努力,在對應的時間範圍內回應您的初次請求。如需 AWS Support 方案的詳細資訊,請參閱 AWS Support 網站。
可見性與報告
是。使用 AWS Shield Advanced 期間,您可透過 CloudWatch 指標接收 DDoS 攻擊通知。
問:我多快能收到攻擊通知?
通常 AWS Shield Advanced 會在偵測到攻擊後幾分鐘內傳送攻擊通知。
問:是否可以取得 AWS 資源上發生的所有 DDoS 攻擊歷史記錄?
是。使用 AWS Shield Advanced 期間,您可以查看最近 13 個月所有事件的歷史記錄。
問:可以在整個 AWS 中看到攻擊嗎?
可以,AWS Shield Advanced 的客戶可以存取全球威脅環境儀表板,這個儀表板以匿名和抽樣的方式,顯示過去 2 週在 AWS 上偵測到所有l DDoS 攻擊。
問:如何查看我的 AWS WAF 規則是否正常運作?
AWS WAF 提供兩種方法,供您查看網站受保護的情況:CloudWatch 可提供一分鐘指標,而 AWS WAF API 或 AWS 管理主控台則可提供採樣的 Web 請求。此外,您還可以啟用全面日誌功能,透過 Amazon Kinesis Firehose 將日誌傳送到您指定的目的地。透過這些方法,您可以查看已封鎖、允許或計算的請求,以及指定的請求符合哪個規則 (亦即 Web 請求是因 IP 地址條件而封鎖,或是其他原因)。如需詳細資訊,請參閱 AWS WAF 和 AWS Shield Advanced 開發人員指南。
問:我需要進行 pen-test 來評估服務和我的應用程式。核准的程序為何?
請參閱 AWS 上的滲透測試。不過,這不包含「DDoS 負載測試」,AWS 上未授權使用此測試。如果您想要進行即時 DDoS 測試,可以透過 AWS Support 提出問題單,要求核准此測試。核准測試需要 AWS、客戶和 DDoS 測試供應商之間,針對測試的狀況達成協議。請注意,我們只與經核准的 DDoS 測試供應商合作,整個程序需要 3 到 4 週。
計費
問:AWS Shield Standard 如何計費?
AWS Shield Standard 內建於您已用於 Web 應用程式的 AWS 服務中,AWS Shield Standard 本身無需額外收費。
問:AWS Shield Advanced 如何計費?
使用 AWS Shield Advanced 期間,每個組織每月需支付 3,000 USD 的月費。此外,您也需要為啟用進階保護的 AWS 資源支付 AWS Shield Advanced 資料傳輸使用費。AWS Shield Advanced 費用是在 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 標準費用之外另外收取。如需詳細資訊,請參閱 AWS Shield 定價頁面。
問:是否可以選擇使用 AWS Shield Advanced 只保護部分資源?
可以,AWS Shield Advanced 可讓您彈性選擇所要保護的資源。您只需支付在這些受保護資源上使用 AWS Shield Advanced 資料傳輸的費用。
問:如何跨多個 AWS 帳戶啟用 AWS Shield Advanced?
如果您的組織有多個 AWS 帳戶,您可以使用 AWS 管理主控台或 API 在每個帳戶中個別啟用 AWS Shield Advanced,讓多個 AWS 帳戶訂閱這項功能。只要 AWS 帳戶都在一個合併帳單之下,且您擁有這些帳戶中的所有 AWS 帳戶和資源,就只需支付一次月費。
進一步了解 AWS Shield 定價