AWS Shield Standard


基礎 AWS 服務的靜態閾值 DDoS 保護

AWS Shield Standard 提供永遠啟用的網路流量監控功能,可檢測連入 AWS 服務的流量,並搭配使用流量簽章、不規則演算法與其他分析技術,即時偵測惡意流量。Shield Standard 針對每種 AWS 資源類型設定靜態閾值,但不為 AWS 客戶的應用程式提供任何自訂保護。

內嵌的攻擊降低功能

自動風險降低技術內建於 AWS Shield Standard 中,可保護基礎 AWS 服務不受常見且經常發生的基礎設施攻擊。內嵌自動風險降低功能以保護 AWS 服務,因此不會有延遲的影響。AWS Shield Standard 採用如決定性封包篩選及依據流量管制設定的優先順序等技術來自動降低基本網路層攻擊。

AWS Shield Advanced


根據應用程式流量模式進行量身定製的偵測

AWS Shield Advanced 會提供自訂偵測,針對您受保護的彈性 IP 地址、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 資源的流量模式。使用額外的區域和資源特定的監控技術,AWS Shield Advanced 可以偵測到較小的 DDoS 攻擊並發出警報。透過制訂應用程式流量基準及識別異常現象,AWS Shield Advanced 還能偵測到 HTTP 泛洪或 DNS 查詢泛洪等應用程式層的攻擊。

運作狀態偵測

AWS Shield Advanced 能利用應用程式的運作狀態,提升偵測攻擊和降低損害的回應能力和準確度。您可以透過主控台或 API,設定 Amazon Route 53 的運作狀態檢查作業,並將其與 Shield Advanced 保護的資源建立關聯。如此一來,Shield Advanced 便能更快偵測到影響應用程式運作狀態的攻擊,而且減少流量閾值,進而提升應用程式的 DDoS 彈性,並避免誤判通知。資源運作狀態也會提供給 DDoS 應變小組,以便他們優先確定對不健康應用程式做出回應的優先級。這種以運作狀態為基礎的偵測功能可套用至 Shield Advanced 支援的所有資源類型,包括 Elastic IP、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53。

進階攻擊風險降低

AWS Shield Advanced 可提供更精密的自動防護功能,防禦針對在受保護的 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 資源上執行之應用程式的攻擊。AWS Shield Advanced 採用進階路由技術,可自動部署額外的風險防護功能,進而保護您的應用程式免受 DDoS 攻擊。對於擁有商業或企業支援的客戶,AWS DDoS 應變小組 (DRT) 也可針對可能對於您的應用程式特有的更複雜且精密的 DDoS 攻擊提供手動防護。對於應用程式層攻擊,您可以使用 AWS WAF 免費為受 AWS Shield Advanced 保護的資源設定主動式規則,如基於速率的封鎖,以自動阻止來自攻擊來源 IP 地址的 Web 請求,或在事件發生時立即響應事件。您也可以直接與 DRT 溝通,讓其代您放置自訂 AWS WAF 規則,以因應應用程式層 DDoS 攻擊。DRT 會診斷攻擊,並在您的許可下,可代您運用緩解措施,從而減少持續的 DDoS 攻擊可能影響您應用程式的時間。

主動事件回應

AWS Shield Advanced 讓 DDoS 應變小組(DRT) 在偵測到 DDoS 事件時能夠主動參與。啟用主動參與後,如果在 DDoS 事件期間,關聯至您受保護之資源的 Amazon Route 53 運作狀態檢查狀況不良時,DRT 會直接聯絡您。如此一來,在應用程式可用性受到可疑攻擊的影響時,您即可更快速地聯繫專家。您現在可以接收下列事件的主動參與:彈性 IP 地址和 Global Accelerator 加速器上的網路層和傳輸層事件,以及 CloudFront 分發和 Application Load Balancer 上的應用程式層攻擊。

可視性與攻擊通知

AWS Shield Advanced 透過 Amazon CloudWatch 近乎即時的通知和 "AWS WAF and AWS Shield" 管理主控台或 API 上的詳細診斷資訊,可讓您完全看清 DDoS 攻擊。您也可以透過 "AWS WAF and AWS Shield" 管理主控台,查看攻擊發生前的摘要。

DDoS 費用保護

AWS Shield Advanced 自帶「DDoS 費用保護」功能,可針對受保護的 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 資源上的 DDoS 相關用量高峰導致的暴增費用提供保護。如上述任一受保護資源因 DDoS 攻擊而導致用量上升,您可以透過一般 AWS Support 管道申請 AWS Shield Advanced 服務抵扣。

專業支援

對於擁有商業/企業支援的客戶,使用 AWS Shield Advanced,您可全天候使用 AWS DDoS 反應團隊 (DRT) 服務,在 DDoS 攻擊前後與期間取得協助。DRT 可協助分類事件、找出根本原因,並代您套用風險降低功能。DRT 在快速回應和降低 AWS 客戶間 DDoS 攻擊方面擁有精深的專業知識。

全球可用性

所有 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 節點都可使用 AWS Shield Advanced。您可以藉由在應用程式前部署 Amazon CloudFront,保護在世界各地託管的 Web 應用程式。原始伺服器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB),或位於 AWS 外部的自訂伺服器。您還可以在所有提供 AWS Shield Advanced 的區域中直接在彈性 IP 或 Elastic Load Balancing (ELB) 執行個體上啟用保護。

集中式保護管理

AWS Shield Advanced 客戶可以使用 AWS Firewall Manager 在整個組織中應用 AWS Shield Advanced 和 AWS WAF 保護。Firewall Manager 的費用包含在 Shield Advanced 訂閱費用中。使用 AWS Firewall Manager,您可以自動配置覆蓋多個帳戶和資源的政策。Firewall Manager 會自動稽核帳戶,以找到新的或未受保護的資源,並確保 AWS Shield Advanced 和 AWS WAF 保護功能得到普遍應用。這讓開發人員能夠快速移動並部署新的應用程式,對自動運用適當的保護充滿信心。若要進一步了解 AWS Firewall Manager,請造訪產品網站

進一步了解 AWS Shield 定價

瀏覽定價頁面
準備好開始使用了嗎?
開始使用 AWS Shield
還有其他問題嗎?
聯絡我們