AWS Shield
Đám mây AWS

AWS Shield là dịch vụ bảo vệ khỏi tấn công Từ chối dịch vụ phân tán (DDoS) gúp bảo vệ các ứng dụng chạy trên AWS. AWS Shield cung cấp khả năng phát hiện liên tục và các biện pháp giảm thiểu nội tuyến tự động giúp giảm tối đa thời gian ngừng hoạt động và thời gian trễ của ứng dụng, nhờ đó không cần yêu cầu hỗ trợ từ AWS Support cũng có thể hưởng lợi ích từ bảo vệ DDoS. Có hai bậc AWS Shield – Standard và Advanced.

Toàn bộ khách hàng của AWS đều được hưởng lợi từ khả năng bảo vệ tự động của AWS Shield Standard mà không mất thêm phí. AWS Shield Standard bảo vệ khỏi hầu hết các cuộc tấn công DDoS ở tầng mạng và truyền tải xảy ra thường xuyên, phổ biến nhất, nhắm tới trang web hoặc ứng dụng của bạn. Khi sử dụng AWS Shield Standard cùng với Amazon CloudFront và Amazon Route 53, bạn sẽ nhận được bảo vệ toàn diện về mức độ sẵn sàng khỏi tất cả các cuộc tấn công cơ sở hạ tầng xác định (Tầng 3 và 4).

Để sử dụng các cấp độ bảo vệ cao hơn khỏi các cuộc tấn công nhắm tới ứng dụng đang chạy trên các tài nguyên Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFrontAmazon Route 53, bạn có thể đăng ký AWS Shield Advanced. Ngoài các khả năng bảo vệ tầng mạng và truyền tải có trên bậc Standard, AWS Shield Advanced còn cung cấp khả năng phát hiện và giảm thiểu bổ sung trước các cuộc tấn công DDoS lớn và tinh vi, khả năng giám sát các cuộc tấn công gần sát với thời gian thực, cũng như khả năng tích hợp với tường lửa ứng dụng web AWS WAF. AWS Shield Advanced cũng cho phép bạn truy cập 24x7 vào Nhóm Ứng phó với DDoS (DRT) của AWS và bảo vệ khỏi bị tăng đột biến phí Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFrontAmazon Route 53 do DDoS gây nên.

AWS Shield Advanced có sẵn trên toàn cầu tại tất cả các vị trí biên Amazon CloudFront và Amazon Route 53. Bạn có thể bảo vệ các ứng dụng web được lưu tại bất cứ nơi đâu trên thế giới bằng cách triển khai Amazon CloudFront trước ứng dụng. Các máy chủ gốc của bạn có thể là Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) hoặc một máy chủ khách hàng bên ngoài AWS. Bạn cũng có thể kích hoạt AWS Shield Advanced trực tiếp trên IP Động hoặc Elastic Load Balancing (ELB) trong các Khu vực AWS sau đây: Phía Bắc Virginia, Oregon, Ai-len, Tokyo và Phía Bắc California.

100x100_benefit_ingergration

Với AWS Shield Standard, các tài nguyên AWS của bạn tự động được bảo vệ khỏi các cuộc tấn công DDoS tầng mạng và truyền tải phổ biến, xảy ra thường xuyên nhất. Bạn có thể có được cấp độ bảo vệ cao hơn chỉ đơn giản bằng cách kích hoạt bảo vệ AWS Shield Advanced cho các tài nguyên IP Động, Elastic Load Balancing (ELB), Amazon CloudFront hoặc Amazon Route 53 mà bạn muốn bảo vệ thông qua bảng điều khiển quản lý hoặc các API.

100x100_benefit_customize

AWS Shield Advanced mang đến cho bạn khả năng linh hoạt trong việc viết các quy tắc tùy chỉnh để giảm thiểu các cuộc tấn công tầng ứng dụng tinh vi. Các quy tắc này có thể được triển khai ngay tức thì, cho phép bạn nhanh chóng giảm thiểu các cuộc tấn công. Bạn có thể thiết lập các quy tắc chủ động chặn tự động lưu lượng truy cập không hợp lệ hoặc ứng phó với những sự cố xảy ra. Bạn cũng có thể truy cập 24x7 tới Nhóm Ứng phó với DDoS (DRT) của AWS, là đơn vị có thể thay mặt bạn viết các quy tắc giảm thiểu tấn công DDoS tầng ứng dụng.

100x100_benefit_lowcost-affordable

Là một khách hàng của AWS, bạn mặc định nhận được cấp độ bảo vệ tầng mạng khỏi hầu hết các cuộc tấn công DDoS phổ biến nhờ AWS Shield Standard. Cấp độ bảo vệ này không đòi hỏi phải mất thêm phí, tài nguyên hay thời gian khởi tạo. Với AWS Shield Advanced, bạn nhận được “bảo vệ chi phí DDoS”, một tính năng bảo vệ hóa đơn thanh toán với AWS khỏi các đợt tăng đột biến về mức sử dụng EC2, Elastic Load Balancing (ELB), Amazon CloudFront và Amazon Route 53 do tấn công DDoS gây nên.

Phát hiện nhanh

AWS Shield Standard cung cấp khả năng giám sát lưu lượng mạng liên tục, kiểm tra lưu lượng truy cập đến AWS và sử dụng tổ hợp các dấu hiệu đặc trưng về lưu lượng truy cập, các thuật toán phát hiện bất thường và các kỹ thuật phân tích khác để phát hiện lưu lượng truy cập đáng ngờ trong thời gian thực

Giảm thiểu tấn công nội tuyến

Các kỹ thuật giảm thiểu tự động được tích hợp sẵn trong AWS Shield Standard, mang đến cho bạn khả năng bảo vệ khỏi các cuộc tấn công cơ sở hạ tầng phổ biến, xảy ra thường xuyên nhất. Các biện pháp giảm thiểu tự động được áp dụng nội tuyến vào các ứng dụng để không gây ra tác động tiềm tàng. AWS Shield Standard sử dụng một số tính năng như lọc gói tin xác định và định hình lưu lượng theo cấp độ ưu tiên để tự động giảm thiểu tấn công mà không để lại tác động tới các ứng dụng. Bạn cũng có thể giảm thiểu tấn công DDoS tầng ứng dụng bằng cách viết quy tắc thông qua AWS WAF. Với AWS WAF, bạn chỉ phải trả tiền cho những gì bạn sử dụng.

Tính năng phát hiện liên tục và giảm thiểu nội tuyến giúp giảm tối đa thời gian ngừng hoạt động của ứng dụng và bạn không cần yêu cầu hỗ trợ từ AWS Support để nhận bảo vệ DDoS


Phát hiện tăng cường

Với AWS Shield Advanced bạn có thể truy cập 24x7 tới Nhóm Ứng phó với DDoS (DRT) của AWS, là đơn vị có thể được yêu cầu tham gia hỗ trợ trước, trong hoặc sau cuộc tấn công DDoS. DRT sẽ phân cấp sự cố, xác định nguyên nhân gốc rễ và thay mặt bạn áp dụng các biện pháp giảm thiểu. Bạn cũng có thể yêu cầu hỗ trợ từ DRT để thu được phân tích sau tấn công.

Giảm thiểu tấn công nâng cao

AWS Shield Advanced cung cấp cho bạn các biện pháp giảm thiểu tự động tinh vi hơn. Nhờ sử dụng các kỹ thuật định tuyến nâng cao, AWS Shield Advanced tự động cung cấp khả năng giảm thiểu bổ sung để bảo vệ khỏi các cuộc tấn công DDoS lớn hơn. Nhóm Ứng phó với DDoS (DRT) của AWS còn áp dụng các biện pháp giảm thiểu thủ công trước các cuộc tấn công DDoS phức tạp và tinh vi hơn. Đối với các cuộc tấn công tầng ứng dụng, bạn có thể sử dụng AWS WAF để ứng phó với sự cố. Với AWS WAF, bạn có thể thiết lập các quy tắc chủ động như Lập danh sách đen dựa trên tốc độ để tự động chặn lưu lượng truy cập không hợp lệ hoặc ứng phó ngay tức thì với các sự cố xảy ra. Việc sử dụng AWS WAF cho cấp độ bảo vệ tầng ứng dụng không làm phát sinh thêm phí. Bạn cũng có thể trực tiếp yêu cầu DRT thay mặt bạn đặt các quy tắc AWS WAF, để ứng phó với tấn công DDoS tầng ứng dụng. DRT sẽ chẩn đoán vụ tấn công và, khi được bạn cho phép sẽ thay mặt bạn áp dụng các biện pháp giảm thiểu.

Giám sát và thông báo tấn công

AWS Shield Advanced mang đến cho bạn khả năng giám sát toàn diện các cuộc tấn công DDoS bằng các thông báo gần sát với thời gian thực thông qua Amazon CloudWatch và các thông tin chẩn đoán chi tiết trên Bảng điều khiển quản lý “AWS WAF và AWS Shield”. Khi làm việc với Nhóm Ứng phó với DDoS (DRT), bạn có thể truy cập phân tích và điều tra sau sự kiện. Bạn cũng có thể xem bản tóm tắt các cuộc tấn công trước đó từ Bảng điều khiển quản lý “AWS WAF và AWS Shield”.

Hỗ trợ chuyên sâu

AWS Shield Advanced cung cấp khả năng phát hiện tăng cường, giúp kiểm tra lưu lượng mạng, đồng thời giám sát lưu lượng truy cập tầng ứng dụng đến địa chỉ IP Động, các tài nguyên Elastic Load Balancing (ELB), Amazon CloudFront hoặc Amazon Route 53. Nhờ sử dụng các kỹ thuật bổ sung như giám sát cụ thể theo tài nguyên, AWS Shield Advanced cung cấp khả năng phát hiện tinh tế với các cuộc tấn công DDoS. AWS Shield Advanced phát hiện các cuộc tấn công DDoS tầng ứng dụng như HTTP flood hoặc DNS query flood bằng cách tính trung bình lưu lượng truy cập trên các tài nguyên của bạn và xác định các bất thường.

Bảo vệ chi phí DDoS

AWS Shield Advanced đi kèm với “bảo vệ chi phí DDoS”, một tính năng bảo vệ khỏi phí thay đổi quy mô do tấn công DDoS gây ra các đợt tăng đột biến về mức sử dụng trên Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront hoặc Amazon Route 53. Nếu bất cứ dịch vụ nào trong số này bị tăng quy mô do tấn công DDoS, AWS sẽ cung cấp tín dụng dịch vụ AWS Shield cho tiền phí phát sinh bởi các đợt tăng đột biến về mức sử dụng. Để biết thêm chi tiết về cách yêu cầu tín dụng dịch vụ, vui lòng xem Tài liệu về AWS WAF và AWS Shield Advanced.

DNS

Sử dụng Amazon Route 53

AWS Shield Standard tự động bảo vệ các Vùng lưu trữ trên Amazon Route 53 khỏi các cuộc tấn công DDoS tầng cơ sở hạ tầng mà không mất thêm phí. Khả năng bảo vệ này bao gồm các cuộc tấn công như tấn công Phản xạ hoặc SYN flood thường xuyên nhắm vào DNS. AWS Shield Standard tự động sử dụng nhiều kỹ thuật khác nhau như xác thực tiêu đề và định hình lưu lượng truy cập theo mức độ ưu tiên để tự động giảm thiểu các cuộc tấn công DDoS này.

Ngoài ra, AWS Shield Advanced cung cấp bảo vệ bổ sung cho các kịch bản cực đoan đòi hỏi sự can thiệp thủ công thông qua truy cập 24x7 tới Nhóm Ứng phó với DDoS của AWS. Hơn nữa, AWS Shield Advanced còn cung cấp khả năng giám sát các cuộc tấn công trên cơ sở hạ tầng Route 53 của bạn.

Tìm hiểu thêm về Cách giảm thiểu nguy cơ DDoS bằng Amazon Route 53 và AWS Shield.


Ứng dụng web và API
Sử dụng Amazon CloudFront hoặc Cân bằng tải ứng dụng

Khi sử dụng Amazon CloudFront, AWS Shield Standard tự động cung cấp khả năng bảo vệ toàn diện trước các cuộc tấn công tầng cơ sở hạ tầng như SYN flood, UDP flood hoặc các cuộc tấn công Phản xạ khác. Các hệ thống giảm thiểu và phát hiện liên tục của AWS Shield Standard tự động loại bỏ lưu lượng truy cập không hợp lệ ở Tầng 3 và 4 để bảo vệ ứng dụng của bạn. Trên 99% các cuộc tấn công tầng cơ sở hạ tầng do AWS Shield Standard phát hiện được giảm thiểu tự động trong chưa đầy 1 giây đối với các cuộc tấn công trên Amazon CloudFront.

Tìm hiểu cách sử dụng Amazon CloudFront để Bảo vệ các ứng dụng linh hoạt khỏi các cuộc tấn công DDoS.

Tìm hiểu cách Slack sử dụng Amazon CloudFront để bảo vệ khỏi tấn công DDoS.

Diễn giả:
Alex Graham, Kỹ sư Vận hành Cấp cao, Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

Để được bảo vệ bổ sung trước các cuộc tấn công DDoS lớn và tinh vi, bạn cũng có thể sử dụng AWS Shield Advanced trên Amazon CloudFront. Với Shield Advanced, khách hàng có thể truy cập 24X7 tới Nhóm Ứng phó với DDoS (DRT) của AWS, là đơn vị chủ động áp dụng mọi biện pháp giảm thiểu cần thiết đối với các cuộc tấn công tinh vi ở tầng cơ sở hạ tầng (Tầng 3 hoặc 4) bằng các kỹ thuật bổ sung như kỹ thuật lưu lượng truy cập. Ngoài ra, AWS Shield Advanced cũng bảo vệ bạn khỏi tấn công tầng ứng dụng như HTTP flood. Hệ thống phát hiện liên tục tích hợp sẵn của AWS Shield Advanced tính trung bình lưu lượng truy cập ứng dụng ở trạng thái ổn định của khách hàng và theo dõi để phát hiện mọi bất thường. AWS Shield Advanced bao gồm AWS WAF miễn phí, cho phép bạn tùy chỉnh biện pháp giảm thiểu tầng ứng dụng bất kỳ.


Các ứng dụng khác (như các Ứng dụng dựa trên UDP)
Sử dụng địa chỉ IP Động

Đối với các ứng dụng khác của khách hàng, không dựa trên TCP (như UDP, SIP, v.v.), bạn không thể sử dụng các dịch vụ như Amazon CloudFront hoặc Elastic Load Balancing. Trong các trường hợp này, bạn thường cần phải chạy ứng dụng trực tiếp từ các phiên bản Amazon EC2 qua internet. AWS Shield Standard cũng bảo vệ phiên bản Amazon EC2 khỏi các cuộc tấn công DDoS tầng cơ sở hạ tầng (Tầng 3 và 4) thường gặp, ví dụ như tấn công phản xạ UDP như phản xạ DNS, phản xạ NTP, SSDP, v.v. AWS Shield Standard sử dụng nhiều kỹ thuật đa dạng như định hình lưu lượng truy cập theo mức độ ưu tiên, đây là một tính năng tự động được gọi ra khi phát hiện thấy dấu hiệu đặc trưng rõ ràng của tấn công DDoS.

Bạn cũng có thể nhận bảo vệ nâng cao khỏi các cuộc tấn công DDoS lớn và tinh vi cho các ứng dụng này bằng cách kích hoạt AWS Shield Advanced trên địa chỉ Elastic IP. Khả năng phát hiện DDoS tăng cường của AWS Shield Advanced tự động phát hiện laoị Tài nguyên AWS cũng như kích thước phiên bản EC2 và áp dụng các biện pháp giảm thiểu đã xác định trước phù hợp. Với AWS Shield Advanced, khách hàng cũng có thể tạo các hồ sơ giảm thiểu tùy chỉnh cho riêng mình bằng cách yêu cầu hỗ trợ 24x7 từ Nhóm Ứng phó với DDoS (DRT) của AWS. AWS Shield Advanced cũng đảm bảo rằng, trong một cuộc tấn công DDoS, tất cả các Danh sách kiểm soát truy cập (ACL) của mạng Amazon VPC đều được thực thi tự động tại vùng biên của mạng AWS, nhờ đó cho phép bạn sử dụng băng thông bổ sung và khả năng loại bỏ để giảm thiểu các cuộc tấn công DDoS khối lượng lớn. Với AWS Shield Advanced, bạn có thể được tăng cường bảo vệ trước các cuộc tấn công DDoS như SYN flood hay các vector khác như UDP flood.

Tìm hiểu thêm về Gắn IP Động với phiên bản Amazon EC2.

Các ứng dụng web chạy trên AWS của bạn đã được AWS Shield Standard bảo vệ. Để kích hoạt AWS Shield Advanced, hãy vào Bảng điều khiển quản lý “AWS WAF và AWS Shield” và chọn các tài nguyên bạn muốn kích hoạt bảo vệ bậc Advanced.

Bắt đầu với AWS Shield