AWS Shield

Bảo vệ DDoS được quản lý

AWS Shield là dịch vụ bảo vệ khỏi tấn công Từ chối dịch vụ phân tán (DDoS) gúp bảo vệ các ứng dụng chạy trên AWS. AWS Shield cung cấp khả năng phát hiện liên tục và các biện pháp giảm thiểu nội tuyến tự động giúp giảm tối đa thời gian ngừng hoạt động và thời gian trễ của ứng dụng, nhờ đó không cần yêu cầu hỗ trợ từ AWS Support cũng có thể hưởng lợi ích từ bảo vệ DDoS. Có hai bậc AWS Shield – Standard và Advanced.

Toàn bộ khách hàng của AWS đều được hưởng lợi từ khả năng bảo vệ tự động của AWS Shield Standard mà không mất thêm phí. AWS Shield Standard bảo vệ khỏi hầu hết các cuộc tấn công DDoS ở tầng mạng và truyền tải xảy ra thường xuyên, phổ biến nhất, nhắm tới trang web hoặc ứng dụng của bạn. Khi sử dụng AWS Shield Standard cùng với Amazon CloudFront và Amazon Route 53, bạn sẽ nhận được bảo vệ toàn diện về mức độ sẵn sàng khỏi tất cả các cuộc tấn công cơ sở hạ tầng xác định (Tầng 3 và 4).

Để sử dụng các cấp độ bảo vệ cao hơn khỏi các cuộc tấn công nhắm tới ứng dụng đang chạy trên các tài nguyên Amazon Elastic Compute Cloud (EC2),Elastic Load Balancing (ELB), Amazon CloudFront và Amazon Route 53, bạn có thể đăng ký AWS Shield Advanced. Ngoài các khả năng bảo vệ tầng mạng và truyền tải có trên bậc Standard, AWS Shield Advanced còn cung cấp khả năng phát hiện và giảm thiểu bổ sung trước các cuộc tấn công DDoS lớn và tinh vi, khả năng giám sát các cuộc tấn công gần sát với thời gian thực, cũng như khả năng tích hợp với tường lửa ứng dụng web AWS WAF. AWS Shield Advanced cũng cho phép bạn truy cập 24x7 vào Nhóm Ứng phó với DDoS (DRT) của AWS và bảo vệ khỏi bị tăng đột biến phí Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront và Amazon Route 53 do DDoS gây nên.

AWS Shield Advanced có sẵn trên toàn cầu tại tất cả các vị trí biên Amazon CloudFront và Amazon Route 53. Bạn có thể bảo vệ các ứng dụng web được lưu tại bất cứ nơi đâu trên thế giới bằng cách triển khai Amazon CloudFront trước ứng dụng. Các máy chủ gốc của bạn có thể là Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) hoặc một máy chủ khách hàng bên ngoài AWS. Bạn cũng có thể kích hoạt AWS Shield Advanced trực tiếp trên IP Động hoặc Elastic Load Balancing (ELB) trong các Khu vực AWS sau đây: Phía Bắc Virginia, Oregon, Ai-len, Tokyo và Phía Bắc California.

Lợi ích

Tích hợp và triển khai liền mạch

Với AWS Shield Standard, các tài nguyên AWS của bạn tự động được bảo vệ khỏi các cuộc tấn công DDoS tầng mạng và truyền tải phổ biến, xảy ra thường xuyên nhất. Bạn có thể có được cấp độ bảo vệ cao hơn chỉ đơn giản bằng cách kích hoạt bảo vệ AWS Shield Advanced cho các tài nguyên IP Động, Elastic Load Balancing (ELB), Amazon CloudFront hoặc Amazon Route 53 mà bạn muốn bảo vệ thông qua bảng điều khiển quản lý hoặc các API.

Bảo vệ tùy chỉnh

AWS Shield Advanced mang đến cho bạn khả năng linh hoạt trong việc viết các quy tắc tùy chỉnh để giảm thiểu các cuộc tấn công tầng ứng dụng tinh vi. Các quy tắc này có thể được triển khai ngay tức thì, cho phép bạn nhanh chóng giảm thiểu các cuộc tấn công. Bạn có thể thiết lập các quy tắc chủ động chặn tự động lưu lượng truy cập không hợp lệ hoặc ứng phó với những sự cố xảy ra. Bạn cũng có thể truy cập 24x7 tới Nhóm Ứng phó với DDoS (DRT) của AWS, là đơn vị có thể thay mặt bạn viết các quy tắc giảm thiểu tấn công DDoS tầng ứng dụng.

Hiệu quả chi phí

Là một khách hàng của AWS, bạn mặc định nhận được cấp độ bảo vệ tầng mạng khỏi hầu hết các cuộc tấn công DDoS phổ biến nhờ AWS Shield Standard. Cấp độ bảo vệ này không đòi hỏi phải mất thêm phí, tài nguyên hay thời gian khởi tạo. Với AWS Shield Advanced, bạn nhận được “bảo vệ chi phí DDoS”, một tính năng bảo vệ hóa đơn thanh toán với AWS khỏi các đợt tăng đột biến về mức sử dụng EC2, Elastic Load Balancing (ELB), Amazon CloudFront và Amazon Route 53 do tấn công DDoS gây nên.

Trường hợp sử dụng bảo vệ

Ứng dụng web và API

Khi sử dụng Amazon CloudFront, AWS Shield Standard tự động cung cấp khả năng bảo vệ toàn diện trước các cuộc tấn công tầng cơ sở hạ tầng như SYN flood, UDP flood hoặc các cuộc tấn công Phản xạ khác. Các hệ thống giảm thiểu và phát hiện liên tục của AWS Shield Standard tự động loại bỏ lưu lượng truy cập không hợp lệ ở Tầng 3 và 4 để bảo vệ ứng dụng của bạn. Trên 99% các cuộc tấn công tầng cơ sở hạ tầng do AWS Shield Standard phát hiện được giảm thiểu tự động trong chưa đầy 1 giây đối với các cuộc tấn công trên Amazon CloudFront.

Tìm hiểu cách sử dụng Amazon CloudFront để Bảo vệ các ứng dụng linh hoạt khỏi các cuộc tấn công DDoS.

Tìm hiểu cách Slack sử dụng Amazon CloudFront để bảo vệ khỏi tấn công DDoS.

Để được bảo vệ bổ sung trước các cuộc tấn công DDoS lớn và tinh vi, bạn cũng có thể sử dụng AWS Shield Advanced trên Amazon CloudFront. Với Shield Advanced, khách hàng có thể truy cập 24X7 tới Nhóm Ứng phó với DDoS (DRT) của AWS, là đơn vị chủ động áp dụng mọi biện pháp giảm thiểu cần thiết đối với các cuộc tấn công tinh vi ở tầng cơ sở hạ tầng (Tầng 3 hoặc 4) bằng các kỹ thuật bổ sung như kỹ thuật lưu lượng truy cập. Ngoài ra, AWS Shield Advanced cũng bảo vệ bạn khỏi tấn công tầng ứng dụng như HTTP flood. Hệ thống phát hiện liên tục tích hợp sẵn của AWS Shield Advanced tính trung bình lưu lượng truy cập ứng dụng ở trạng thái ổn định của khách hàng và theo dõi để phát hiện mọi bất thường. AWS Shield Advanced bao gồm AWS WAF miễn phí, cho phép bạn tùy chỉnh biện pháp giảm thiểu tầng ứng dụng bất kỳ.

Slack – Tăng tốc API bảo mật

Diễn giả:
Alex Graham, Sr. Kỹ sư vận hành, Slack Technologies, Inc.

200x100_Slack_Logo

DNS

AWS Shield Standard tự động bảo vệ các Vùng lưu trữ trên Amazon Route 53 khỏi các cuộc tấn công DDoS tầng cơ sở hạ tầng mà không mất thêm phí. Khả năng bảo vệ này bao gồm các cuộc tấn công như tấn công Phản xạ hoặc SYN flood thường xuyên nhắm vào DNS. AWS Shield Standard tự động sử dụng nhiều kỹ thuật khác nhau như xác thực tiêu đề và định hình lưu lượng truy cập theo mức độ ưu tiên để tự động giảm thiểu các cuộc tấn công DDoS này.

Ngoài ra, AWS Shield Advanced cung cấp bảo vệ bổ sung cho các kịch bản cực đoan đòi hỏi sự can thiệp thủ công thông qua truy cập 24x7 tới Nhóm Ứng phó với DDoS của AWS. Hơn nữa, AWS Shield Advanced còn cung cấp khả năng giám sát các cuộc tấn công trên cơ sở hạ tầng Route 53 của bạn.

Tìm hiểu thêm về Cách giảm thiểu nguy cơ DDoS bằng Amazon Route 53 và AWS Shield.

Các ứng dụng khác (như các Ứng dụng dựa trên UDP)

Đối với các ứng dụng khác của khách hàng, không dựa trên TCP (như UDP, SIP, v.v.), bạn không thể sử dụng các dịch vụ như Amazon CloudFront hoặc Elastic Load Balancing. Trong các trường hợp này, bạn thường cần phải chạy ứng dụng trực tiếp từ các phiên bản Amazon EC2 qua internet. AWS Shield Standard cũng bảo vệ phiên bản Amazon EC2 khỏi các cuộc tấn công DDoS tầng cơ sở hạ tầng (Tầng 3 và 4) thường gặp, ví dụ như tấn công phản xạ UDP như phản xạ DNS, phản xạ NTP, SSDP, v.v. AWS Shield Standard sử dụng nhiều kỹ thuật đa dạng như định hình lưu lượng truy cập theo mức độ ưu tiên, đây là một tính năng tự động được gọi ra khi phát hiện thấy dấu hiệu đặc trưng rõ ràng của tấn công DDoS.

Bạn cũng có thể nhận bảo vệ nâng cao khỏi các cuộc tấn công DDoS lớn và tinh vi cho các ứng dụng này bằng cách kích hoạt AWS Shield Advanced trên địa chỉ Elastic IP. Khả năng phát hiện DDoS tăng cường của AWS Shield Advanced tự động phát hiện laoị Tài nguyên AWS cũng như kích thước phiên bản EC2 và áp dụng các biện pháp giảm thiểu đã xác định trước phù hợp. Với AWS Shield Advanced, khách hàng cũng có thể tạo các hồ sơ giảm thiểu tùy chỉnh cho riêng mình bằng cách yêu cầu hỗ trợ 24x7 từ Nhóm Ứng phó với DDoS (DRT) của AWS. AWS Shield Advanced cũng đảm bảo rằng, trong một cuộc tấn công DDoS, tất cả các Danh sách kiểm soát truy cập (ACL) của mạng Amazon VPC đều được thực thi tự động tại vùng biên của mạng AWS, nhờ đó cho phép bạn sử dụng băng thông bổ sung và khả năng loại bỏ để giảm thiểu các cuộc tấn công DDoS khối lượng lớn. Với AWS Shield Advanced, bạn có thể được tăng cường bảo vệ trước các cuộc tấn công DDoS như SYN flood hay các vector khác như UDP flood.

Tìm hiểu thêm về Gắn IP Động với phiên bản Amazon EC2.

Bắt đầu với AWS

icon1

Đăng ký tài khoản AWS

Nhận quyền sử dụng ngay lập tức Bậc miễn phí của AWS.
icon2

Tìm hiểu bằng hướng dẫn 10 phút

Khám phá và tìm hiểu bằng những hướng dẫn đơn giản.
icon3

Bắt đầu xây dựng với AWS

Bắt đầu xây dựng với các hướng dẫn từng bước giúp bạn khởi đầu dự án AWS.

Tìm hiểu thêm về AWS Shield

Truy cập trang tính năng
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với AWS Shield
Bạn có thêm câu hỏi?
Hãy liên hệ chúng tôi