Fonctions d'AWS Shield

Tous les clients AWS bénéficient des protections automatiques d'AWS Shield Standard, sans frais supplémentaires. AWS Shield Standard protège contre les attaques de déni de services DDoS les plus courantes et les plus fréquemment rencontrées sur les couches de réseau et de transport qui ciblent vos applications ou votre site web. Lorsque vous utilisez AWS Shield Standard avec Amazon CloudFront et Amazon Route 53, vous bénéficiez d'une protection de disponibilité complète contre toutes les attaques d'infrastructure (couches 3 et 4) connues.

Des techniques d'atténuation automatisées sont intégrées à AWS Shield Standard, offrant aux services AWS sous-jacents une protection contre les attaques courantes et fréquentes des infrastructures. Les atténuations automatiques étant appliquées en ligne pour protéger les services AWS, il n'existe aucun impact sur la latence. Shield Standard utilise des techniques comme le filtrage déterministe des paquets et la régulation du trafic en fonction des priorités pour contrer automatiquement les attaques de base de la couche réseau.

AWS Shield Advanced fournit d'autres atténuations automatiques plus sophistiquées pour les attaques ciblant vos applications s'exécutant sur des ressources protégées EC2, ELB, CloudFront, Global Accelerator et Route 53. Grâce à des techniques de routage avancées, Shield Advanced déploie automatiquement des fonctionnalités d'atténuation supplémentaires pour protéger votre application contre les attaques DDoS. Pour les clients disposant d'un support Business ou Enterprise, l'équipe SRT applique également des mesures d'atténuation manuelles pour les attaques DDoS plus complexes et sophistiquées qui pourraient être uniques à votre application. Pour la protection de la couche d'application, vous pouvez utiliser le groupe de règles gérées AWS WAF (L7) contre les attaques DDoS de la couche d'application AWS WAF inclus dans l'abonnement AWS Shield Advanced. Ce groupe de règles est conçu pour détecter et atténuer automatiquement les événements DDoS de la couche application en quelques secondes. Dans le cadre de votre abonnement, vous recevrez jusqu'à 50 milliards de requêtes AWS WAF par mois calendrier par compte payeur abonné vers des ressources protégées par WAF. Le trafic détecté par cet AMR comme DDoS ne compte pas dans les 50 milliards tant qu'il n'est pas en mode comptage. Les demandes supérieures à 50 milliards seront facturées conformément à la page de tarification d'AWS Shield Advanced. Vous pouvez également contacter directement l'équipe SRT pour qu'elle fixe des règles AWS WAF personnalisées pour vous en réponse à une attaque DDoS de la couche applicative. L'équipe SRT diagnostique l'attaque et, avec votre autorisation, applique des mesures d'atténuation pour vous, réduisant ainsi la durée pendant laquelle vos applications pourraient être affectées par une attaque DDoS en cours.

AWS Shield Advanced peut automatiquement protéger les applications web en atténuant les événements DDoS de la couche applicative (C7) sans intervention manuelle de votre part ni de la part de l'équipe AWS SRT. Les règles AWS WAF sont créées dans vos WebACL pour atténuer automatiquement les événements, ou vous pouvez les activer en mode comptage uniquement. Cela vous permet de répondre rapidement aux événements DDoS afin d'éviter une durée d'indisponibilité de l'application à la suite d'une attaque DDoS sur la couche applicative.

AWS Shield Advanced offre une visibilité totale sur les attaques DDoS, avec une notification en temps quasi réel via Amazon CloudWatch et des diagnostics détaillés sur la console AWS WAF et AWS Shield ou les API. Vous pouvez également afficher un résumé des attaques antérieures depuis la console. Lorsque vous utilisez la protection de la couche application (L7) contre les DDoS pour AWS WAF, vous bénéficiez d'une visibilité sur les événements DDoS protégés par ce groupe de règles dans la console AWS WAF.

Obtenez une vue complète de votre environnement AWS grâce à une topologie de réseau qui montre en un coup d'œil les connexions aux ressources, les configurations de sécurité et les problèmes de sécurité potentiels. Cette vue regroupe les ressources par balises et modèles de connectivité, ce qui vous permet de comprendre les relations entre les ressources et leur exposition sur Internet. Cela vous permet d'identifier rapidement les problèmes de sécurité critiques, qu'il s'agisse d'un accès trop permissif ou de la protection des applications contre des menaces telles que l'injection SQL.

Un niveau de gravité est attribué aux ressources en fonction de leurs résultats de sécurité réseau les plus sévères afin de vous aider à comprendre quelles ressources de votre environnement sont correctement configurées en fonction de leur contexte réseau, des meilleures pratiques AWS et des renseignements sur les menaces. Les résultats sont classés par ordre de gravité dans un tableau de bord pour vous aider à déterminer facilement quels problèmes de configuration nécessitent votre attention immédiate.

Corrigez rapidement les erreurs de configuration de sécurité du réseau à l'aide des services et des ensembles de règles recommandés pour atténuer chaque résultat. Les recommandations sont fournies sous forme d'instructions étape par étape.

Analysez les problèmes de sécurité de votre réseau en langage naturel avec le contrôleur de sécurité réseau AWS Shield depuis Amazon Q Developer. Avec Amazon Q, vous pouvez poser des questions sur les résultats en matière de sécurité du réseau, explorer les problèmes et recevoir des recommandations de correction de la part de la console de gestion AWS et des applications de chat.

La protection de la couche application (L7) contre les DDoS est un groupe de règles gérées par AWS conçu pour défendre automatiquement les applications contre les attaques par déni de service distribué (DDoS) en quelques secondes. Ce groupe AWS Managed Rules surveille les données de trafic afin d'établir une base de référence quelques minutes après l'activation, puis exploite des modèles de machine learning pour détecter les anomalies liées aux modèles de trafic normaux. Lorsque le trafic s'écarte de la base de référence établie, le système applique automatiquement des règles conçues pour traiter les demandes suspectes. Cette fonctionnalité est conçue pour garantir la disponibilité de vos applications sur Amazon CloudFront, Application Load Balancer et la passerelle API contre les événements DDoS émergents.

La protection de la couche application (L7) contre les DDoS vous permet de protéger vos applications sans avoir à configurer et à gérer manuellement les règles. Cette fonctionnalité propose des options personnalisables pour répondre aux besoins de vos applications, telles que la configuration des paramètres de sensibilité des règles et l'inspection des chemins URI spécifiques des applications.

En savoir plus sur la protection de la couche application (L7) contre les DDoS.

Conçu pour atténuer les événements DDoS émergents au niveau de la couche applicative en quelques secondes

Les règles gérées AWS pour AWS WAF sont déjà configurées pour vous faire gagner du temps

Personnalisez votre défense DDoS de couche 7 en fonction de votre application grâce à des contrôles de sensibilité