Recursos do AWS Shield
Por que usar o AWS Shield?
O AWS Shield protege redes e aplicações ao identificar problemas de configuração de segurança de rede e defendendo aplicações contra exploração ativa da web e eventos de negação de serviço distribuída (DDoS). O AWS Shield faz isso oferecendo dois recursos principais:
O administrador de segurança da rede AWS Shield (em versão prévia) realiza uma análise dos seus recursos para auxiliar na visualização da topologia da sua rede, identificar problemas de configuração e receber recomendações de correção viáveis.
O AWS Shield Avançado oferece proteção gerenciada contra DDoS para a mitigação automática e contínua de eventos de DDoS sofisticados, visando reduzir ao máximo a o tempo de inatividade e a latência das aplicações. É possível personalizar sua estratégia de proteção contra DDoS utilizando controles de segurança específicos para aplicações e orientação especializada da Equipe de resposta do Shield durante incidentes de DDoS ativos.
AWS Shield Básico
Abrir tudo
Todos os clientes da AWS se beneficiam gratuitamente com as proteções automáticas do AWS Shield Básico. O AWS Shield Básico protege contra os eventos de DDoS mais comuns e frequentes nas camadas de rede e de transporte que visam sites ou aplicações na Web. Quando usa o AWS Shield Básico com o Amazon CloudFront e o Amazon Route 53, você recebe uma proteção abrangente de disponibilidade contra todos os eventos de infraestrutura conhecidos (camadas 3 e 4).
O AWS Shield Básico oferece um monitoramento de fluxo de rede sempre ativo que inspeciona o tráfego de entrada nos serviços da AWS e aplica uma combinação de assinaturas de tráfego, algoritmos de anomalias e outras técnicas de análise para detectar tráfego mal-intencionado em tempo real. O Shield Básico define limites estáticos para cada tipo de recurso da AWS, mas não fornece proteção personalizada para suas aplicações.
As técnicas de mitigação automática são criadas no AWS Shield Básico, oferecendo aos serviços da AWS proteção contra eventos comuns e frequentes à infraestrutura. Como as mitigações automáticas para proteger os serviços da AWS são aplicadas em linha, elas não afetam a latência. O Shield Básico usa técnicas, como filtragem determinística de pacotes e modelagem de tráfego com base em prioridade para mitigar automaticamente ataques básicos na camada de rede.
AWS Shield Avançado
Abrir tudoPara obter níveis mais altos de proteção contra ataques direcionados a suas aplicações executadas em recursos do Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53, você pode assinar o AWS Shield Avançado. Além das proteções nas camadas de rede e transporte fornecidas com a versão Básico, o Shield Avançado fornece detecção e mitigação adicionais contra ataques de DDoS grandes e sofisticados, visibilidade de ataques quase em tempo real e integração ao AWS WAF, um firewall para aplicações Web. Além disso, o Shield Avançado disponibiliza acesso contínuo, 24 horas por dia e 7 dias por semana, à AWS Shield Response Team (SRT) e proteção contra aumentos de cobranças relacionados a DDoS em suas cobranças do EC2, do ELB, do CloudFront, do Global Accelerator e do Route 53.
O AWS Shield Avançado fornece detecção personalizada com base em padrões de tráfego para seus recursos protegidos de endereço IP elástico e no ELB, CloudFront, Global Accelerator e Route 53. Usando técnicas adicionais de monitoramento específicas de regiões e recursos, o Shield Advanced detecta e alerta sobre ataques DDoS menores. O Shield Avançado também detecta ataques na camada de aplicação, como floods de HTTP ou floods de consultas ao DNS definindo uma linha de base de tráfego para seus recursos e identificando anomalias.
O AWS Shield Avançado usa a integridade de suas aplicações para aprimorar a responsividade e a precisão na detecção e mitigação de ataques. Agora você pode definir uma verificação de integridade no Route 53 e associá-la a um recurso que seja protegido pelo Shield Advanced no console ou na API. Isso permite que o Shield Advanced detecte ataques que afetam a integridade de sua aplicação mais rapidamente e em limites menores de tráfego, melhorando a resiliência da sua aplicação contra DDoS e evitando a notificação de falsos positivos. O status de integridade dos recursos também é disponibilizado à SRT para que a equipe possa priorizar adequadamente a resposta a aplicações com problemas de integridade. Você pode aplicar a detecção baseada em integridade a todos os tipos de recursos compatíveis com o Shield Avançado: IP elástico, ELB, CloudFront, Global Accelerator e Route 53.
O AWS Shield Avançado oferece mitigações automáticas mais sofisticadas para eventos direcionados a suas aplicações executadas em recursos protegidos do EC2, ELB, CloudFront, Global Accelerator e Route 53. O Shield Avançado usa técnicas de roteamento avançadas para implantar automaticamente capacidade adicional de mitigação e proteger sua aplicação contra eventos de DDoS. Para clientes com suporte Business ou Enterprise, o SRT também aplica mitigações manuais em casos de eventos de DDoS mais complexos e sofisticados que podem ser exclusivos para sua aplicação. Para eventos da camada de aplicação, você pode utilizar o grupo de regras gerenciadas pela AWS para proteção contra DDoS na camada de aplicação 7 do AWS WAF, incluído na assinatura do AWS Shield Avançado. Esse grupo de regras foi desenvolvido para detectar e mitigar eventos de ataques de DDoS na camada de aplicação de forma automática, em questão de segundos. Como parte da sua assinatura, você terá direito a até 50 bilhões de solicitações processadas pelo AWS WAF por mês civil, por conta pagante cadastrada no serviço, aplicáveis aos recursos protegidos por essa solução. O tráfego identificado por esse AMR como sendo de eventos de DDoS não é contabilizado no limite de 50 bilhões, desde que o modo de contagem não esteja ativado. As solicitações que excederem o limite de 50 bilhões serão cobradas conforme os valores apresentados na página de preços do AWS Shield Avançado. Você também pode interagir diretamente com o SRT para implementar regras do AWS WAF personalizadas em seu nome como resposta a um ataque de DDoS à camada de aplicação. O SRT diagnosticará o evento e, com sua permissão, aplicará mitigações em seu nome, reduzindo o tempo em que suas aplicações podem ser afetadas por um evento de DDoS em andamento.
O AWS Shield Avançado pode proteger automaticamente aplicações Web mitigando eventos de DDoS na camada de aplicação 7 sem que você ou o AWS SRT precisem fazer intervenções manuais. As regras do AWS WAF são criadas nas suas listas de controle de acesso à web (WebACLs) para mitigar eventos de forma automática, ou você pode ativá-las no modo apenas contagem. Com isso, você pode responder rapidamente a eventos de DDoS e evitar tempo de inatividade da aplicação devido a eventos de DDoS na camada de aplicação.
O AWS Shield Avançado disponibiliza o engajamento proativo da SRT ao detectar um evento de DDoS. Quando você ativar o envolvimento proativo, o SRT entrará em contato diretamente com você quando uma verificação de integridade do Route 53 associada ao seu recurso protegido indicar um problema durante um evento de DDoS. Isso permite que você interaja com especialistas mais rapidamente quando a disponibilidade da sua aplicação puder ser afetada por um possível ataque. Você pode receber envolvimento proativo para eventos de camada de rede e camada de transporte em endereços IP elásticos e aceleradores do Global Accelerator e para ataques de camada da aplicação em distribuições do CloudFront e em Application Load Balancers.
O AWS Shield Avançado permite agrupar recursos em grupos de proteção, oferecendo ao estilo de autoatendimento uma maneira de personalizar o escopo de detecção e mitigação para sua aplicação ao tratar vários recursos como uma única unidade. O agrupamento de recursos melhora a precisão da detecção, reduz falsos positivos, facilita a proteção automática de recursos recém-criados e acelera o tempo para mitigar ataques contra vários recursos. Por exemplo, se um aplicativo é formado por quatro distribuições do CloudFront, você pode adicioná-las a um único grupo de proteção para receber detecção e proteção para a coleta de recursos como um todo. Os relatórios também podem ser consumidos no nível do grupo de proteção, proporcionando uma visão mais holística da integridade geral da aplicação.
O AWS Shield Avançado proporciona visibilidade completa de eventos de DDoS, com notificação praticamente em tempo real por meio do Amazon CloudWatch e diagnósticos detalhados no AWS WAF, no console do AWS Shield ou via APIs. Você pode ver um resumo de eventos anteriores no console. Ao utilizar a regra gerenciada de proteção contra DDoS na camada de aplicação 7 para o AWS WAF, você obtém visibilidade no console do AWS WAF sobre os eventos de DDoS protegidos por esse grupo de regras.
O AWS Shield Avançado oferece proteção contra custo de DDoS, para evitar o aumento das cobranças resultante de picos de uso relacionados a DDoS em recursos protegidos do EC2, ELB, CloudFront, Global Accelerator e Route 53. Se algum desses recursos protegidos for ampliado em resposta a um ataque de DDoS, você poderá solicitar créditos de serviço do Shield Avançado por meio do seu canal regular do AWS Support.
Para clientes dos planos de suporte Business ou Enterprise, o AWS Shield Avançado disponibiliza acesso contínuo, 24 horas por dia e 7 dias por semana, à SRT, que pode ser contatada antes, durante ou após um ataque de DDoS. O SRT ajudará a selecionar os incidentes, identificar as causas raiz e aplicar as mitigações em seu nome. O SRT tem grande experiência em responder rapidamente e mitigar ataques de DDoS em clientes AWS.
O AWS Shield Avançado está disponível globalmente em todos os locais da borda do CloudFront, do Global Accelerator e do Route 53. Você pode proteger suas aplicações Web hospedadas em qualquer lugar do mundo implantando o CloudFront acima da aplicação. Os servidores de origem podem ser o Amazon Simple Storage Service (S3), o EC2, o ELB ou um servidor personalizado fora da AWS. Você também pode ativar proteções diretamente em instâncias de IP elástico ou do ELB em todas as regiões da AWS em que o Shield Avançado está disponível.
Os clientes do AWS Shield Avançado podem usar o AWS Firewall Manager para aplicar proteções do Shield Avançado e do AWS WAF em toda a organização. O custo do Firewall Manager está incluído na taxa de assinatura do Shield Advanced. Usando o Firewall Manager, você pode configurar automaticamente políticas que abrangem várias contas e recursos. O Firewall Manager audita contas automaticamente para encontrar recursos novos ou desprotegidos e garante que as proteções do Shield Advanced e do AWS WAF sejam aplicadas universalmente. Isso permite que os desenvolvedores se movam rapidamente e implantem novas aplicações com a certeza de que as proteções apropriadas serão aplicadas automaticamente. Para obter mais informações sobre este serviço de gerenciamento de segurança, consulte AWS Firewall Manager.
Administrador de segurança da rede do AWS Shield (versão prévia)
Abrir tudoTenha uma visão abrangente do seu ambiente na AWS por meio de uma topologia de rede que exibe as conexões entre recursos, as configurações de segurança e possíveis falhas de proteção de forma clara e imediata. Essa visualização agrupa os recursos com base em etiquetas e padrões de conectividade, ajudando você a compreender as relações entre eles e o nível de exposição à internet. Isso permite identificar rapidamente problemas críticos de segurança, desde permissões de acesso excessivamente abrangentes até a proteção de aplicações contra ameaças como injeção de SQL.
Os recursos recebem um nível de gravidade com base na descoberta mais crítica de segurança de rede, para ajudar você a entender quais recursos do seu ambiente estão configurados corretamente, levando em conta seu contexto de rede, as práticas recomendadas da AWS e a inteligência de ameaças. As descobertas são priorizadas por nível de gravidade em um painel, o que ajuda você a identificar facilmente quais problemas de configuração exigem sua atenção imediata.
Corrija rapidamente configurações incorretas de segurança na rede, utilizando os serviços e conjuntos de regras recomendados para solucionar cada descoberta. As recomendações são fornecidas como instruções passo a passo.
Analise seus problemas de segurança de rede em linguagem natural com o administrador de segurança da rede do AWS Shield diretamente no Amazon Q Developer. Com o Amazon Q, você pode fazer perguntas sobre descobertas de segurança de rede, investigar problemas e receber recomendações de solução diretamente no Console de Gerenciamento da AWS e em aplicações de bate-papo.
Proteção contra DDoS na camada de aplicação 7
Abrir tudoA proteção contra DDoS na camada de aplicação 7 corresponde a um grupo de regras gerenciadas pela AWS, desenvolvido para defender aplicações de forma automática contra eventos de negação de serviço distribuída (DDoS) em questão de segundos. Esse recurso monitora os dados de tráfego para estabelecer uma linha de base em poucos minutos após a ativação e, em seguida, usa modelos de machine learning para detectar anomalias nos padrões normais de tráfego. Quando o tráfego excede ou se desvia da linha de base estabelecida, o sistema aplica automaticamente as regras projetadas para ajudar a bloquear as solicitações suspeitas. Esse recurso foi desenvolvido para garantir que suas aplicações executadas no Amazon CloudFront, no Application Load Balancer e no API Gateway permaneçam acessíveis diante de novos eventos de DDoS.
A proteção contra DDoS na camada de aplicação 7 permite proteger suas aplicações sem a complexidade de configurar e gerenciar regras de forma manual. Esse recurso conta com opções personalizáveis para atender às necessidades das suas aplicações, como a definição de níveis de sensibilidade das regras e a análise de caminhos de URI específicos da aplicação.
Saiba mais sobre a proteção contra DDoS na camada de aplicação 7.
Desenvolvido para mitigar novos tipos de ataques de DDoS na camada de aplicação em questão de segundos
As regras gerenciadas da AWS para o AWS WAF já vêm configuradas para economizar o seu tempo
Personalize a defesa contra DDoS na camada 7 de acordo com as características da sua aplicação, utilizando controles de sensibilidade