Перейти к главному контенту

В чем преимущества AWS Shield?

AWS Shield обеспечивает безопасность сетей и приложений, выявляя проблемы с конфигурацией сетевой безопасности и защищая приложения от активного использования веб-эксплойтов и распределенных атак типа «отказ в обслуживании» (DDoS). AWS Shield делает это, предоставляя две ключевые возможности. 

Система контроля сетевой безопасности AWS Shield (в предварительной версии) анализирует ресурсы, чтобы визуализировать топологию сети, выявлять ошибки конфигурации и предоставлять полезные рекомендации по их устранению.

AWS Shield расширенный обеспечивает управляемую защиту от DDoS-атак для непрерывной автоматической нейтрализации сложных DDoS-событий, что позволяет сократить время простоя и задержки приложений. Вы можете настроить стратегию защиты от DDoS-атак с помощью специальных механизмов, разработанных для конкретных приложений, а также получать поддержку специалистов Shield Response Team во время устранения активных DDoS-инцидентов. 

AWS Shield стандартный

Открыть все

    Защита AWS Shield стандартный предоставляется всем клиентам AWS бесплатно. AWS Shield стандартный защищает от типичных и частых DDoS-событий сетевого и транспортного уровней, нацеленных на веб-сайты и приложения. При использовании AWS Shield стандартный совместно с Amazon CloudFront и Amazon Route 53 обеспечивается комплексная защита от всех известных инфраструктурных событий (уровней 3 и 4).

    AWS Shield стандартный ведет непрерывный мониторинг входящего сетевого трафика сервисов AWS и с помощью одновременной оценки подписей трафика, применения алгоритмов выявления аномалий и других аналитических приемов обнаруживает вредоносный трафик в режиме реального времени. Shield стандартный устанавливает статичные пороговые значения для каждого типа ресурсов AWS, но не обеспечивает индивидуальной защиты для ваших приложений.

    В AWS Shield стандартный встроены технологии автоматической нейтрализации атак, которые защищают базовые сервисы AWS от типичных и наиболее частых событий инфраструктурного уровня. Автоматическая нейтрализация применяется в линейном режиме для защиты сервисов AWS, так что на задержку она не влияет. Shield стандартный использует такие технологии, как детерминированная фильтрация пакетов и формирование трафика на основании приоритетов, для автоматической нейтрализации основных атак сетевого уровня.

AWS Shield расширенный

Открыть все

    Можно оформить подписку на AWS Shield расширенный и обеспечить защиту более высокого уровня от атак, нацеленных на приложения в сервисах Amazon Elastic Compute Cloud (EC2), Эластичная балансировка нагрузки (ELB), Amazon CloudFront, Международный ускоритель AWS и Amazon Route 53. В дополнение к защите сетевого и транспортного уровней, предусмотренной в версии «Стандартный», Shield расширенный обеспечивает средства обнаружения и нейтрализации сложных широкомасштабных DDoS-атак, видимость атак в режиме, близком к реальному времени, и интеграцию с брандмауэром веб-приложений AWS WAF. Shield расширенный также предоставляет круглосуточный доступ к услугам подразделения AWS Shield Response Team (SRT) и защищает от вызванных DDoS-атаками всплесков расходов на EC2, ELB, CloudFront, Международный ускоритель и Route 53.

    С помощью AWS Shield расширенный можно настроить параметры обнаружения вторжений на основе шаблонов трафика для защищенных эластичных IP‑адресов, а также ресурсов ELB, CloudFront, Международного ускорителя и Route 53. С помощью дополнительных технологий мониторинга, предназначенных для разных регионов и ресурсов, Shield Advanced обнаруживает небольшие DDoS‑атаки и оповещает о них. Shield расширенный также обнаруживает DDoS‑атаки уровня приложений, такие как HTTP‑флуд и флуд DNS‑запросов, за счет определения типичных характеристик входящего трафика вашего приложения и выявления аномалий.

    AWS Shield расширенный использует данные о работоспособности ваших приложений для улучшения скорости ответной реакции, точности обнаружения и нейтрализации атак. Вы можете установить проверку работоспособности на Route 53 и связать ее с ресурсом, защищенным Shield Advanced через консоль или API. Это позволяет Shield Advanced быстрее обнаруживать атаки, влияющие на работоспособность вашего приложения, используя более низкие пороговые значения трафика, улучшая устойчивость вашего приложения к DDoS-атакам и предотвращая ложные оповещения. Данные о работоспособности ресурсов будут также доступны специалистам SRT, чтобы они могли правильно расставить приоритеты для исправления некорректно работающих приложений. Вы можете использовать системы проверки работоспособности для всех типов ресурсов, поддерживаемых сервисом Shield расширенный: эластичный IP-адрес, ELB, CloudFront, Международный ускоритель и Route 53.

     

    AWS Shield расширенный обеспечивает усовершенствованные возможности для автоматической нейтрализации событий, нацеленных на приложения в таких защищенных ресурсах, как EC2, ELB, CloudFront, Международный ускоритель и Route 53. С помощью улучшенных технологий маршрутизации Shield расширенный автоматически развертывает дополнительный уровень нейтрализации, что обеспечивает расширенную защиту ваших приложений от DDoS‑событий. Если у клиента есть план поддержки «Для бизнеса» или «Корпоративный», в случаях особо сложных и масштабных DDoS‑событий, которые могут быть разработаны специально для его приложения, специалисты SRT подключаются к нейтрализации атаки вручную. Для событий прикладного уровня можно использовать группу управляемых правил AWS WAF для защиты от DDoS-атак на уровне приложений (L7), входящую в подписку AWS Shield расширенный. Эта группа правил предназначена для автоматического обнаружения и смягчения последствий DDoS-событий на уровне приложений в течение нескольких секунд. В рамках подписки вы получаете до 50 миллиардов запросов AWS WAF в течение календарного месяца на каждый зарегистрированный аккаунт плательщика для ресурсов, защищенных WAF. Трафик, который классифицируется правилами AMR как DDoS, не учитывается в лимите 50 миллиардов запросов, при условии, что они не находятся в режиме подсчета. Запросы, превышающие 50 миллиардов, будут оплачиваться по тарифам на странице стоимости AWS Shield расширенный. Клиент может связаться со специалистами SRT напрямую и попросить применить собственные правила AWS WAF от своего имени для реагирования на DDoS-атаки уровня приложений. Команда SRT обнаружит событие и после вашего разрешения сможет нейтрализовать его от вашего имени, уменьшая время, в течение которого ваши приложения могут подвергаться воздействию продолжающегося DDoS-события.

     

     

    AWS Shield расширенный может автоматически защищать веб-приложения, нейтрализуя DDoS-события на уровне приложений (L7), без необходимости вмешательства со стороны клиента или AWS SRT. Правила AWS WAF создаются в ваших списках WebACL для автоматической нейтрализации событий, или же вы можете активировать их в режиме только подсчета. Это дает возможность быстро реагировать на DDoS-события, чтобы предотвращать простои приложений, которые могут возникнуть из-за DDoS-событий на уровне приложений.

     

    AWS Shield расширенный обеспечивает проактивное участие специалистов SRT после обнаружения событий DDoS. Если вы активируете возможность проактивного участия и проверка Route 53 покажет неработоспособность вашего защищенного ресурса во время DDoS-атаки, команда SRT свяжется с вами напрямую. Это позволит вам быстрее связаться с экспертами, когда ваше приложение становится недоступным из-за предполагаемой атаки. Вы можете включить функцию проактивного участия для событий сетевого и транспортного уровней на эластичных IP-адресах и ресурсах «Международный ускоритель», а также для атак на уровне приложений на дистрибутивы CloudFront и ресурсы «Балансировщик нагрузки приложений».

    AWS Shield расширенный дает вам возможность упаковывать ресурсы в группы защиты, благодаря чему вы можете самостоятельно настраивать область обнаружения и нейтрализации для приложения, работая с несколькими ресурсами как с одним блоком. Группирование ресурсов повышает точность обнаружения, снижает количество ложных срабатываний, упрощает автоматическую защиту недавно созданных ресурсов и ускоряет нейтрализацию атак для нескольких ресурсов. Например, если приложение состоит из четырех дистрибутивов CloudFront, вы можете добавить их в одну группу защиты, чтобы обеспечить обнаружение и защиту коллекции ресурсов как одного целого. Отчетность также можно собирать на уровне группы защиты, что дает более целостное представление об общей работоспособности приложения.

     

    AWS Shield расширенный обеспечивает полную осведомленность о DDoS‑событиях с помощью оповещений, которые отправляются через Amazon CloudWatch в режиме, близком к реальному времени, и подробных диагностических сведений, доступных в консоли AWS Shield, AWS WAF или API. На консоли можно просматривать сводные данные о предыдущих событиях. При использовании управляемого правила защиты от DDoS-атак на уровне приложений (L7) для AWS WAF вы получаете возможность просматривать на консоли AWS WAF события DDoS, защищенные этой группой правил.

     

    AWS Shield расширенный включает защиту от лишних расходов в случае DDoS‑атак, т. е. от расходов на масштабирование, вызванных всплесками нагрузки на защищенные ресурсы EC2, ELB, CloudFront, Международный ускоритель и Route 53 в результате DDoS‑атаки. Если любой из этих защищенных ресурсов будет испытывать повышенную нагрузку в результате DDoS-атаки, можно традиционным образом обратиться в канал поддержки AWS и получить кредиты для сервиса Shield расширенный.

    Для клиентов с планами поддержки «Для бизнеса» и «Корпоративный» AWS Shield расширенный предоставляет круглосуточный доступ к подразделению SRT, специалисты которого готовы помочь до обнаружения DDoS‑атак, в процессе таковых и после их завершения. Специалисты SRT помогут определить уровень и первопричины инцидента и устранить его последствия от вашего имени. Специалисты SRT имеют большой опыт оперативного реагирования на DDoS-атаки на приложения клиентов AWS и их нейтрализации.

    Сервис AWS Shield расширенный доступен во всех периферийных местоположениях CloudFront, Международного ускорителя и Route 53. Можно защитить интернет-приложения, размещенные в любых местоположениях по всему миру, выполнив для них развертывание CloudFront. В качестве серверов источника можно использовать Amazon Simple Storage Service (S3), EC2, ELB или специальный сервер вне AWS. Можно также включить защиту непосредственно в инстансах эластичного IP-адреса или ELB во всех регионах AWS, где доступен сервис Shield расширенный.

    Клиенты AWS Shield расширенный могут использовать Диспетчер брандмауэра AWS, который обеспечит защиту с помощью Shield расширенный и AWS WAF для всей организации. Стоимость Firewall Manager уже включена в плату за подписку Shield Advanced. С помощью Firewall Manager можно автоматически настраивать политики для множества аккаунтов и ресурсов. Firewall Manager автоматически проверяет аккаунты в поисках новых или незащищенных ресурсов и обеспечивает универсальное применение защиты Shield Advanced и AWS WAF. Это позволяет разработчикам работать быстрее и развертывать новые приложения с уверенностью, что соответствующие настройки безопасности будут добавлены автоматически. Чтобы узнать подробнее об этом сервисе управления безопасностью, см. Диспетчер брандмауэра AWS.

Система контроля сетевой безопасности AWS Shield (предварительная версия)

Открыть все

    Получите полное представление о своей среде AWS с помощью топологии сети, которая позволяет сразу увидеть подключения к ресурсам, конфигурации безопасности и потенциальные проблемы безопасности. В этом представлении ресурсы сгруппированы по тегам и моделям подключения, что помогает определить взаимосвязь между ресурсами и степень их доступности из Интернета. Это позволяет быстро выявлять критические проблемы безопасности – от чрезмерно открытых прав доступа до защиты приложений от таких угроз, как внедрение SQL-кода.

    Ресурсам присваивается уровень серьезности на основе наиболее критичных выявленных проблем сетевой безопасности, что помогает понять, какие ресурсы в вашей среде настроены корректно с учетом их сетевого контекста, передовых рекомендаций AWS и аналитических данных об угрозах. Полученные данные упорядочены по уровню серьезности на панели управления, что позволяет легко определить, какие ошибки конфигурации требуют вашего немедленного внимания.

    Быстро устраняйте ошибки в конфигурации сетевой безопасности, используя рекомендуемые сервисы и наборы правил для нейтрализации последствий полученных данных. Рекомендации предоставляются в виде пошаговых инструкций.

    Анализируйте проблемы сетевой безопасности на естественном языке с помощью системы контроля сетевой безопасности AWS Shield из Amazon Q для разработчиков. С помощью Amazon Q вы можете просматривать данные проверок сетевой безопасности, изучать проблемы и получать рекомендации по их устранению из Консоли управления AWS и приложений чата.

Защита от DDoS-атак на уровне приложений (L7)

Открыть все

    Защита от DDoS-атак на уровне приложений (L7) – это группа управляемых правил AWS, предназначенная для того, чтобы автоматически обеспечивать безопасность приложений от распределенных атак типа «отказ в обслуживании» (DDoS) в течение нескольких секунд. Эта функция отслеживает данные трафика, чтобы уже через несколько минут после активации определить базовые значения, а затем использует модели машинного обучения для выявления отличий трафика от его типичных закономерностей. Когда трафик превышает установленные базовые значения или отклоняется от них, система автоматически применяет правила, предназначенные для блокировки вредоносных запросов. Эта функция должна обеспечивать доступность ваших приложений в Amazon CloudFront, Балансировщике нагрузки приложений и API-шлюзе даже при возникновении новых DDoS-событий.

    Функция защиты от DDoS-атак на уровне приложений (L7) позволяет обезопасить приложения без необходимости вручную настраивать правила и управлять ими. Она имеет настраиваемые параметры, позволяющие адаптировать ее под потребности ваших приложений, например настройку чувствительности правил и проверку конкретных URI-путей приложения.

    Узнайте больше о защите от DDoS-атак на уровне приложений (L7).

    Нейтрализуйте новые DDoS-события на уровне приложений за считанные секунды

    Управляемые правила AWS для AWS WAF позволяют сэкономить ваше время благодаря предварительной настройке

    Настройте защиту от DDoS-атак уровня 7 под особенности вашего приложения с помощью параметров чувствительности