AWS Shield 功能
為何選擇 AWS Shield?
AWS Shield 藉由確認網路安全組態問題,以及讓應用程式抵禦作用中的 Web 漏洞利用,以及分散式阻斷服務 (DDoS) 事件,進而為網路與應用程式提供保護。 AWS Shield 藉由提供下列兩項重要功能來實現此目標:
AWS Shield 網絡安全分析機 (預覽版) 可對您的資源執行分析,進而有助於您了解視覺化網路拓撲,確定組態問題,以及取得切實可行的補救建議。
AWS Shield Advanced 可提供受管 DDoS 保護,以便持續地自動緩解複雜的 DDoS 事件,從而最大限度地減少應用程式停機時間與延遲。在 DDoS 攻擊事件發生期間,您可利用應用程式特定的安全控制措施,以及 Shield 回應團隊的專家指導,來客製化您的 DDoS 保護策略。
AWS Shield Standard
全部開啟
所有 AWS 客戶都能使用 AWS Shield Standard 提供的自動保護,無須額外付費。AWS Shield Standard 可保護您的網站或應用程式,免於常見且經常發生的網路與傳輸層 DDoS 事件。當您將 AWS Shield Standard 與 Amazon CloudFront 和 Amazon Route 53 搭配使用時,可獲得所有已知基礎結構 (第 3 層和第 4 層) 事件的全面可用性保護。
AWS Shield Standard 提供永遠啟用的網路流量監控功能,可檢測連入 AWS 服務的流量,並搭配使用流量簽章、不規則演算法與其他分析技術,即時偵測惡意流量。Shield Standard 針對每種 AWS 資源類型設定靜態閾值,但不為您的應用程式提供任何自訂保護。
自動風險降低技術內建於 AWS Shield Standard 中,可保護基礎 AWS 服務不受常見且經常發生的基礎結構事件。內嵌自動風險降低功能以保護 AWS 服務,因此不會有延遲的影響。Shield Standard 採用如決定性封包篩選及依據流量管制設定的優先順序等技術來自動降低基本網路層攻擊。
AWS Shield Advanced
全部開啟如果 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 資源上執行的應用程式需要更高水準的攻擊防護,可訂閱 AWS Shield Advanced。除了 Standard 配備的網路與傳輸層保護之外,Shield Advanced 也針對大型精密 DDoS 攻擊提供額外偵測與防護功能,除了能近乎即時地掌握攻擊情況,也整合 Web 應用程式防火牆 AWS WAF。此外,您還可以透過 Shield Advanced 全天候存取 AWS Shield 回應團隊 (SRT),並同時享有與 DDoS 相關的 EC2、ELB、CloudFront、Global Accelerator 或 Route 53 高峰費用保護。
AWS Shield Advanced 會針對您受保護的彈性 IP 位址、ELB、CloudFront、Global Accelerator 和 Route 53 資源的流量模式,提供自訂偵測。使用額外的區域和資源特定的監控技術,Shield Advanced 可以偵測到較小的 DDoS 攻擊並發出警報。透過制訂應用程式流量基準及識別異常現象,Shield Advanced 還能偵測到 HTTP 泛洪或 DNS 查詢泛洪等應用程式層的攻擊。
AWS Shield Advanced 能利用應用程式的運作狀態,提升偵測攻擊和降低損害的回應能力和準確度。您可以透過主控台或 API,設定 Route 53 的運作狀態檢查作業,並將其與 Shield Advanced 保護的資源建立關聯。如此一來,Shield Advanced 便能更快偵測到影響應用程式運作狀態的攻擊,而且減少流量閾值,進而提升應用程式的 DDoS 彈性,並避免誤判通知。資源運作狀態也會提供給 SRT,以便他們確定對不健康應用程式做出回應的優先級。這種以運作狀態為基礎的偵測功能可套用至 Shield Advanced 支援的所有資源類型,包括 Elastic IP、ELB、CloudFront、Global Accelerator 或 Route 53。
AWS Shield Advanced 可提供更精密的自動防護功能,防禦針對在受保護的 EC2、ELB、CloudFront、Global Accelerator 和 Route 53 資源上執行之應用程式的事件。Shield Advanced 採用進階路由技術,可自動部署額外的風險防護功能,進而保護您的應用程式免受 DDoS 事件。對於擁有商業或企業支援的客戶,SRT 也可針對可能對於您的應用程式特有的更複雜且精密的 DDoS 事件提供手動防護。針對應用程式層事件,您可使用 AWS Shield Advanced 訂閱中所包括的 AWS WAF 應用程式層 (L7) DDoS 保護 AWS 受管規則群組。設計此規則群組的宗旨是自動偵測及緩解應用程式層 DDoS 事件,幾秒鐘內即可完成。做為訂閱的一部分,每個訂閱付費帳戶每自然月最多可向受 WAF 保護的資源發出 500 億次 AWS WAF 請求。只要流量未處於計數模式,此 AMR 偵測到的 DDoS 流量就不會計入 500 億的統計範圍。若請求超過 500 億次,將會依據 AWS Shield Advanced 定價頁面進行計費。您也可以直接與 SRT 溝通,讓其代您放置自訂 AWS WAF 規則,以因應應用程式層 DDoS 攻擊。SRT 會診斷事件,並在您的許可下,可代您運用緩解措施,從而減少持續的 DDoS 事件可能影響您應用程式的時間。
AWS Shield Advanced 可以透過減輕應用程式層 (L7) DDoS 事件來自動保護 Web 應用程式,而無需您或 AWS SRT 進行手動干預。會在 WebACL 中建立 AWS WAF 規則,用於自動緩解事件,或者您能夠以僅計數模式來啟動這些規則。這讓您可以快速回應 DDoS 事件,以防止由於應用程式層 DDoS 事件而導致應用程式停機時間。
AWS Shield Advanced 讓 SRT 在偵測到 DDoS 事件時能夠主動參與。啟用主動參與後,如果在 DDoS 事件期間,關聯至您受保護之資源的 Route 53 運作狀態檢查狀況不良時,SRT 會直接聯絡您。如此一來,在應用程式可用性受到可疑攻擊的影響時,您即可更快速地聯繫專家。您現在可以接收下列事件的主動參與:彈性 IP 位址和 Global Accelerator 加速器上的網路層和傳輸層事件,以及 CloudFront 分發和 Application Load Balancer 上的應用程式層攻擊。
AWS Shield Advanced 可讓您將資源捆綁到保護群組中,從而可藉助自助方式,透過將多個資源視為單個單元來自訂應用程式的偵測和風險降低範圍。資源分組可提高偵測的準確性,減少誤報,輕鬆實現新建立資源的自動保護,以及加快降低針對多個資源的攻擊風險。例如,如果一個應用程式包含四個 CloudFront 分發,則可以將它們新增至一個保護群組中,以實現針對整個資源集合的偵測和保護。還可以在保護群組層面使用報告,從而更全面地了解整個應用程式的運行狀況。
AWS Shield Advanced 透過 Amazon CloudWatch 近乎即時的通知和 AWS WAF and AWS Shield 主控台或 API 上的詳細診斷資訊,可讓您完全看清 DDoS 事件。您也可以從主控台檢視先前事件摘要。若使用適用於 AWS WAF 的應用程式層 (L7) DDoS 保護受管規則,您可前往 AWS WAF 主控台,查看受此規則群組保護的 DDoS 事件。
AWS Shield Advanced 自帶「DDoS 費用保護」功能,可針對受保護的 EC2、ELB、CloudFront、Global Accelerator 或 Route 53 資源上的 DDoS 相關用量高峰導致的暴增費用提供保護。如上述任一受保護資源因 DDoS 攻擊而導致用量上升,您可以透過一般 AWS Support 管道申請 Shield Advanced 服務抵扣。
對於擁有商業/企業支援的客戶,使用 AWS Shield Advanced,您可全天候使用 SRT 服務,在 DDoS 攻擊前後與期間取得協助。SRT 可協助分類事件、找出根本原因,並代您套用風險降低功能。SRT 在快速回應和降低 AWS 客戶間 DDoS 攻擊方面擁有精深的專業知識。
所有 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 邊緣節點都可使用 AWS Shield Advanced。您可以藉由在應用程式前部署 CloudFront,保護在世界各地託管的 Web 應用程式。原始伺服器可以是 Amazon Simple Storage Service (S3)、EC2、ELB,或位於 AWS 外部的自訂伺服器。您還可以在所有提供 Shield Advanced 的 AWS 區域中直接在彈性 IP 或 ELB 執行個體上啟用保護。
Shield Advanced 客戶可以使用 AWS Firewall Manager 在整個組織中應用 AWS Shield Advanced 和 AWS WAF 保護。Firewall Manager 的費用包含在 Shield Advanced 訂閱費用中。使用 Firewall Manager,您可以自動配置覆蓋多個帳戶和資源的政策。Firewall Manager 會自動稽核帳戶,以找到新的或未受保護的資源,並確保 Shield Advanced 和 AWS WAF 保護功能得到普遍應用。這讓開發人員能夠快速移動並部署新的應用程式,對自動運用適當的保護充滿信心。 若要進一步了解此安全管理服務,請參閱 AWS Firewall Manager。
AWS Shield 網絡安全分析機 (預覽版)
全部開啟藉由網路拓撲,您可全面了解 AWS 環境,一目了然地檢視資源連接、安全組態,以及潛在的安全問題。此檢視依標籤與連線模式來對資源分組,從而有助於您了解資源及其網際網路風險之間的關係。這樣一來,您即可快速確定關鍵的安全問題,從過度寬鬆的存取權,轉為保護應用程式免遭 SQL injection 隱碼攻擊等威脅。
依據最嚴重的網路安全調查結果,會為資源賦予一個嚴重級別,進而有助於您了解環境中哪些資源已依據其網路關聯內容、AWS 最佳實務,以及威脅智慧進行正確設定。儀表板會依嚴重級別,對調查結果排定優先順序,進而有助於您輕鬆確定哪些組態問題需要您立即關注。
利用建議的服務與規則集,來快速修復網路安全組態錯誤,以便緩解每個調查結果。建議以分步驟說明的形式提供。
憑藉 Amazon Q Developer 中的 AWS Shield 網絡安全分析機,使用自然語言來分析網路安全問題。您可藉助 Amazon Q,來詢問網路安全調查結果,探索問題,以及透過 AWS 管理主控台與聊天應用程式來接收補救建議。
應用程式層 (L7) DDoS 保護
全部開啟應用程式層 (L7) DDoS 保護是一個 AWS 受管規則群組,其設計目的是自動防禦應用程式免遭分散式阻斷服務 (DDoS) 事件的攻擊,幾秒鐘內即可完成。此功能會監控流量資料,在啟動後的幾分鐘內建立基準,然後利用機器學習模型偵測來自正常流量模式的異常狀況。當流量超出或偏離所建立的基準時,系統會自動套用旨在協助封鎖可疑請求的規則。 設計此功能的目的是確保您在 Amazon CloudFront、Application Load Balancer 及 API 閘道上的應用程式,在面對不斷湧現的 DDoS 事件時仍然可用。
藉助應用程式層 (L7) DDoS 保護,您無須手動設定及管理規則複雜度,即可為您的應用程式提供保護。此功能設置了定製化選項,以便符合您的應用程式需求,例如進行規則敏感度設定,以及檢查特定的應用程式 URI 路徑。
設計目的是在幾秒內緩解新興的應用程式層 DDoS 攻擊事件
已經設定適用於 AWS WAF 的 AWS 受管規則,以便為您節省時間
藉助靈敏度控制,來客製化第 7 層 DDoS 防禦方案,使其更適合您的應用程式。