AWS Shield – это управляемый сервис защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Он защищает приложения, работающие в AWS. Сервис обеспечивает динамичное обнаружение и автоматическую линейную нейтрализацию атак, сокращая задержку и время простоя приложений и избавляя пользователя от необходимости обращаться в AWS Support в случае DDoS-атак. AWS предлагает два уровня AWS Shield – Standard и Advanced.
Защита AWS Shield Standard предоставляется всем клиентам AWS бесплатно. AWS Shield Standard защищает от типичных и частых DDoS-атак сетевого и транспортного уровня, нацеленных на веб-сайты и приложения. При использовании AWS Shield Standard совместно с Amazon CloudFront и Amazon Route 53 обеспечивается комплексная защита от всех известных инфраструктурных атак (уровень 3 и 4).
AWS Shield Standard ведет непрерывный мониторинг входящего сетевого трафика сервисов AWS и с помощью одновременной оценки подписей трафика, применения алгоритмов выявления аномалий и других аналитических приемов обнаруживает вредоносный трафик в режиме реального времени. Shield Standard устанавливает статичные пороговые значения для каждого типа ресурсов AWS, но не обеспечивает индивидуальной защиты для ваших приложений.
В AWS Shield Standard встроены технологии автоматической нейтрализации атак, которые защищают базовые сервисы AWS от типичных и наиболее частых атак инфраструктурного уровня. Автоматическая нейтрализация применяется в линейном режиме для защиты сервисов AWS, так что на задержку она не влияет. Shield Standard использует такие технологии, как детерминированная фильтрация пакетов и формирование трафика на основании приоритетов, для автоматической нейтрализации основных атак сетевого уровня.
Можно оформить подписку на AWS Shield Advanced и обеспечить защиту более высокого уровня от атак, нацеленных на приложения в сервисах Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator и Amazon Route 53. В дополнение к защите сетевого и транспортного уровней, предусмотренной в версии Standard, Shield Advanced обеспечивает средства обнаружения и нейтрализации сложных широкомасштабных DDoS-атак, видимость атак в режиме, близком к реальному времени, и интеграцию с брандмауэром интернет-приложений AWS WAF. Shield расширенный также предоставляет круглосуточный доступ к услугам подразделения AWS Shield Response Team (SRT) и защищает от вызванных DDoS-атаками всплесков расходов на EC2, ELB, CloudFront, Global Accelerator и Route 53.
С помощью AWS Shield Advanced можно настроить параметры обнаружения вторжений на основе шаблонов трафика для защищенных эластичных IP‑адресов, а также ресурсов ELB, CloudFront, Global Accelerator и Route 53. С помощью дополнительных технологий мониторинга, предназначенных для разных регионов и ресурсов, Shield Advanced обнаруживает небольшие DDoS‑атаки и оповещает о них. Shield Advanced также обнаруживает DDoS‑атаки уровня приложений, такие как HTTP‑флуд и флуд DNS‑запросов, за счет определения типичных характеристик входящего трафика вашего приложения и выявления аномалий.
AWS Shield Advanced использует данные о работоспособности ваших приложений для улучшения скорости ответной реакции, точности обнаружения и нейтрализации атак. Вы можете установить проверку работоспособности на Route 53 и связать ее с ресурсом, защищенным Shield Advanced через консоль или API. Это позволяет Shield Advanced быстрее обнаруживать атаки, влияющие на работоспособность вашего приложения, используя более низкие пороговые значения трафика, улучшая устойчивость вашего приложения к DDoS-атакам и предотвращая ложные оповещения. Данные о работоспособности ресурсов будут также доступны специалистам SRT, чтобы они могли правильно расставить приоритеты для исправления некорректно работающих приложений. Вы можете использовать системы проверки работоспособности для всех типов ресурсов, поддерживаемых Shield Advanced: эластичный IP-адрес, ELB, CloudFront, Global Accelerator и Route 53.
AWS Shield Advanced обеспечивает расширенные возможности для автоматической нейтрализации атак, нацеленных на приложения в защищенных ресурсах EC2, ELB, CloudFront, Global Accelerator и Route 53. С помощью улучшенных технологий маршрутизации Shield Advanced автоматически развертывает дополнительный уровень нейтрализации, что обеспечивает расширенную защиту ваших приложений от DDoS‑атак. Если у клиента есть план поддержки «Для бизнеса» или «Корпоративный», в случаях особо сложных и масштабных DDoS‑атак, которые могут быть разработаны специально для его приложения, специалисты SRT подключаются к нейтрализации атаки вручную. Что касается атак уровня приложений, для ресурсов, защищенных с помощью Shield Advanced, можно использовать AWS WAF без дополнительной платы, чтобы устанавливать проактивные правила (например, внесение в черный список с учетом рейтинга для автоматической блокировки веб-запросов с атакующих IP-адресов) или немедленно реагировать на инциденты по мере их возникновения. Клиент может связаться со специалистами SRT напрямую и попросить применить собственные правила AWS WAF от своего имени для реагирования на DDoS-атаки уровня приложений. Команда SRT обнаружит атаку, и после вашего разрешения сможет нейтрализовать ее от вашего имени, уменьшая время, в течение которого ваши приложения могут подвергаться воздействию продолжающейся DDoS-атаки.
AWS Shield Advanced может автоматически защищать интернет-приложения, нейтрализуя DDoS-события на уровне приложений (L7), без необходимости вмешательства со стороны клиента или AWS SRT. Shield Advanced может создавать правила WAF в WebACLs для автоматической нейтрализации атаки, или же клиент может выполнить активацию в режиме только подсчета. Это дает возможность быстро реагировать на DDoS-события, чтобы предотвращать простои приложений, которые могут возникнуть из-за DDoS-атак на уровне приложений.
В случае обнаружения DDoS-атаки специалисты SRT в рамках сервиса AWS Shield расширенный принимают проактивное участие в ее нейтрализации. Если вы активируете возможность проактивного участия и проверка Route 53 покажет неработоспособность вашего защищенного ресурса во время DDoS-атаки, команда SRT свяжется с вами напрямую. Это позволит вам быстрее связаться с экспертами, когда ваше приложение становится недоступным из-за предполагаемой атаки. Вы можете включить функцию проактивного участия для событий сетевого и транспортного уровня на эластичных IP-адресах и ускорителях Global Accelerator, а также для атак на уровне приложений на дистрибутивы CloudFront и балансировщики Application Load Balancer.
AWS Shield Advanced дает вам возможность упаковывать ресурсы в группы защиты, благодаря чему вы можете самостоятельно настраивать область обнаружения и нейтрализации для приложения, работая с несколькими ресурсами как с одним блоком. Группирование ресурсов повышает точность обнаружения, снижает количество ложных срабатываний, упрощает автоматическую защиту недавно созданных ресурсов и ускоряет нейтрализацию атак для нескольких ресурсов. Например, если приложение состоит из четырех дистрибутивов CloudFront, вы можете добавить их в одну группу защиты, чтобы обеспечить обнаружение и защиту коллекции ресурсов как одного целого. Отчетность также можно собирать на уровне группы защиты, что дает более целостное представление об общей работоспособности приложения.
AWS Shield Advanced обеспечивает полную осведомленность о DDoS‑атаках с помощью оповещений, которые отправляются через Amazon CloudWatch в режиме, близком к реальному времени, и подробных диагностических сведений, доступных в консоли AWS Shield, AWS WAF или API. На консоли можно просматривать сводные данные о предыдущих атаках.
AWS Shield Advanced включает защиту от лишних расходов в случае DDoS‑атак, т. е. от расходов на масштабирование, вызванных всплесками нагрузки на защищенные ресурсы EC2, ELB, CloudFront, Global Accelerator и Route 53 в результате DDoS‑атаки. Если любой из этих защищенных ресурсов будет испытывать повышенную нагрузку в результате DDoS-атаки, можно традиционным образом обратиться в AWS Support и получить кредиты Shield Advanced.
Для клиентов с планами поддержки «Для бизнеса» и «Корпоративный» AWS Shield расширенный предоставляет круглосуточный доступ к подразделению SRT, специалисты которого готовы помочь до обнаружения DDoS‑атак, в процессе таковых и после их завершения. Специалисты SRT помогут определить уровень и первопричины инцидента и устранить его последствия от вашего имени. Специалисты SRT имеют большой опыт оперативного реагирования на DDoS-атаки на приложения клиентов AWS и их нейтрализации.
AWS Shield Advanced доступен во всех периферийных местоположениях CloudFront, Global Accelerator и Route 53. Можно защитить интернет-приложения, размещенные в любых местоположениях по всему миру, выполнив для них развертывание CloudFront. В качестве серверов источника можно использовать Amazon Simple Storage Service (S3), EC2, ELB или специальный сервер вне AWS. Можно также включить защиту непосредственно в инстансах эластичного IP-адреса или ELB во всех регионах AWS, где доступен Shield Advanced.
Клиенты AWS Shield Advanced могут использовать AWS Firewall Manager, который обеспечит защиту с помощью Shield Advanced и AWS WAF для всей организации. Стоимость Firewall Manager уже включена в плату за подписку Shield Advanced. С помощью Firewall Manager можно автоматически настраивать политики для множества аккаунтов и ресурсов. Firewall Manager автоматически проверяет аккаунты в поисках новых или незащищенных ресурсов и обеспечивает универсальное применение защиты Shield Advanced и AWS WAF. Это позволяет разработчикам работать быстрее и развертывать новые приложения с уверенностью, что соответствующие настройки безопасности будут добавлены автоматически. Чтобы узнать подробнее об этом сервисе управления безопасностью, см. Диспетчер брандмауэра AWS.