AWS Shield è un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service), che protegge le applicazioni in esecuzione in AWS. Fornisce un rilevamento continuo e prevenzione incorporata automatica che minimizzano il tempo di inattività e la latenza dell'applicazione, così non è necessario ricorrere ad AWS Support per beneficiare della protezione DDoS. Esistono due livelli di AWS Shield: Standard e Advanced.
Tutti i clienti AWS beneficiano delle funzionalità di protezione automatica di AWS Shield Standard, senza costi aggiuntivi. AWS Shield Standard protegge dagli attacchi DDoS di rete e di livello trasporto più comuni e frequenti a siti web o applicazioni. Chi utilizza AWS Shield Standard con Amazon CloudFront e Amazon Route 53, potrà avvalersi della protezione completa contro tutti gli attacchi a livello di infrastruttura (layer 3 e 4).
AWS Shield Standard fornisce un monitoraggio continuo del flusso di rete per analizzare il traffico in entrata nei servizi AWS e utilizza una combinazione di firme digitali di traffico, algoritmi di rilevamento di anomalie e altre tecniche di analisi per individuare il traffico dannoso in tempo reale. Shield Standard imposta soglie statiche per ciascun tipo di risorsa AWS, ma non fornisce protezione personalizzata per le tue applicazioni.
Le tecniche di mitigazione automatiche sono integrate in AWS Shield Standard e offrono ai servizi AWS sottostanti protezione dagli attacchi all'infrastruttura più comuni e più frequenti. Tali tecniche sono integrate per proteggere i servizi AWS e non influenzare i livelli di latenza. Shield Standard utilizza diverse tecniche come il filtraggio dei pacchetti deterministici e l'adattamento del traffico in base alle priorità per prevenire automaticamente gli attacchi a livello di rete elementari.
Per livelli di protezione più elevati contro gli attacchi diretti alle applicazioni su risorse di Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53, è possibile eseguire la registrazione ad AWS Shield Advanced. Oltre alle funzionalità di protezione di rete e di livello trasporto della versione Standard, Shield Advanced fornisce rilevamento supplementare e prevenzione contro attacchi DDoS vasti e sofisticati, visibilità sugli attacchi quasi in tempo reale e integrazione con AWS WAF, un firewall per applicazioni Web. Shield Avanzato fornisce inoltre accesso 24/7 all'AWS Shield Response Team (SRT) e protezione contro i picchi correlati agli attacchi DDoS nei carichi EC2, ELB, CloudFront, Global Accelerator e Route 53.
AWS Shield Advanced offre un rilevamento personalizzato basato sugli schemi di traffico per gli indirizzi IP elastici protetti e per le risorse ELB, CloudFront, Global Accelerator o Route 53. Utilizzando ulteriori tecniche di monitoraggio specifiche per le risorse e le regioni, Shield Advanced individua e ti avvisa in caso di attacchi DDoS minori. Shield Advanced rileva inoltre gli attacchi a livello di applicazione come gli attacchi flood HTTP o di query DNS stabilendo la linea di base del traffico sulla tua applicazione e identificando le anomalie.
AWS Shield Advanced utilizza lo stato delle applicazioni per migliorare i tempi di risposta e la precisione per il rilevamento e la mitigazione di un attacco. È possibile definire un controllo dell'integrità in Route 53 e associarlo a una risorsa protetta da Shield Advanced tramite la console o l'API. Ciò consente a Shield Advanced di rilevare gli attacchi che colpiscono lo stato dell'applicazione più rapidamente e a soglie di traffico inferiori, migliorando in questo modo la resilienza DDoS dell'applicazione e evitando notifiche di falsi positivi. Lo stato di integrità della risorsa e inoltre a disposizione del team SRT affinché possa dare la massima priorità di reazione alle applicazioni danneggiate. Il rilevamento basato sullo stato di integrità può essere applicato a tutti i tipi di risorse supportate da Shield Advanced: Elastic IP, ELB, CloudFront, Global Accelerator e Route 53.
AWS Shield Advanced offre mitigazioni automatiche più sofisticate contro attacchi mirati alle applicazioni in esecuzione sulle risorse protette EC2, ELB, CloudFront, Global Accelerator e Route 53. Utilizzando tecniche di instradamento avanzate, Shield Advanced distribuisce automaticamente capacità di prevenzione aggiuntiva per proteggere la tua applicazione dagli attacchi DDoS. Per i clienti con un piano di supporto Business o Enterprise, l’SRT applica inoltre tecniche di mitigazione manuali per attacchi DDoS più complessi e sofisticati che potrebbero essere specifici per la tua applicazione. Per gli attacchi a livello di applicazione, puoi utilizzare AWS WAF senza costi aggiuntivi per le risorse protette da Shield Advanced per impostare regole proattive, come il blocco basato sul tasso per bloccare automaticamente le richieste Web provenienti da indirizzi IP sorgente dannosi, o rispondere tempestivamente agli incidenti. Inoltre, potrai contattare direttamente lo Shield Response Team (SRT) chiedendo l'attivazione di regole di AWS WAF personalizzate in risposta agli attacchi DDoS a livello di applicazione. L’SRT effettuerà una diagnosi dell'attacco e, con la tua autorizzazione, applicherà misure protettive per conto tuo, riducendo il lasso di tempo in cui le applicazioni potrebbero essere colpite da un attacco DDoS in corso.
AWS Shield Advanced può proteggere automaticamente le applicazioni web tramite la mitigazione degli eventi DDoS a livello di applicazione (L7) senza la necessità di intervento manuale da parte tua o del team SRT di AWS. Shield Advanced può creare regole WAF nelle tue ACL Web per mitigare automaticamente un attacco, oppure puoi attivarle in modalità "solo conteggio". Ciò ti permette di rispondere rapidamente agli eventi DDoS per prevenire i momenti di inattività delle applicazioni dovuti a un attacco DDoS a livello di applicazione.
AWS Shield Avanzato offre il coinvolgimento proattivo dal team SRT quando viene rilevato un evento DDoS. Quando abiliti il coinvolgimento proattivo, l’SRT ti contatterà direttamente se un controllo dell'integrità di Route 53 associato con una risorsa protetta non risulta integro durante un evento DDoS. Ciò ti permette di coinvolgere gli esperti più velocemente quando la disponibilità di un'applicazione viene messa in discussione da un attacco sospetto. Puoi ricevere il coinvolgimento proattivo per eventi a livello di trasporto e di rete sugli indirizzi IP elastici e acceleratori Global Accelerator e per gli attacchi a livello di applicazione sulle distribuzioni CloudFront e Application Load Balancer.
AWS Shield Advanced consente di raggruppare le risorse in gruppi di protezione, offrendo una modalità self-service per personalizzare l'ambito del rilevamento e della mitigazione per l'applicazione trattando più risorse come una singola unità. Il raggruppamento delle risorse migliora la precisione del rilevamento, riduce i falsi positivi, facilita la protezione automatica delle risorse appena create e accelera il tempo per mitigare gli attacchi contro più risorse. Ad esempio, se un'applicazione è costituita da quattro distribuzioni CloudFront, puoi aggiungerle a un gruppo di protezione per ricevere il rilevamento e la protezione per l'insieme delle risorse nel loro complesso. La creazione di report può essere completata anche a livello di gruppo di protezione, fornendo una visione più olistica dello stato generale dell'applicazione.
AWS Shield Advanced offre visibilità completa sugli attacchi di tipo DDoS con notifiche quasi in tempo reale tramite Amazon CloudWatch e diagnostica dettagliata tramite la console di gestione di AWS WAF e AWS Shield o le API. Dalla console puoi visualizzare un riepilogo degli attacchi precedenti.
Con AWS Shield Advanced ottieni la protezione in fattura DDoS dai picchi derivati dagli attacchi DDoS per le risorse protette EC2, ELB, CloudFront, Global Accelerator e Route 53. Se una di queste risorse protette aumenta in risposta a un attacco DDoS, puoi richiedere i crediti di servizio di Shield Advanced tramite il consueto canale AWS Support.
Per i clienti con un piano di supporto Business ed Enterprise, AWS Shield Avanzato permette di contattare 24 ore su 24 e 7 giorni su 7 il team SRT, che può essere consultato prima, durante o dopo un attacco DDoS. L’SRT effettua la valutazione degli errori, ne identifica la causa principale e applica misure di prevenzione per conto tuo. Il team ha un'esperienza approfondita per quanto riguarda la risposta rapida e la mitigazione degli attacchi DDoS che colpiscono i clienti AWS.
AWS Shield Advanced è disponibile in tutto il mondo presso tutte le posizioni edge di CloudFront, Global Accelerator e Route 53. Proteggi le tue applicazioni Web in hosting in tutto il mondo distribuendole insieme ad CloudFront. I server di origine possono essere Amazon Simple Storage Service (S3), EC2, ELB o un server personalizzato esterno ad AWS. Puoi anche attivare le protezioni direttamente sulle istanze di indirizzi IP elastici o di ELB in tutte le regioni AWS in cui Shield Advanced è disponibile.
I clienti di AWS Shield Advanced possono utilizzare AWS Firewall Manager per applicare protezioni Shield Advanced e AWS WAF nell'intera organizzazione. Il costo di Firewall Manager è incluso nella tariffa di iscrizione a Shield Advanced. Utilizzando Firewall Manager, puoi configurare automaticamente le policy coprendo più account e risorse. Firewall Manager esegue l'audit automatico degli account per trovare risorse nuove o non protette e si assicura che le protezioni Shield Advanced e AWS WAF vengano applicate universalmente. Ciò permette agli sviluppatori di agire rapidamente e di distribuire nuove applicazioni potendo contare sull'implementazione automatica di misure protettive adeguate. Per ulteriori informazioni su questo servizio di gestione della sicurezza, consulta Gestione dei firewall AWS.