AWS Shield 常見問答集

一般問題

AWS Shield 是一種代管服務,可為 AWS 上執行的 Web 應用程式防禦分散式拒絕服務 (DDoS) 攻擊。AWS Shield Standard 會自動啟用並提供給所有 AWS 客戶免費使用。AWS Shield Advanced 是選購的付費服務。AWS Shield Advanced 可為 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 與 Route 53 上執行的應用程式提供額外保護,攔截更精密且更大型的攻擊。

AWS Shield Standard 可為所有 AWS 客戶提供保護,防禦常見且最常發生在基礎設施 (Layer 3 與 Layer 4) 的攻擊,如 SYN/UDP 泛洪、反射式攻擊等,賦予 AWS 上執行的應用程式高可用性。

AWS Shield Advanced 可為您在受保護的 Amazon EC2, Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 與 Route 53 資源上執行的應用程式提供更強勁的保護,使其不受更精密且更大型的攻擊威脅。AWS Shield Advanced 保護機制可針對網路流量提供隨時啟用的流量監控,同時監控使用中的應用程式,一旦發生 DDoS 攻擊,會以近乎即時的速度通知。AWS Shield Advanced 也採用進階攻擊緩解和路由技術,來自動減緩攻擊。擁有商業或企業支援的客戶還可以藉助全年無休的 Shield 應變團隊 (SRT) 之力,管理及減少應用程式層的 DDoS 攻擊。DDoS 擴展費用保障功能可穩定您的 AWS 帳單費用,避免 DDoS 攻擊造成受保護的 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 與 Amazon Route 53 用量暴增,產生高額費用。

AWS Shield Advanced 包含 DDoS 費用穩定功能,這項防衛機制可以避免 DDoS 攻擊造成受保護的 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 用量暴增,進而導致高額費用。如上述任一 AWS Shield Advanced 受保護資源因 DDoS 攻擊而導致用量上升,您可以透過一般 AWS Support 管道申請抵扣。

是,AWS Shield 與 Amazon CloudFront 整合,可支援 AWS 外的自訂來源。

是。AWS Shield 的所有偵測與緩解功能都可搭配 IPv6 與 IPv4 運作,對服務的效能、擴展性或可用性不會有任何明顯影響。

「AWS 可接受的使用政策」描述了 AWS 上允許和禁止的行為,其中也一併描述了禁止的安全違規和網路濫用行為。不過,由於 DDoS 模擬測試、滲透測試和其他模擬事件時常與這些活動難以辨別,因此我們設立了客戶請求許可政策,以執行 DDoS 測試、滲透測試和漏洞掃描。如需詳細資訊,請瀏覽我們的滲透測試頁面DDoS 模擬測試政策

全球每一個 AWS 區域和 AWS 節點的所有 AWS 服務都提供 AWS Shield Standard。

請參閱區域性產品和服務,了解 AWS Shield Standard 在不同區域的供應情形詳細資訊。

全球所有 Amazon CloudFront, AWS Global Accelerator, and Amazon Route 53 節點都已提供 AWS Shield Advanced。您可以藉由在應用程式前部署 Amazon CloudFront,保護在世界各地託管的 Web 應用程式。原始伺服器可以是 Amazon Simple Storage Service (S3)、Amazon EC2、Elastic Load Balancing,或位於 AWS 外部的自訂伺服器。您也可以直接在以下 AWS 區域,利用 Elastic Load Balancing 或 Amazon EC2 啟用 AWS Shield Advanced – 維吉尼亞北部、俄亥俄、奧勒岡、加利佛尼亞北部、蒙特婁、聖保羅、愛爾蘭、法蘭克福、倫敦、巴黎、斯德哥爾摩、新加坡、東京、雪梨、首爾、孟買、米蘭、開普敦、香港、巴林、馬來西亞和阿拉伯聯合大公國。

請參閱區域性產品和服務,了解 AWS Shield Advanced 在不同區域的最新供應情形詳細資訊。

是,AWS 已經擴展其 HIPAA 合規計劃,將 AWS Shield 納入 HIPAA 合格服務。如果您擁有與 AWS 共同履行的商業夥伴協議 (BAA),即可使用 AWS Shield 保護 AWS 上執行的 Web 應用程式,使其不受分散式拒絕服務 (DDoS) 的攻擊。如需詳細資訊,請參閱 HIPAA 合規

設定保護

AWS Shield Standard 會自動為 AWS 上執行的 Web 應用程式提供保護,防禦最常見且經常發生在基礎設施層的攻擊,例如 UDP 泛洪,以及 TCP SYN 泛洪等狀態耗盡攻擊。客戶也可以使用 AWS WAF,抵禦 HTTP POST 或 GET 泛洪等應用程式層攻擊。如需如何部署應用程式層保護的詳細資訊,請參閱 AWS WAF 和 AWS Shield Advanced 開發人員指南

AWS Shield Standard 保護沒有資源數量限制。遵循 AWS 上的 DDoS 彈性最佳實務,即可享有 AWS Shield Standard 保護的所有優勢。

是。您可透過 API 啟用 AWS Shield Advanced,也可以透過 API 從 AWS Shield Advanced 保護新增或移除 AWS 資源。

通常,AWS Shield 偵測到的 99% 基礎設施層攻擊中,Amazon CloudFront 和 Amazon Route 53 上的攻擊可在 1 秒內緩解,而 Elastic Load Balancing 上的攻擊可在 5 分鐘內紓緩。剩餘 1% 的基礎設施攻擊通常可在 20 分鐘內減緩。您可透過在 AWS WAF 上撰寫規則來減緩應用程式層攻擊,以內嵌方式檢查傳入流量並減少攻擊次數。

可以,我們有許多客戶選擇在其後端執行個體前面使用 AWS 端點。這些端點通常是我們分佈全球的 CloudFront 和 Route 53 服務。這些服務也是我們針對 DDoS 恢復能力建議的最佳實務。客戶可以利用 Shield Advanced 來保護這些 CloudFront 分發和 Route 53 託管區域。請注意,您必須將其後端資源鎖定為只接受來自 AWS 端點的流量。

回應攻擊

AWS Shield Standard 會自動保護 AWS 上執行的 Web 應用程式,使其不受常見 DDoS 攻擊威脅。遵循 AWS 上的 DDoS 彈性最佳實務,即可享有 AWS Shield Standard 的所有優勢。

AWS Shield Advanced 會針對 Layer 3 與 Layer 4 的 DDoS 攻擊管理防護情形。這表示您指定的應用程式會受到妥善保護,可免於 UDP 泛洪或 TCP SYN 泛洪等攻擊威脅。此外,針對應用程式層 (Layer 7) 攻擊,AWS Shield Advanced 能偵測 HTTP 泛洪和 DNS 泛洪之類的攻擊。您可以利用 AWS WAF 套用自己的防護機制,或者如果您擁有商業或企業支援,則委託全年無休的 AWS Shield 應變團隊 (SRT) 為您撰寫規則,減少 Layer 7 DDoS 攻擊。

您可以透過 AWS 一般支援聯繫 AWS Shield 應變小組 (SRT),或是與 AWS Support 聯絡。

可見性與報告

通常 AWS Shield Advanced 會在偵測到攻擊後的幾分鐘內提供攻擊通知。

是。使用 AWS Shield Advanced 時,您可以查看最近 13 個月所有事件的歷史記錄。

可以,AWS Shield Advanced 的客戶可以存取全球威脅環境儀表板,這個儀表板以匿名和抽樣的方式,顯示過去 2 週在 AWS 上偵測到所有l DDoS 攻擊。

AWS WAF 提供兩種方法,供您查看網站受保護的情況:CloudWatch 可提供一分鐘指標,而 AWS WAF API 或 AWS 管理主控台則可提供採樣的 Web 請求。此外,您還可以啟用全面日誌功能,透過 Amazon Kinesis Firehose 將日誌傳送到您指定的目的地。透過這些方法,您可以查看已封鎖、允許或計算的請求,以及指定的請求符合哪個規則 (亦即 Web 請求是因 IP 地址條件而封鎖,或是其他原因)。如需詳細資訊,請參閱 AWS WAF 和 AWS Shield Advanced 開發人員指南

計費

AWS Shield Standard 內建於您已用於 Web 應用程式的 AWS 服務中,AWS Shield Standard 本身無須額外收費。

使用 AWS Shield Advanced 期間,每個組織每月需支付 3,000 USD 的月費。此外,您也需要為啟用進階保護的 AWS 資源支付 AWS Shield Advanced 資料傳輸使用費。AWS Shield Advanced 費用是在 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 標準費用之外另外收取。如需詳細資訊,請參閱 AWS Shield 定價頁面

可以,AWS Shield Advanced 可讓您彈性選擇所要保護的資源。您只需支付在這些受保護資源上使用 AWS Shield Advanced 資料傳輸的費用。

如果您的組織有多個 AWS 帳戶,您可以使用 AWS 管理主控台或 API 在每個帳戶中個別啟用 AWS Shield Advanced,讓多個 AWS 帳戶訂閱這項功能。只要 AWS 帳戶都在一個合併帳單之下,且您擁有這些帳戶中的所有 AWS 帳戶和資源,則只需支付一次月費。