亚马逊AWS官方博客

AWS Shield Advanced 更新 – 自动应用程序层 DDoS 缓解

2016 年,我们启动了 AWS Shield,这是一种托管式的分布式拒绝服务 (DDoS) 保护服务,可保护在 AWS 上运行的应用程序。AWS Shield 提供了始终在线的检测和自动内联缓解,可最大程度地减少应用程序停机时间和延迟,而无需联系 AWS Support。

AWS Shield 分为两层:标准和高级。所有 AWS 客户都可免费享受 AWS Shield Standard 自动网络层保护的益处。AWS Shield Standard 可防御最常见、最频繁发生的网络和传输层(第 3 层和第 4 层)DDoS 攻击,以最大限度地提高 AWS 服务的可用性。

要针对应用程序受到的复杂(第 3 层到第 7 层)威胁提供定制防护,您可以订阅 AWS Shield Advanced。AWS Shield Advanced 可针对大型和复杂的 DDoS 攻击提供更敏感的检测和定制的缓解措施、对攻击近实时的可见性,并与 AWS WAF(用于防御第 7 层攻击的 Web 应用程序防火墙)集成。AWS Shield Advanced 还允许您全天候访问 AWS Shield 响应团队 (SRT),并提供成本保护,防止 DDoS 攻击带来的扩展成本。

AWS Shield Advanced 可为每个受保护的资源建立流量基线。与此基线的重大偏差会标记为 DDoS 事件,并通过 Amazon CloudWatch 触发提示。但是,缓解这些事件仍需要手动制定 AWS WAF 规则来隔离恶意流量,通过 AWS WAF 控制台或 API 进行部署,并评估规则的有效性。AWS Shield Advanced 客户可以利用 SRT 创建此类 AWS WAF 规则或依靠自己的专业知识,但此过程非常耗时,这增加了缓解 DDoS 攻击和防止对应用程序的可用性影响所需的时间。

近期,我们发布了适用于 AWS Shield Advanced 的自动应用程序层 DDoS 缓解。这是面向所有 Shield Advanced 客户的一组新功能,可自动缓解可能影响应用程序可用性的恶意 Web 流量。此功能会自动创建、测试和部署 AWS WAF 规则,以代表客户缓解第 7 层 DDoS 事件。

启用自动应用程序层 DDoS 缓解
访问 AWS Shield 控制台,开启自动应用程序层 DDoS 缓解。要获得 Shield Advanced 的益处,您必须订阅年度订阅

订阅 AWS Shield Advanced 后,可以指定要保护的资源,配置第 7 层 DDoS 缓解、AWS SRT 支持,以及 CloudWatch 中的控制面板以监控 DDoS 事件。要了解详情,请参阅 AWS 文档中的开启 AWS Shield Advanced

要启用 Shield Advanced 自动应用程序层 DDoS 缓解,请选择您的第 7 层 AWS 资源(例如 CloudFront),然后从下拉列表中选择配置保护

接下来,在编辑保护中,选择是否要启用第 7 层事件自动缓解,然后选择应在自动响应中以计数模式还是阻止模式创建 WAF 规则。将 WAF 规则置于计数模式允许您在以阻止模式部署资源流量之前观察其将如何受到影响。请注意,WebACL 必须与受 Shield 保护的资源相关联,才能启用自动第 7 层缓解。

缓解操作可随时更改为计数或阻止模式。导航到控制台的“事件”选项卡可查看检测到的 DDoS 事件,选择检测到的事件可查看检测、缓解和主要贡献因素指标。

如何自动缓解应用程序层 DDoS
想要保护第 7 层资源(如 CloudFront 分配)时,AWS Shield Advanced 将为每个受保护的资源建立 30 天的流量基线。

只有启用自动缓解后,我们才会创建 Shield 托管式规则组,AWS Shield Advanced 将在其中创建 AWS WAF 规则以响应 DDoS 事件。

严重偏离既定基线的流量将标记为潜在 DDoS 事件。检测到事件后,Shield Advanced 将尝试根据问题请求模式识别签名。如果识别出签名,将创建 WAF 规则以减少具有该签名的流量。

规则一旦确认安全,就将添加到 Shield 托管式规则组中,客户可以选择是以计数模式还是阻止模式部署规则。客户还可以根据请求被阻止或计数的次数创建 CloudWatch 提示。

客户可以随时更改自动缓解所采取的操作(计数或阻止)或完全禁用该操作。Shield Advanced 将在确定事件已完全平息后自动删除 AWS WAF 规则。要了解详情,请参阅 AWS Shield 开发人员指南中的 Shield Advanced 自动应用程序层 DDoS 缓解。

现已推出
自动应用程序层 DDoS 缓解现已在提供 AWS Shield Advanced 的所有 AWS 区域推出,无需额外成本即可启用。

您可以将反馈发送到 AWS Shield 的 AWS 论坛,或者通过常用 AWS Support 联系人发送反馈。

Channy