Вопросы и ответы по AWS Shield

AWS Shield Standard автоматически защищает интернет-приложения на AWS от типичных и частых DDoS-атак инфраструктурного уровня, таких как UDP-флуд, и атак на истощение ресурсов, таких как TCP/SYN-флуд. Для защиты от атак прикладного уровня, таких как HTTP POST- и GET-флуд, можно использовать сервис AWS WAF. Подробнее о развертывании защиты прикладного уровня см. в руководстве для разработчиков по AWS WAF и AWS Shield расширенного.

К защите AWS Shield Advanced можно подключить до 1000 ресурсов AWS для каждого поддерживаемого типа ресурсов (балансировщиков Classic / Application Load Balancer, баз раздачи Amazon CloudFront, зон хостинга Amazon Route 53, эластичных IP‑адресов, акселераторов AWS Global Accelerator). Чтобы подключить более 1000 ресурсов к защите AWS Shield расширенного, направьте запрос на повышение лимита в Поддержку AWS.

Да. Защиту AWS Shield Advanced можно активировать через API. С помощью API также можно подключать ресурсы AWS к AWS Shield Advanced и отключать их.

99 % обнаруживаемых AWS Shield атак инфраструктурного уровня нейтрализуются менее чем за секунду для Amazon CloudFront и Amazon Route 53 и менее чем за 5 минут для Elastic Load Balancing. Оставшийся 1 % атак инфраструктурного уровня обыкновенно нейтрализуется менее чем за 20 минут. Атаки прикладного уровня нейтрализуются с помощью правил AWS WAF за счет обнаружения и нейтрализации по ходу обработки входящего трафика в реальном времени.

Да, некоторые клиенты используют адреса AWS для своих серверных инстансов. Чаще всего это адреса глобальных распределенных сервисов CloudFront и Route 53. Эти сервисы также рекомендуются для обеспечения устойчивости к DDoS‑атакам. Клиенты могут обеспечивать защиту дистрибутивов CloudFront и зон хостинга Route 53 с помощью Shield Advanced. Обратите внимание: серверные ресурсы необходимо настроить таким образом, чтобы они принимали трафик только с адресов AWS.

AWS Shield Advanced отвечает за нейтрализацию DDoS-атак 3 и 4 уровней. Следовательно, выбранные приложения будут защищены от таких атак, как UDP‑флуд и TCP / SYN‑флуд. Кроме этого, на уровне приложения (уровень 7) AWS Shield Advanced предусматривает обнаружение таких атак, как HTTP‑флуд и DNS‑флуд. Можно применить собственные средства нейтрализации посредством AWS WAF или, если оформлен план поддержки «Для бизнеса» или «Корпоративный», воспользоваться круглосуточной помощью специалистов группы AWS Shield Response Team (SRT), которые от вашего имени подготовят правила для нейтрализации DDoS‑атак на седьмом уровне.

Да, чтобы передать обращение в группу AWS Shield Response Team (SRT) или воспользоваться ее помощью, нужно оформить план поддержки «Для бизнеса» или «Корпоративный». Подробную информацию об уровнях поддержки см. на странице Поддержка AWS.

Обратиться в сервис AWS Shield Response Team (SRT) можно через стандартные каналы поддержки AWS или через Поддержку AWS.

Время ответа SRT зависит от уровня поддержки AWS Support. Мы сделаем все возможное, чтобы ответить на исходный запрос пользователя в надлежащие сроки. Подробную информацию об уровнях поддержки см. на странице Поддержка AWS.

Да. Клиенты с AWS Shield Advanced получают оповещения о DDoS-атаках через метрики CloudWatch.

Обычно оповещения AWS Shield Advanced рассылаются в течение нескольких минут после обнаружения атаки.

Да. Клиенты с AWS Shield Advanced получают доступ к истории инцидентов на протяжении последних 13 месяцев.

Да. Пользователи AWS Shield Advanced имеют доступ к глобальной панели состояния угроз. На этой панели анонимно представлены образцы всех DDoS-атак, которые наблюдались в AWS в течение последних двух недель.

В AWS WAF предусмотрено два разных способа контролировать защиту веб‑сайта: поминутные метрики доступны в CloudWatch, а образцы сетевых запросов доступны в API AWS WAF или через консоль управления AWS. Кроме этого, можно активировать глобальные журналы, которые будут доставлены куда вам нужно через Amazon Kinesis Firehose. Они позволяют увидеть, какие запросы были заблокированы, пропущены или подсчитаны и какое правило сработало на конкретный запрос (например, что данный запрос был заблокирован по IP‑адресу и т. п.). Дополнительную информацию об этом см. в руководстве для разработчиков по сервисам AWS WAF и AWS Shield расширенный.

См. страницу Проверка уязвимостей в AWS. Однако сюда не относится нагрузочное тестирование на DDoS, которое запрещено на AWS. Если вам требуется тестирование на DDoS в режиме реального времени, вы можете подать на него заявку в AWS Support. Для утверждения заявки требуется заключение соглашения об условиях тестирования между AWS, клиентом и поставщиком теста на DDoS. Обратите внимание: мы работаем только с проверенными поставщиками тестов на DDoS. Процедура утверждения заявки занимает 3–4 недели.

AWS Shield Standard встроен в сервисы AWS, которые используются интернет-приложениями. Дополнительная плата за использование AWS Shield Standard не взимается.

Ежемесячная стоимость AWS Shield Advanced составляет 3000 USD для каждой организации. Кроме того, оплате подлежит передача данных через подключенные к AWS Shield Advanced ресурсы AWS. Стоимость AWS Shield Advanced прибавляется к стандартной стоимости Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator и Amazon Route 53. Дополнительную информацию см. на странице цен на AWS Shield.

Да. AWS Shield Advanced — гибкий инструмент. Он позволяет выбирать ресурсы, для которых необходима защита. Для этих ресурсов будет взиматься только плата за передачу данных AWS Shield Advanced.

При наличии у организации нескольких аккаунтов AWS можно подключить их к AWS Shield Advanced, отдельно активировав этот сервис для каждого аккаунта с помощью консоли управления AWS или API. Ежемесячная плата будет взиматься только один раз при условии, что все аккаунты AWS входят в одну группу консолидированной оплаты и все эти аккаунты AWS и ресурсы аккаунтов принадлежат одному пользователю или одной организации.