AWS Shield: подробный обзор
Поскольку облачные вычисления быстро растут и распространяются во всех формах бизнеса и предприятий, они также подняли мир ИТ на совершенно новый уровень. Благодаря гибким затратам на облако, его постоянной доступности и улучшенной совместной работе неудивительно, что многие организации, как крупные, так и малые, используют его для роста и повышения эффективности.
Но есть и более темная обратная сторона преимуществ. Популярность облака также привлекла хакеров, которые запустили несколько видов кибератак и угроз для облачного бизнеса. Массовая распределенная атака типа «отказ в обслуживании» (DDoS) в октябре против ведущего облачного DNS-провайдера Dyn на несколько часов отключила большую часть американского Интернета. Эта атака, одна из самых разрушительных в своем роде, вывела из строя такие сайты, как Netflix, Reddit, CNN, Twitter и The Guardian. Основной источник этой атаки был организован с использованием ботнетов Mirai, которые состоят из Интернета вещей (IoT), в отличие от других ботнетов, которые состоят из обычных компьютеров. А поскольку ботнеты Mirai используют устройства, подключенные к Интернету, атаки Mirai намного сильнее и катастрофичнее, чем обычные DDoS-атаки ранее.
В качестве ответной меры и меры защиты от таких DDoS-атак подразделение облачных вычислений Amazon представило новый сервис под названием AWS Shield, оснащенный технологией предотвращения DDoS-атак.
Почему AWS Shield?
Amazon Web Services представила AWS Shield для защиты и защиты веб-приложений, работающих на AWS, от растущих кибератак в облаке. AWS Shield обеспечивает автоматическое встроенное смягчение последствий кибератак на основе DDoS, чтобы сократить время простоя и задержки. Кроме того, он поставляется с постоянно включенным механизмом обнаружения, который поддерживает и защищает своих пользователей от кибератак. Согласно недавнему опросу, пиковый размер атак в 2016 году увеличился на 73% по сравнению с 2015 годом. В опросе также говорится, что в среднем каждую неделю в течение последних 18 месяцев происходило 124 000 атак.
Как работает AWS Shield?
При DDoS-атаке хакеры одновременно атакуют одну систему, вызывая отказ в обслуживании. DDoS-атака совершается с целью сделать онлайн-сервис, такой как веб-сайт или веб-сервис, недоступным, перегрузив его нежелательным трафиком. Существуют различные виды DDoS-атак. Вот наиболее распространенные:
- Объемные атаки: работа веб-сайта или веб-службы нарушается из-за переполнения интенсивным трафиком, превышающим возможности веб-сайта. Это делается путем выдачи поддельных запросов, насыщения полосы пропускания потоками UDP, потоками ICMP и потоками поддельных пакетов.
- Атаки на приложения и сетевые атаки. В этом типе DDoS-атак злоумышленники нацелены на веб-серверы и приводят к сбою серверов, переполняя их запросами GET/POST или DNS-запросами.
- Атаки с исчерпанием состояния или протоколами: эта атака потребляет все ресурсы серверов, злоупотребляя протоколами, такими как Ping of Death, Smurf DDoS и атаками с фрагментированными пакетами. Этот тип атаки вызывает нагрузку на брандмауэры и балансировщики нагрузки, что приводит к сбою веб-сайта жертвы.
И здесь на помощь приходит AWS Shield. AWS Shield работает в сочетании с большинством продуктов AWS, таких как Amazon Cloud Front, Amazon Route 53 и Elastic Load Balancing. И, по словам Amazon, он защитит своих клиентов от этих сетевых угроз DDoS.
В качестве меры противодействия этим атакам инфраструктура AWS спроектирована таким образом, чтобы быть устойчивой к DDoS-атакам, и поддерживается системами защиты от DDoS-атак, которые могут автоматически обнаруживать и фильтровать избыточный трафик в режиме 24/7. Кроме того, AWS Shield также позволяет развернуть брандмауэр веб-приложений для повышения безопасности.
Выпущено в двух версиях
AWS Shield предоставляет управляемую защиту от DDoS для всех ваших веб-приложений и сервисов. Услуга имеет два уровня:
Стандарт AWS Shield
AWS Shield Standard — это бесплатный вариант AWS Shield, доступный для всех существующих клиентов AWS. Утверждается, что этот вариант защищает пользователей почти от 96 процентов DDoS-атак, включая наводнения SYN/ACK, медленное чтение HTTP и атаки отражения. Этот сервис является прозрачным и автоматически применяется практически ко всем сервисам AWS, таким как балансировщики эластичной нагрузки, дистрибутивы CloudFront и ресурсы Route 53.
Расширенный щит AWS
Эта версия AWS Shield, как следует из названия, обеспечивает повышенный уровень безопасности от более сложных DDoS-атак, в первую очередь объемных атак. Расширенный сервис доступен только для клиентов, которые зарегистрированы на уровнях поддержки Enterprise или Business в AWS Premium Support.
AWS Shield Advanced — это платный сервис, на который распространяется обязательство подписки не менее чем на один год из расчета 3000 долларов США в месяц. Вам также придется платить за использование передачи данных, которые зависят от скорости передачи данных и пакета. Он также предлагает круглосуточный доступ к группе реагирования на DDoS-атаки (DRT) для принятия пользовательских мер по смягчению последствий атак. Еще одна функция — это то, что Amazon называет «защитой от DDoS-атак», которая предназначена для защиты пользователей от неожиданных всплесков счетов. Он также предлагает интеллектуальный механизм обнаружения атак и может смягчить атаки DDoS на уровне приложений и сети.
По умолчанию AWS Shield Advanced позволяет включить до 100 ресурсов. Если вы хотите добавить более 100 ресурсов, вы всегда можете увеличить лимит за определенную плату. Для получения дополнительной информации о стоимости AWS Shield нажмите здесь.
Преимущества и преимущества
Используя AWS Shield, вы не только защищаете свой веб-сайт или веб-сервис от всех форм DDoS-атак, но и получаете следующие преимущества и преимущества:
Легко использовать
Как и большинство продуктов AWS, Shield — это простой в использовании сервис, который позволяет поставщикам приложений, независимым поставщикам программного обеспечения и поставщикам быстро и легко размещать ваши приложения. AWS Shield можно использовать в существующем приложении или в новом приложении «Программное обеспечение как услуга» с помощью консоли управления AWS.
Экономически эффективным
Как упоминалось ранее, AWS Shield Standard — это совершенно бесплатный сервис, который автоматически применяется ко всем существующим клиентам. Хотя расширенная версия является платной услугой, вы платите только за то, что используете. AWS Shield не предполагает долгосрочных контрактов или предварительных обязательств. Первоначально он поставляется с годовым обязательством, а структура ежемесячных платежей и варианты расширения ресурсов делают его экономически эффективным.
Настраиваемая безопасность
AWS Shield очень гибкий и настраиваемый. Это позволяет пользователю выбирать операционную систему, платформу веб-приложений, базу данных и язык программирования в зависимости от уровня комфорта пользователя. Всегда можно выбрать определенные компоненты и ресурсы в своей среде AWS для защиты с помощью AWS Shield. Кроме того, процесс миграции существующих приложений очень прост, а также сохраняются существующие возможности для создания новых решений.
Поскольку злоумышленники уже начали использовать Интернет вещей в качестве оружия для DDoS-атак, безопасность облачной ИТ-индустрии сталкивается с огромными рисками. AWS Shield предлагает все методы защиты от подобных атак. Хотя у Google уже есть собственная служба защиты от DDoS-атак под названием Project Shield, она ограничена лишь несколькими веб-сайтами. Однако AWS Shield можно использовать на любом веб-сайте или в любом сервисе, что делает его универсальным для всех сервисов и продуктов AWS. Но с учетом того, что хакеры каждый день изучают новые приемы и приемы, будет ли этого достаточно для полной защиты облачных сервисов? Нам придется подождать и посмотреть.