Все об AWS Shield

Каждый поставщик веб-услуг знал, что им необходимо усилить защиту от DDoS-атак (распределенный отказ в обслуживании) после того, как успешный взлом DNS-провайдера Dyn вызвал огромные сбои в работе нескольких сайтов, включая Twitter, Spotify и Netflix. Что касается поставщика облачных услуг №1 Amazon Web Services, они усилили свой сервис AWS Shield для защиты своих веб-приложений от DDoS-атак.

Если вы точно не знаете, что такое DDoS-атака, существует три распространенных типа:

• Атаки на уровне приложения: они пытаются использовать все ресурсы приложения с помощью вредоносных (хотя и правильно сформированных) запросов, таких как HTTP GET.
• Атаки с исчерпанием состояния: они потребляют большое количество ресурсов на соединение и создают нагрузку на брандмауэры и балансировщики нагрузки, злоупотребляя протоколами с отслеживанием состояния.
• Volumetric/Reflection Attacks: они наводняют сеть чрезмерным трафиком или выдают поддельные запросы, чтобы вернуть несколько низкоуровневых «неожиданных» ответов, чтобы нарушить работу сети.

AWS создала свой щит, службу защиты, предназначенную для защиты всех веб-приложений, работающих на AWS, для борьбы с этими и менее распространенными атаками DDoS в зависимости от уровня, который вы покупаете.

Он делает это для всех клиентов, обеспечивая «постоянное обнаружение и автоматические встроенные меры по устранению последствий, которые минимизируют время простоя приложений и задержки, поэтому нет необходимости обращаться в службу поддержки AWS, чтобы воспользоваться защитой от DDoS».

Каждый клиент автоматически получает AWS Shield Standard, первый предлагаемый уровень, без дополнительной оплаты. Этот стандартный щит помогает защититься от всех наиболее распространенных сетевых и транспортных DDoS-атак, нацеленных на веб-сайты и приложения.

AWS Advanced Shield предлагает гораздо больше функций, хотя и стоит гораздо дороже.

Сравнение Shield Standard и Shield Advanced

Стандарт AWS Shield (бесплатно)

У стандартного щита есть две сильные ключевые особенности. К ним относятся быстрое обнаружение и встроенная защита от атак.

С платой, которая поставляется без дополнительной оплаты (Стандартная), у вас есть непрерывный мониторинг сетевого потока 24/7. Он проверяет входящий трафик на AWS и использует несколько методов анализа, чтобы мгновенно обнаруживать любой вредоносный трафик.

Кроме того, AWS мгновенно защищает всех своих пользователей от наиболее распространенных атак на инфраструктуру (уровни 3 и 4). По словам Amazon, «автоматические меры по устранению последствий применяются в ваших приложениях, поэтому задержка не влияет». У вас практически не будет времени простоя приложений, а защита будет осуществляться автоматически в виде постоянного обнаружения и встроенных мер по устранению угроз.

Как он автоматически нейтрализует атаки, не затрагивая ваши приложения? Используя несколько методов, таких как детерминированная фильтрация пакетов. Кроме того, можно написать правила, используя AWS WAF (брандмауэр веб-приложений), чтобы смягчить DDoS-атаки на уровне приложений.

AWS Shield Advanced (3000 долларов США в месяц)

Иногда стандартного щита недостаточно. Помимо довольно высокой цены, какие функции есть в AWS Advanced Shield, которых нет в стандартной версии?

• Все распространенные средства защиты сетевого и транспортного уровня, поставляемые с AWS Shield Standard.
• Защищает веб-приложения, работающие на ресурсах Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53, от атак и всплесков, связанных с DDoS.
• Защита от DDoS-атак, чтобы ваш счет не увеличивался после DDoS-атаки
• Дополнительное обнаружение и смягчение последствий крупных и сложных DDoS-атак, включая объемные атаки, интеллектуальное обнаружение атак и смягчение последствий атак на уровне приложений и сети.
• Расширенный обзор атак, метрик и отчетов в режиме реального времени
• Интеграция с AWS WAF, брандмауэром веб-приложений.
• Круглосуточный доступ к команде AWS DDoS Response Team (DRT)
• Защита от всплесков, связанных с DDoS, в ваших расходах на ELB, CloudFront или Route 53.

Поговорим о некоторых из них более подробно.

• Улучшенное обнаружение: AWS Shield Advanced отслеживает трафик на уровне приложений к ресурсам ELB, Amazon CloudFront или Amazon Route 53 и проверяет сетевые потоки. Помимо прочего, он использует мониторинг конкретных ресурсов для детального обнаружения DDoS-атак. Он определяет базовый трафик на вашем ресурсе и выявляет аномалии, обнаруживая такие атаки, как HTTP-флуд или DNS-запрос.

• Усовершенствованное противодействие атакам: Amazon Web Services DRT применяет ручные средства противодействия более сложным и изощренным DDoS-атакам, которые не могут быть обработаны стандартом AWS Shield Standard, а также дополнительные возможности смягчения для защиты от крупных атак. У пользователей есть брандмауэр AWS Web App для реагирования на инциденты, связанные с атаками на уровне приложений, без дополнительной оплаты. Немедленно блокируйте или реагируйте на плохой трафик и другие инциденты, устанавливая упреждающие правила через AWS WAF, такие как черный список на основе скорости. Существует дополнительная возможность для продвинутых клиентов, чтобы DRT диагностировал атаку и применял меры по ее устранению, с разрешением, выдаваемым для каждого инцидента или посредством предварительной авторизации.

• Наблюдение и уведомление об атаках. Благодаря Amazon CloudWatch вы получаете полную видимость и оповещения в режиме реального времени о DDoS-атаках, а также возможность доступа к анализу и расследованию событий с помощью DRT. Консоль управления «AWS WAF и AWS Shield» также предоставляет пользователям сводку о предыдущих атаках.

• Защита от DDoS-атак: потенциально это может стать отличным механизмом экономии. Защита затрат от DDoS — это «защита от увеличения расходов в результате DDoS-атаки, вызвавшей всплески использования Elastic Load Balancing (ELB), Amazon CloudFront или Amazon Route 53». Запрос сервисных кредитов на этих мероприятиях можно найти на их веб-сайте.

Вот краткий контрольный список того, что предлагается в стандартных и расширенных щитах.

Стоит ли покупать AWS Shield Advanced?

Короткий ответ: наверное, нет.

Стандарт AWS Shield защищает от всех наиболее распространенных атак. Если у вас уже есть опытная команда компьютерной безопасности, стандартная защита в сочетании с развертыванием дополнительных брандмауэров веб-приложений — это обширная защита, достаточная для большинства предприятий.

Важно еще раз отметить, что вы должны приобрести AWS WAF отдельно и разработать собственные процессы защиты и смягчения последствий на уровне 7 со стандартным экраном. AWS WAF включен, если вы приобрели AWS Shield Advanced, а также помощь DRT для атак уровня 7.

Стандартный щит дает вам полный контроль над мониторингом и подавлением атак 7-го уровня. Если вместо этого у вас нет группы безопасности или вы хотите самостоятельно обеспечивать защиту от атак, вам может подойти AWS Shield Advanced. Они будут отвечать за защиту от DDoS-атак и смягчение последствий атак уровня 3, уровня 4 и уровня 7.

AWS Shield Standard — отличная защита практически для всех пользователей, особенно для тех, у кого есть опытная команда безопасности. Если вы хотите, чтобы AWS выполнял за вас почти все, что связано с безопасностью, или если ваш бизнес является вероятной целью DDoS-атаки, предложение услуги за 3000 долларов в месяц покроет эти основания.

Так что, вообще говоря, бесплатный AWS Shield Standard — это то, что вам нужно, если вы действительно не чувствуете, что являетесь главной целью DDoS и нуждаетесь в дополнительных функциях.