DDoS 防护 - 通过 AWS Shield 实现多层防御的设计与运维
解说通过 AWS Shield Standard 和 Shield Advanced 实现的 DDoS 防御。实践性地介绍与 CloudFront、Route 53、ALB 的集成、与 WAF 的组合以及成本保护功能。
DDoS 攻击的威胁与 AWS 的多层防御
DDoS(Distributed Denial of Service)攻击是通过发送大量流量使服务不可用的攻击手法。攻击分为 L3/L4(SYN Flood、UDP 反射、DNS 放大)和 L7(HTTP Flood、Slowloris)两类,需要不同的防御策略。AWS 通过 Shield、WAF、CloudFront、Route 53 的组合提供多层防御架构。Shield Standard 自动防御 L3/L4 攻击,WAF 处理 L7 攻击,CloudFront 的全球边缘网络吸收大规模流量。
Shield Standard 的自动防御
Shield Standard 无需额外设置即可应用于所有 AWS 资源。对 CloudFront、Route 53、ALB、NLB、Elastic IP(EC2)的 L3/L4 攻击进行持续监控,检测到异常流量模式时自动执行缓解措施。CloudFront 和 Route 53 由于在 AWS 边缘网络运行,可在攻击流量到达区域之前进行过滤。Shield Standard 对所有 AWS 账户免费提供,无需单独启用。
Shield Advanced 的高级防御功能
Shield Advanced 在 Shield Standard 的防御基础上提供以下功能。L7(应用层)DDoS 检测和缓解可检测伪装成正常请求的攻击,如 HTTP Flood 和对 API 的大量请求。通过与 WAF 的集成,可自动应用攻击模式的阻止规则。Shield Response Team(SRT)是 AWS 的 DDoS 专家团队,在攻击期间提供 24/7 支持。成本保护功能在 DDoS 攻击导致的扩展费用增加时提供信用退还。攻击可视化仪表板实时显示攻击向量、流量和缓解状态。
与 WAF 的组合及最佳实践
通过组合 Shield Advanced 和 WAF,可实现覆盖 L3 到 L7 全层的多层防御。Shield Advanced 的订阅包含与保护资源关联的 WAF 使用费(无需额外 WAF 费用)。通过速率限制规则限制来自单一 IP 的请求数,通过地理限制阻止来自非预期国家的访问。Shield Advanced 的自动应用层 DDoS 缓解功能在检测到攻击时自动创建 WAF 规则。最佳实践是将 CloudFront 作为所有 Web 应用的前端,在边缘吸收攻击流量。
Shield 的费用
Shield Standard 对所有 AWS 账户免费自动启用。Shield Advanced 除月费 3,000 美元的固定费用外,还按保护资源的数据传输量额外计费。需要 1 年承诺。通过 Organizations 启用时,月费 3,000 美元在组织内共享,各账户无需单独支付。成本保护功能在 DDoS 攻击导致的扩展费用增加时提供信用退还。
总结 - Shield 的活用指南
AWS Shield 是自动化 DDoS 攻击防御的服务。Shield Standard 免费应用于所有账户,自动缓解大部分 L3/L4 攻击。对于关键任务工作负载,请考虑 Shield Advanced。月费 3,000 美元包含 SRT 支持、成本保护、L7 自动缓解和攻击可视化,对于需要高可用性的服务是合理的投资。