安全

用 AWS Shield 防御 DDoS 攻击 - Standard 与 Advanced 的选择

整理 Standard 的免费 L3/L4 防御与 Advanced 的 L7 应对/SRT 支持的区别。介绍成本保护和主动参与的活用。

約 2 分で読めます

Shield 概述

Shield 是保护应用免受 DDoS 攻击的托管防御服务。Shield Standard 对所有 AWS 账户免费自动应用,自动缓解 SYN Flood、UDP 反射、DNS 查询 Flood 等 L3/L4 攻击。Shield Advanced 月费 3,000 USD 提供 L7 攻击应对和额外功能。Standard 在 AWS 全球网络边缘运行,用户无需任何配置,经由 CloudFrontRoute 53 的流量自动受到保护。

Advanced 的功能

Shield Advanced 将 CloudFront、ALB、Route 53、Global Accelerator、Elastic IP 注册为保护对象,检测和缓解 L7 的 HTTP Flood 攻击。SRT (Shield Response Team) 24/7 支持 DDoS 攻击的分析和缓解,代行 WAF 规则创建。成本保护是 AWS 补偿因 DDoS 攻击导致的 CloudFront、ALB、Route 53、EC2 扩展成本增加的功能,防止攻击带来的意外成本增加。保护组功能可将相关资源分组,基于组整体流量模式进行异常检测,比单独监控各资源实现更精确的检测。

Shield Advanced 的运维

Shield Advanced 的主动参与启用后,DDoS 攻击检测时 SRT (Shield Response Team) 自动开始应对。将 Route 53 健康检查关联到 Shield Advanced 的保护资源,基于应用健康状态提高检测精度。Shield Advanced 的成本保护补偿因 DDoS 攻击导致的扩展成本 (EC2 Auto Scaling、CloudFront 数据传输) 增加部分。攻击可视化仪表板可实时确认攻击类型、规模、持续时间、缓解状况。 要从基础到应用系统学习 Shield,可参考相关书籍 (Amazon)

导入判断基准与 WAF 组合

Shield Advanced 月费 3,000 USD 对小规模环境来说费用较高,但符合以下任一条件即可获得投资回报:DDoS 导致的宕机直接造成业务损失(电商收入损失、SaaS SLA 违约),攻击时的扩展成本(ALB、CloudFront、EC2)可能超过月 3,000 USD,或与自建 24/7 DDoS 专业应对团队的成本相比更具性价比。关于与 WAF 的关系,启用 Shield Advanced 后受保护资源关联的 WAF 使用费免除这一点很重要。L7 DDoS 对策需要 WAF 的速率限制规则,推荐 Shield Advanced 与 WAF 组合覆盖 L3 到 L7 全层。仅靠 WAF 应对 L7 攻击时,无法获得 SRT 紧急支援和成本保护,攻击规模扩大时自行应对存在局限。

设计最佳实践与常见陷阱

要最大化 Shield Advanced 的防护效果,需要在架构设计阶段就纳入 DDoS 韧性。基本设计是将 CloudFront 置于所有流量前端,在边缘吸收 L3/L4 攻击,不让其到达源服务器。直接将 ALB 暴露在互联网的架构中,即使启用 Shield Advanced,ALB 扩展延迟期间请求也可能被丢弃。Route 53 健康检查关联容易被忽略,但没有它主动参与就不会触发。健康检查需要监控应用的实际可用性(HTTP 200 响应),仅 TCP 端口检查在攻击中可能仍判定为健康导致 SRT 不介入。常见陷阱是将 Elastic IP 注册为保护对象,但其背后的 EC2 实例缺乏足够的扩展配置。Shield 检测并通知攻击,但如果应用侧韧性不足,缓解可能跟不上导致服务中断。

Shield 的费用

Shield Standard 对所有 AWS 账户免费自动启用。Shield Advanced 月额 3,000 美元固定费用加保护资源的数据传输量额外计费。需要 1 年承诺。在 Organizations 中启用 Shield Advanced 时,月额 3,000 美元仅对组织整体收取一次,成员账户的额外费用仅为保护资源的数据传输量。Shield Advanced 的导入判断通过比较 DDoS 攻击风险和成本保护的价值来进行。由于 WAF 使用费免除,已在多个资源上使用 WAF 的环境实际成本将大幅降低。

总结

Shield 通过 Standard 免费自动缓解 L3/L4 DDoS 攻击,Advanced 提供 L7 攻击应对和 SRT 支持。Advanced 的主动参与在攻击检测时 SRT 自动开始应对,成本保护补偿 DDoS 攻击导致的扩展成本增加部分。Organizations 中月额 3,000 美元可在组织整体共享,请结合 WAF 使用费免除权益一并评估费用效益。

相关服务

AWS Shield防御 DDoS 攻击的托管保护服务AWS WAF保护 Web 应用免受常见攻击的 Web 应用防火墙Amazon CloudFront从全球边缘节点高速分发内容的 CDN 服务

相关文章

AWS WAF 的 Bot Control 与欺诈防护 - 机器人对策与账户接管防护的实现使用 Bot Control 检测爬虫和自动化工具,使用 ATP 防止凭证填充攻击。同时介绍挑战和 CAPTCHA 的用户体验设计。通过 AWS Firewall Manager 集中管理安全规则 - WAF 与 Security Group 的组织级部署介绍如何集中管理 Organizations 全组织的 WAF 规则、Security Group 和 Network Firewall 策略,并通过自动应用到新账户来维护组织整体的安全基线。DDoS 防护 - 通过 AWS Shield 实现多层防御的设计与运维解说通过 AWS Shield Standard 和 Shield Advanced 实现的 DDoS 防御。实践性地介绍与 CloudFront、Route 53、ALB 的集成、与 WAF 的组合以及成本保护功能。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。

相似的文章与服务

DDoS 防护 - 通过 AWS Shield 实现多层防御的设计与运维解说通过 AWS Shield Standard 和 Shield Advanced 实现的 DDoS 防御。实践性地介绍与 CloudFront、Route 53、ALB 的集成、与 WAF 的组合以及成本保护功能。AWS Shield保护 CloudFront、ALB、Route 53 等 AWS 资源免受 L3/L4 及 L7 DDoS 攻击的托管防护服务AWS Firewall Manager对 Organizations 下多个账户和资源统一应用和管理 WAF、Shield Advanced、Security Group、Network Firewall 规则的安全管理服务通过 AWS Firewall Manager 集中管理安全规则 - WAF 与 Security Group 的组织级部署介绍如何集中管理 Organizations 全组织的 WAF 规则、Security Group 和 Network Firewall 策略,并通过自动应用到新账户来维护组织整体的安全基线。