AWS Shield
保护 CloudFront、ALB、Route 53 等 AWS 资源免受 L3/L4 及 L7 DDoS 攻击的托管防护服务
概述
AWS Shield 是一项保护 AWS 上运行的应用程序免受 DDoS(分布式拒绝服务)攻击的托管服务。包含自动应用于所有 AWS 账户的 Shield Standard 和提供更高级检测与缓解功能的付费版 Shield Advanced 两个层级。Shield Advanced 提供专属 Shield Response Team (SRT) 的 7×24 小时支持、实时攻击可视化以及 DDoS 导致的成本激增保护。
Shield Standard 与 Shield Advanced 的防护范围
Shield Standard 免费自动应用于所有 AWS 账户,缓解第 3 层(网络层)和第 4 层(传输层)的常见 DDoS 攻击。在 AWS 全球网络上检测并阻断 SYN Flood、UDP 反射、DNS 放大攻击等基础设施层攻击模式。Shield Advanced 以每月 3,000 美元固定费用加数据传输量按量计费提供。需将 CloudFront、Route 53、ELB(ALB/NLB/CLB)、Elastic IP、Global Accelerator 明确注册为保护对象。Shield Advanced 还应对第 7 层(应用层)攻击,检测 HTTP Flood 和 Slowloris 等复杂攻击模式。为每个受保护资源学习基线流量模式,自动检测异常流量增长,提供自适应防御。通过 Organizations 集成,可用一个 Shield Advanced 订阅覆盖组织内所有账户。
Shield Response Team 与主动介入
Shield Advanced 订阅者可直接向 AWS Shield Response Team (SRT) 升级。SRT 是专注于 DDoS 攻击分析和缓解的专业团队,在攻击发生时可向 WAF 应用自定义缓解规则或在网络层实施流量过滤。访问 SRT 需要 Business 支持计划或更高级别。主动介入(Proactive Engagement)是 Shield Advanced 检测到攻击时 SRT 自动联系用户的功能。通过将 Route 53 健康检查关联到受保护资源来启用。当健康检查检测到异常且 Shield 检测到 DDoS 事件时,SRT 会联系用户并提出缓解建议。攻击事件详情可在 Shield 控制台的事件摘要中查看,记录攻击向量、峰值流量和缓解操作时间线。
成本保护与 DDoS 成本保护功能
Shield Advanced 的 DDoS 成本保护是 AWS 以信用额度返还因 DDoS 攻击导致的资源使用量激增部分的机制。当攻击导致 CloudFront 数据传输量或 ELB 请求数异常增加时,超出正常基线的成本部分受到保护。信用额度申请通过 Shield 控制台或支持案例提交,AWS 确认攻击事件与成本增加的因果关系后进行返还。成本保护有效运作的前提是将受保护资源完整注册到 Shield Advanced。未注册资源遭受的攻击不在成本保护范围内。Shield Advanced 每月 3,000 美元需要 1 年承诺,不可中途取消。要证明此固定费用的合理性,需定量评估受保护业务的影响,与 DDoS 攻击导致的停机损失进行比较。建议与 WAF 配合使用,Shield Advanced 订阅者可免费使用与受保护资源关联的 WAF。