Comment fonctionnent AWS Shield et Shield Advanced

Cette page explique la différence entre AWS Shield Standard et AWS Shield Advanced. Il décrit également les catégories d'attaques détectées par Shield.

AWS Shield Standard et AWS Shield Advanced fournissent des protections contre les attaques par déni de service distribué (DDoS) visant les AWS ressources au niveau des couches réseau et transport (couches 3 et 4) et de la couche application (couche 7). Une DDoS attaque est une attaque au cours de laquelle plusieurs systèmes compromis tentent d'inonder une cible de trafic. Une DDoS attaque peut empêcher les utilisateurs finaux légitimes d'accéder aux services cibles et provoquer le blocage de la cible en raison d'un volume de trafic excessif.

AWS Shield fournit une protection contre un large éventail de vecteurs d'DDoSattaque connus et de vecteurs d'attaque de type « jour zéro ». La détection et l'atténuation du Shield sont conçues pour fournir une couverture contre les menaces même si elles ne sont pas explicitement connues du service au moment de la détection.

Shield Standard est fourni automatiquement et sans frais supplémentaires lorsque vous l'utilisez AWS. Pour les plus hauts niveaux de protection contre les attaques, vous pouvez vous abonner à AWS Shield Advanced.

Les catégories d'attaques détectées par Shield sont les suivantes :

• Attaques volumétriques du réseau (couche 3) : il s'agit d'une sous-catégorie des vecteurs d'attaque de la couche d'infrastructure. Ces vecteurs tentent de saturer la capacité du réseau ou de la ressource ciblée, afin de refuser le service aux utilisateurs légitimes.

• Attaques de protocole réseau (couche 4) — Il s'agit d'une sous-catégorie de vecteurs d'attaque de couche d'infrastructure. Ces vecteurs abusent d'un protocole pour refuser le service à la ressource ciblée. Un exemple courant d'attaque de protocole réseau est l'TCPSYNinondation, qui peut épuiser l'état de connexion de ressources telles que les serveurs, les équilibreurs de charge ou les pare-feux. Une attaque de protocole réseau peut également être volumétrique. Par exemple, une TCP SYN inondation plus importante peut avoir pour but de saturer la capacité d'un réseau tout en épuisant l'état de la ressource ciblée ou des ressources intermédiaires.

• Attaques au niveau de l'application (couche 7) : cette catégorie de vecteurs d'attaque tente de refuser le service à des utilisateurs légitimes en inondant une application de requêtes valides pour la cible, telles que des inondations de requêtes Web.

Table des matières

• AWS Shield Standard vue d'ensemble
• AWS Shield Advanced vue d'ensemble
  • Liste des AWS ressources qui AWS Shield Advanced protègent
  • AWS Shield Advanced capacités et options
  • Décider s'il convient de souscrire à des protections supplémentaires AWS Shield Advanced et d'appliquer des protections supplémentaires
• Exemples d'attaques DDoS
• Comment AWS Shield détecte les événements
  • AWS Shield logique de détection des menaces au niveau de l'infrastructure (couche 3 et couche 4)
  • Shield : logique de détection avancée pour les menaces de la couche application (couche 7)
  • Shield : logique de détection avancée pour plusieurs ressources dans une application
• Comment AWS Shield atténuer les événements
  • Liste des fonctionnalités AWS Shield DDoS d'atténuation
  • AWS Shield logique d'atténuation pour CloudFront et Route 53
  • AWS Shield logique d'atténuation pour les AWS régions
  • AWS Shield logique d'atténuation pour les accélérateurs AWS Global Accelerator standard
  • AWS Shield Advanced logique d'atténuation pour Elastic IPs
  • AWS Shield Advanced logique d'atténuation pour les applications Web