AWS Shield - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Shield

Perlindungan terhadap serangan Distributed Denial of Service (DDoS) sangat penting untuk aplikasi internet Anda. Saat Anda membangun aplikasiAWS, Anda dapat menggunakan perlindungan yangAWSmenyediakan biaya tambahan. Selain itu, Anda dapat menggunakanAWS Shield Advancedlayanan perlindungan ancaman terkelola untuk meningkatkan postur keamanan Anda dengan kemampuan deteksi, mitigasi, dan respons DDoS tambahan.

AWSberkomitmen untuk menyediakan Anda dengan alat, praktik terbaik, dan layanan untuk membantu memastikan ketersediaan tinggi, keamanan, dan ketahanan dalam pertahanan Anda terhadap aktor buruk di internet. Panduan ini disediakan untuk membantu pengambil keputusan TI dan teknisi keamanan memahami cara menggunakan Shield and Shield Advanced untuk melindungi aplikasi mereka dari serangan DDoS dan ancaman eksternal lainnya dengan lebih baik.

Saat Anda membangun aplikasiAWS, Anda menerima perlindungan otomatis olehAWSterhadap vektor serangan DDoS volumetrik umum, seperti serangan refleksi UDP dan banjir TCP SYN. Anda dapat memanfaatkan perlindungan ini untuk memastikan ketersediaan aplikasi yang Anda jalankanAWSdengan merancang dan mengonfigurasi arsitektur Anda untuk ketahanan DDoS.

Panduan ini memberikan rekomendasi yang dapat membantu Anda merancang, membuat, dan mengkonfigurasi arsitektur aplikasi Anda untuk ketahanan DDoS. Aplikasi yang mematuhi praktik terbaik yang disediakan dalam panduan ini dapat memperoleh manfaat dari peningkatan kontinuitas ketersediaan ketika mereka ditargetkan oleh serangan DDoS yang lebih besar dan oleh rentang vektor serangan DDoS yang lebih luas. Selain itu, panduan ini menunjukkan cara menggunakan Shield Advanced untuk menerapkan postur perlindungan DDoS yang dioptimalkan untuk aplikasi penting Anda. Ini termasuk aplikasi yang Anda telah menjamin tingkat ketersediaan tertentu untuk pelanggan Anda dan mereka yang memerlukan dukungan operasional dariAWSselama acara DDoS.

Keamanan adalah tanggung jawab bersama antara AWS dan Anda. Model tanggung jawab bersama menggambarkan ini sebagai keamanan dari cloud dan keamanan di cloud:

  • Keamanan dari cloud – AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan layanan AWS di Cloud AWS Cloud. AWS juga menyediakan layanan yang dapat Anda gunakan dengan aman. Keefektifan keamanan kami diuji dan diverifikasi secara berkala oleh auditor pihak ketiga sebagai bagian dari Program kepatuhan AWS. Untuk mempelajari program kepatuhan yang berlaku di Shield Advanced, lihatAWSLayanan dalam Lingkup oleh Program Kepatuhan.

  • Keamanan dalam cloud – Tanggung jawab Anda ditentukan oleh layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain termasuk sensitivitas data Anda, persyaratan organisasi Anda, serta undang-undang dan peraturan yang berlaku.

Diagram menunjukkan persegi panjang yang dibagi secara horizontal. Bagian atas berjudulpelanggan: Tanggung jawab untuk keamanan 'di' awandan bagian bawah berjudulAWS: Tanggung jawab untuk keamanan 'dari' awan. Setengah pelanggan atas berisi empat tingkatan. Yang paling atas adalahData pelanggan. Yang kedua adalahPlatform, aplikasi, identitas dan manajemen akses. Yang ketiga adalahKonfigurasi sistem operasi, jaringan dan firewall. Tingkat keempat dan bawah untuk area pelanggan dibagi menjadi tiga bagian yang berdampingan. Sebelah kiri ini adalahData sisi klien, enkripsi dan integritas data, otentikasi. Yang tengah adalahEnkripsi sisi server (sistem file dan/atau data). Yang benar adalahPerlindungan lalu lintas jaringan (enkripsi, integritas, identitas). Ini menyimpulkan isi dari setengah pelanggan atas gambar. Bagian bawahAWSsetengah dari gambar, berisi tier berjudulPerangkat lunakdi bagian atas dan di bawahnya, tingkat berjudulPerangkat Keras/AWSinfrastruktur global. Tingkat perangkat lunak dibagi menjadi empat subbagian yang berdampingan dan dibacaHitung,Penyimpanan,Basis data,Jaringan. Tingkat perangkat keras dibagi menjadi tiga subbagian yang berdampingan dan dibacaKawasan,Availability Zone,lokasi edge.