AWS Shield - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Shield

Perlindungan terhadap serangan Distributed Denial of Service (DDoS) sangat penting untuk aplikasi Anda yang menghadap ke internet. Ketika Anda membangun aplikasi Anda AWS, Anda dapat menggunakan perlindungan yang AWS menyediakan tanpa biaya tambahan. Selain itu, Anda dapat menggunakan layanan perlindungan ancaman AWS Shield Advanced terkelola untuk meningkatkan postur keamanan Anda dengan kemampuan deteksi, mitigasi, dan respons DDoS tambahan.

AWS berkomitmen untuk memberi Anda alat, praktik terbaik, dan layanan untuk membantu memastikan ketersediaan, keamanan, dan ketahanan yang tinggi dalam pertahanan Anda terhadap aktor jahat di internet. Panduan ini disediakan untuk membantu pembuat keputusan TI dan teknisi keamanan memahami cara menggunakan Shield dan Shield Advanced untuk melindungi aplikasi mereka dari serangan DDoS dan ancaman eksternal lainnya dengan lebih baik.

Saat Anda membangun aplikasi AWS, Anda menerima perlindungan otomatis AWS terhadap vektor serangan DDoS volumetrik umum, seperti serangan refleksi UDP dan banjir TCP SYN. Anda dapat memanfaatkan perlindungan ini untuk memastikan ketersediaan aplikasi yang Anda jalankan AWS dengan merancang dan mengonfigurasi arsitektur Anda untuk ketahanan DDoS.

Panduan ini memberikan rekomendasi yang dapat membantu Anda merancang, membuat, dan mengonfigurasi arsitektur aplikasi Anda untuk ketahanan DDoS. Aplikasi yang mematuhi praktik terbaik yang disediakan dalam panduan ini dapat memperoleh manfaat dari peningkatan kontinuitas ketersediaan ketika mereka ditargetkan oleh serangan DDoS yang lebih besar dan oleh rentang vektor serangan DDoS yang lebih luas. Selain itu, panduan ini menunjukkan cara menggunakan Shield Advanced untuk menerapkan postur perlindungan DDoS yang dioptimalkan untuk aplikasi penting Anda. Ini termasuk aplikasi yang telah Anda jamin tingkat ketersediaan tertentu bagi pelanggan Anda dan aplikasi yang memerlukan dukungan operasional AWS selama acara DDoS.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. Model tanggung jawab bersama menjelaskan hal ini sebagai keamanan dari cloud dan keamanan di cloud:

  • Keamanan cloud — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari program kepatuhan AWS. Untuk mempelajari tentang program kepatuhan yang berlaku untuk Shield Advanced, lihat AWS Layanan dalam Lingkup menurut Program Kepatuhan.

  • Keamanan di cloud — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data Anda, persyaratan organisasi Anda, serta undang-undang dan peraturan yang berlaku.

Diagram menunjukkan persegi panjang yang terbagi secara horizontal. Bagian atas berjudul Pelanggan: Tanggung Jawab untuk keamanan 'di' cloud dan bagian bawah berjudul AWS: Tanggung jawab untuk keamanan 'dari' cloud. Setengah pelanggan teratas berisi empat tingkatan. Yang teratas adalah data Pelanggan. Yang kedua adalah Platform, aplikasi, identitas dan manajemen akses. Yang ketiga adalah Sistem operasi, jaringan dan konfigurasi firewall. Tingkat keempat dan bawah untuk area pelanggan dibagi menjadi tiga bagian yang berdampingan. Bagian kiri ini adalah data sisi klien, enkripsi dan integritas data, otentikasi. Yang tengah adalah enkripsi sisi server (sistem file dan/atau data). Yang benar adalah Networking traffic protection (enkripsi, integritas, identitas). Ini menyimpulkan isi dari setengah pelanggan teratas dari gambar tersebut. AWS Bagian bawah gambar, berisi tingkat berjudul Perangkat Lunak di bagian atas dan di bawahnya, tingkat berjudul AWS Hardware/infrastruktur global. Tingkat perangkat lunak dibagi menjadi empat subbagian yang berdampingan dan membaca Compute, Storage, Database, Networking. Tingkat perangkat keras dibagi menjadi tiga subbagian yang berdampingan dan membaca Wilayah, Zona Ketersediaan, lokasi tepi.