Teknik Mitigasi

Beberapa bentuk mitigasi DDoS disertakan secara otomatis dengan layanan AWS. Ketahanan DDoS dapat ditingkatkan lebih lanjut dengan menggunakan arsitektur AWS dengan layanan tertentu, yang dibahas dalam bagian berikut, dan dengan menerapkan praktik terbaik tambahan untuk setiap bagian dari aliran jaringan antara pengguna dan aplikasi Anda.

Semua AWS pelanggan bisa mendapatkan keuntungan dari perlindungan otomatis AWS Shield Standard tanpa biaya tambahan. AWS Shield Standard bertahan terhadap serangan DDoS lapisan jaringan dan pengangkutan yang paling umum dan sering terjadi yang menargetkan situs web atau aplikasi Anda. Perlindungan ini selalu aktif, dikonfigurasi sebelumnya, statis, dan tidak memberikan pelaporan atau analitik. Perlindungan ini ditawarkan pada semua layanan AWS dan di setiap Wilayah AWS. Di Wilayah AWS, serangan DDoS akan terdeteksi dan sistem Shield Standard akan secara otomatis menentukan acuan dasar lalu lintas, mengidentifikasi anomali, dan, jika perlu, membuat mitigasi. Anda dapat menggunakan AWS Shield Standard sebagai bagian dari arsitektur yang tahan terhadap DDoS untuk melindungi aplikasi web dan non-web.

Anda juga dapat menggunakan layanan AWS yang beroperasi dari lokasi edge, seperti Amazon CloudFront, Global Accelerator, dan Route 53 untuk membangun perlindungan ketersediaan komprehensif terhadap semua serangan lapisan infrastruktur yang diketahui. Layanan ini adalah bagian dari AWS Global Edge Network dan dapat meningkatkan ketahanan DDoS aplikasi Anda saat menyajikan semua jenis lalu lintas aplikasi dari lokasi edge yang didistribusikan di seluruh dunia. Anda dapat menjalankan aplikasi Anda di Wilayah AWS mana pun dan menggunakan layanan ini untuk melindungi ketersediaan aplikasi Anda dan mengoptimalkan performa aplikasi Anda untuk pengguna akhir yang sah.

Manfaat menggunakan Amazon CloudFront, Global Accelerator, dan Amazon Route 53 meliputi:

Akses ke kapasitas mitigasi internet dan DDoS di seluruh AWS Global Edge Network. Hal ini berguna dalam memitigasi serangan volumetrik yang lebih besar, yang dapat mencapai skala terabit.
Sistem mitigasi DDoS AWS Shield terintegrasi dengan layanan edge AWS, sehingga memitigasi waktu mitigasi dari hitungan menit menjadi subdetik.
Teknik mitigasi Banjir SYN stateless melakukan proksi dan verifikasi terhadap koneksi masuk sebelum meneruskannya ke layanan yang dilindungi. Hal ini memastikan bahwa hanya koneksi valid yang akan menjangkau aplikasi Anda sambil melindungi pengguna akhir Anda yang sah dari packet drop yang positif palsu.
Sistem rekayasa lalu lintas otomatis yang mendispersi atau mengisolasi dampak serangan DDoS volumetrik besar. Semua layanan ini mengisolasi serangan di sumbernya sebelum mencapai asal Anda, yang berarti lebih sedikit dampak pada sistem yang dilindungi oleh layanan ini.
Pertahanan lapisan aplikasi jika dikombinasikan dengan AWS WAF yang tidak memerlukan perubahan arsitektur aplikasi saat ini (misalnya, di Wilayah AWS atau pusat data on-premise).

Tidak ada biaya untuk transfer data masuk di AWS dan Anda tidak membayar untuk lalu lintas serangan DDoS yang dimitigasi oleh AWS Shield. Diagram arsitektur berikut mencakup layanan AWS Global Edge Network.

Arsitektur referensi yang tahan terhadap DDoS

Arsitektur ini mencakup beberapa layanan AWS yang dapat membantu Anda meningkatkan ketahanan aplikasi web Anda terhadap serangan DDoS. Tabel Ringkasan Praktik Terbaik menyediakan ringkasan layanan ini dan kemampuannya. AWS telah menandai setiap layanan dengan indikator praktik terbaik (BP1, BP2) untuk referensi yang lebih mudah dalam dokumen ini. Misalnya, bagian selanjutnya akan membahas kemampuan yang disediakan oleh Amazon CloudFront dan Global Accelerator yang mencakup indikator praktik terbaik BP1.

Tabel 2 - Ringkasan Praktik Terbaik

Edge AWS	Wilayah AWS
	Menggunakan Amazon CloudFront (BP1) dengan AWS WAF (BP2)	Menggunakan Akselerator Global (BP1)	Menggunakan Amazon Route 53 (BP3)	Menggunakan Elastic Load Balancing (BP6) dengan AWS WAF (BP2)	Menggunakan Grup Keamanan dan ACL jaringan di Amazon VPC (BP5)	Menggunakan Amazon EC2 Auto Scaling (BP7)
Mitigasi serangan lapisan 3 (misalnya, refleksi UDP)	✔	✔	✔	✔	✔	✔
Mitigasi serangan lapisan 4 (misalnya, banjir SYN)	✔	✔	✔	✔
Mitigasi serangan lapisan 6 (misalnya, TLS)	✔	✔	✔	✔
Mengurangi permukaan serangan	✔	✔	✔	✔	✔
Menskalakan untuk menyerap lalu lintas lapisan aplikasi	✔	✔	✔	✔	✔	✔
Mitigasi serangan lapisan 7 (lapisan aplikasi)	✔	✔	✔	✔	✔	✔
Isolasi geografis dan dispersi lalu lintas berlebih dan serangan DDoS yang lebih besar	✔	✔	✔
✔(*): jika digunakan dengan AWS WAF bersama Application Load Balancer

Cara lain untuk meningkatkan kesiapan Anda untuk merespons dan memitigasi serangan DDoS adalah dengan berlangganan AWS Shield Advanced.

Pelanggan menerima deteksi yang disesuaikan berdasarkan:

Pola lalu lintas spesifik aplikasi Anda.
Perlindungan terhadap serangan DDoS Lapisan 7 termasuk AWS WAF tanpa biaya tambahan.
Akses ke dukungan khusus 24x7 dari AWS SRT.
Manajemen terpusat kebijakan keamanan melalui AWS Firewall Manager.
Perlindungan biaya untuk mencegah biaya penskalaan yang dihasilkan dari lonjakan penggunaan terkait DDoS.

Layanan mitigasi DDoS opsional ini membantu melindungi aplikasi yang di-host di Wilayah AWS mana pun. Layanan ini tersedia secara global untuk CloudFront, Route 53, dan Global Accelerator. Menggunakan Shield Advanced dengan alamat IP Elastis memungkinkan Anda melindungi instans Network Load Balancer (NLB) atau Amazon EC2.

Manfaat menggunakan AWS Shield Advanced meliputi:

Akses ke AWS SRT untuk bantuan terkait memitigasi serangan DDoS yang memengaruhi ketersediaan aplikasi.
Visibilitas serangan DDoS dengan menggunakan metrik dan alarm AWS Management Console, Amazon CloudWatch, API, dan Amazon.
Akses ke riwayat semua peristiwa DDoS dari 13 bulan terakhir.
Akses ke firewall aplikasi web AWS (AWS WAF), tanpa biaya tambahan untuk mitigasi serangan DDoS lapisan aplikasi (jika digunakan dengan Amazon CloudFront atau Application Load Balancer).
Penentuan acuan dasar otomatis terhadap atribut lalu lintas web, jika digunakan dengan AWS WAF.
Akses ke AWS Firewall Manager, tanpa biaya tambahan, untuk penegakan kebijakan otomatis.
Ambang deteksi sensitif yang mengarahkan lalu lintas ke sistem mitigasi DDoS secara lebih awal dan dapat mempersingkat waktu mitigasi serangan terhadap Amazon EC2 atau Network Load Balancer, ketika digunakan dengan alamat IP Elastis.
Perlindungan biaya yang memungkinkan Anda meminta pengembalian dana terbatas atas biaya terkait penskalaan yang dihasilkan dari serangan DDoS.
Perjanjian tingkat layanan yang disempurnakan yang dikhususkan untuk pelanggan AWS Shield Advanced.
Keterlibatan proaktif dari AWS SRT ketika peristiwa Shield terdeteksi.
Grup perlindungan yang memungkinkan Anda menggabungkan sumber daya, sehingga menyediakan cara mandiri untuk menyesuaikan cakupan deteksi dan mitigasi untuk aplikasi Anda dengan memperlakukan beberapa sumber daya sebagai satu unit. Pengelompokan sumber daya meningkatkan keakuratan deteksi, meminimalkan positif palsu, memudahkan perlindungan otomatis sumber daya yang baru dibuat, dan mempercepat waktu untuk memitigasi serangan terhadap banyak sumber daya yang terdiri dari satu aplikasi. Untuk informasi tentang grup perlindungan, lihat Grup perlindungan Shield Advanced.

Untuk daftar lengkap fitur AWS Shield Advanced dan untuk informasi lebih lanjut tentang AWS Shield, lihat Cara kerja AWS Shield.

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Serangan Lapisan Aplikasi

Praktik Terbaik untuk Mitigasi DDoS