回應 DDoS 事件 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

回應 DDoS 事件

AWS 會自動處理 Layer 3 和 Layer 4 DDoS 攻擊。如果您使用 Shield 進階保護您的 Amazon EC2 執行個體,在攻擊期間,高級 Shield 會自動部署您的 Amazon VPC 網路 ACL 到AWS網路。如此一來,Shield 進階版就能提供防護,防範大型 DDoS 事件。如需網路 ACL 的詳細資訊,請參閱 網路 ACL

如果 CloudWatch 中的 DDoS 警示表示可能為 Layer 7 攻擊,您可以使用下列選項:

  • 自行調查並防禦攻擊。如果您判斷活動為 DDoS 攻擊,您可以建立自己的 AWS WAF 規則,以減輕攻擊。AWS WAF 同時有包含 AWS Shield Advanced 且不在收取額外費用。AWS 提供預先設定的範本,讓您快速開始使用。這個範本包含一組 AWS WAF 規則,主要為了封鎖常見 web 型攻擊。您可以自訂規則,以符合您的業務需求。如需詳細資訊,請參閱 AWS WAF 安全自動化建立 Web ACL

    如果您使用AWS Firewall Manager,您可以將這些規則新增至 Firewall ManagerAWS WAF政策。

  • 如果您是AWS Shield Advanced客戶,您也可以選擇聯絡AWS SupportCenter以取得緩解措施的協助。重大和緊急案例會直接路由發送給 DDoS 專家。搭配AWS Shield Advanced,則複雜的案例可升級至AWS護 Shield 反應小組 (SRT),擁有豐富的保護經驗AWS、亞馬遜網站及其子公司。如需 SRT 的詳細資訊,請參閱所以此AWSShield 反應小組

    若要取得 Shield 反應小組 (SRT) 支援,請聯絡AWS SupportCenter。選取下列選項:

    • 案例類型:技術支援

    • 服務:分散式阻斷服務 (DDoS)

    • 類別:傳入AWS

    • 嚴重性:選擇適當選項

    與我們的代表討論時,請解釋您是AWS Shield Advanced客戶遇到可能的 DDoS 攻擊。我們的代表會引導您呼叫適當的 DDoS 專家。如果您開啟案例AWS SupportCenter使用分散式阻斷服務 (DDoS)服務類型,您可以透過聊天或電話直接與 DDoS 專家對話。DDoS 支援工程師可以協助您識別攻擊,建議如何改善您的 AWS 架構,並提供使用 AWS 服務指引以防禦 DDoS 攻擊。

    重要

    對於 Layer 7 攻擊,SRT 可協助您分析可疑活動,然後協助您防禦此問題所造成的傷害。此緩和措施通常需要 SRT 建立或更新AWS WAF您帳戶中的 web 存取控制清單 (Web ACL)。但是,他們仍需要您的許可才可作業。我們建議您在啟用AWS Shield Advanced,您可以遵循步驟 5:設定AWSSRT 支援,主動為 SRT 提供所需的權限。提前提供許可有助於防止在發生實際攻擊時所造成的事件延遲。

    您也可以先聯絡 SRT 或在可能遭受攻擊的時候,開發自訂的防禦並將其部署。例如,如果您正在執行 web 應用程式,僅需要開放連接埠 80 和 443,則您可以使用 SRT 預先設定 web ACL 為僅「Allow」連接埠 80 和 443。

    您可以授權並聯絡帳戶層級的 SRT。也就是,如果您使用 Firewall Manager Shield 進階政策中的 Shield Advanced,則主帳戶擁有者 (而非 Firewall Manager) 需要聯絡 SRT 來支援。Firewall Manager 僅可聯絡其擁有帳戶的 SRT。