AWS Shield - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Shield

防止分散式阻斷服務 (DDoS) 攻擊對您的面向網際網路的應用程式來說至關重要。當您在 上建置應用程式時 AWS,您可以使用 AWS 提供的保護,無需額外費用。此外,您可以使用 AWS Shield Advanced 受管威脅防護服務,透過額外的 DDoS 偵測、緩解和回應功能來改善您的安全狀態。

AWS 致力於為您提供工具、最佳實務和服務,以協助確保在防禦網際網路上的不良行為時具有高可用性、安全性和彈性。本指南旨在協助 IT 決策者和安全工程師了解如何使用 Shield 和 Shield Advanced 來更好地保護其應用程式免受 DDoS 攻擊和其他外部威脅。

當您在 上建置應用程式時 AWS,您會收到 自動保護 AWS ,防範常見的容積 DDoS 攻擊向量,例如 UDP 反射攻擊和 TCP SYN 洪水。您可以利用這些保護, AWS 透過設計和設定 DDoS 彈性的架構,來確保您在 上執行的應用程式可用性。

本指南提供的建議可協助您設計、建立和設定應用程式架構,以實現 DDoS 彈性。遵守本指南所提供最佳實務的應用程式,當其被較大的 DDoS 攻擊和更廣泛的 DDoS 攻擊向量鎖定時,可以受益於可用性的改善持續性。此外,本指南說明如何使用 Shield Advanced 為您的關鍵應用程式實作最佳化的 DDoS 保護狀態。這些包括您已保證客戶在 DDoS 事件 AWS 期間需要 操作支援的應用程式。

安全性是 AWS 和 之間的共同責任。‬共同責任模型‭‬ 將此描述為雲端‬的‭‬安全和雲端‬內‬的安全:

  • 雲端的安全性 – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。第三方稽核人員定期檢測及驗證安全的效率也是我們 AWS 合規計劃的一部分。若要了解適用於 Shield Advanced 的合規計劃,請參閱AWS 合規計劃範圍內的服務

  • 雲端的安全性 – 您的責任取決於您使用 AWS 的服務。您也必須對資料敏感度、組織要求,以及適用法律和法規等其他因素負責。

圖表顯示水平分割的矩形。上半部標題為「雲端」的安全責任,下半部標題為AWS「雲端」的安全責任。上半部客戶包含四個層。首要的是客戶資料。第二個是平台、應用程式、身分和存取管理。第三個是作業系統、網路和防火牆組態。客戶區域的第四層和底層分為三個並排區段。其中的左側是用戶端資料、加密和資料完整性、身分驗證。中間的加密是伺服器端加密 (檔案系統和/或資料)。正確的是網路流量保護 (加密、完整性、身分)。如此即會結束圖表上半部客戶的內容。圖的下 AWS 半部分,在頂端和下方包含標題為軟體的層,以及標題為硬體/AWS 全球基礎設施的層。軟體層分為四個並列的子區段,分別讀取運算、儲存、資料庫、網路。硬體層分為三個並列的子區段,可讀取區域、可用區域、節點。