AWS Shield - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Shield

對於面向網際網路的應用程式來說,防範分散式拒絕服務 (DDoS) 攻擊至關重要。當您建置應用程式時 AWS,您可以利用 AWS 提供的保護,而不需要額外費用。此外,您還可以使用 AWS Shield Advanced 託管威脅防護服務,透過其他 DDoS 偵測、緩解和回應功能來改善您的安全狀態。

AWS 致力於為您提供工具、最佳實務和服務,以協助確保高可用性、安全性和彈性,以防禦網際網路上的不良行為者。本指南旨在幫助 IT 決策者和安全工程師了解如何使用 Shield and Shield Advanced 來更好地保護其應用程式免受 DDoS 攻擊和其他外部威脅的侵害。

當您在上建置應用程式時 AWS,您會透過 AWS 對抗常見的容積 DDoS 攻擊媒介 (例如 UDP 反射攻擊和 TCP SYN 洪水) 來獲得自動保護。您可以透 AWS 過設計和設定 DDoS 彈性的架構,利用這些保護來確保執行應用程式的可用性。

本指南提供的建議可協助您設計、建立和設定 DDoS 彈性的應用程式架構。如果應用程式受到更大型 DDoS 攻擊和更廣泛的 DDoS 攻擊媒介的目標,則遵循本指南中提供的最佳實踐方式可以從提高可用性連續性中受益。此外,本指南還向您展示如何使用 Shield Advanced 為您的關鍵應用程式實作最佳化的 DDoS 防護狀態。這些應用程式包括您保證為客戶提供一定程度可用性的應用程式,以及在 DDoS 事件 AWS 期間需要作業支援的應用程式。

安全是 AWS 與您之間共同承擔的責任。‬共同責任模型‭‬ 將此描述為雲端‬的‭‬安全和雲端‬內‬的安全:

  • 雲端安全性 — AWS 負責保護中執行 AWS 服務的基礎架構 AWS 雲端。 AWS 還為您提供可以安全使用的服務。第三方稽核人員定期檢測及驗證安全的效率也是我們 AWS 合規計劃的一部分。若要瞭解適用於 Shield Advanced 的法規遵循計劃,請參閱合規計劃的AWS 服務範圍

  • 雲端中的安全性 — 您的責任取決於您使用的 AWS 服務。您也必須對資料敏感度、組織要求,以及適用法律和法規等其他因素負責。

圖表顯示水平分割的矩形。上半部的標題為「客戶:在」雲中的安全責任,下半部分標題為 AWS:「雲端的安全性責任」。頂端客戶半部分包含四個層級。最上面的一個是客戶數據。第二個是平台,應用程序,身份和訪問管理。第三個是操作系統,網絡和防火牆配置。客戶區域的第四層和底層分為並排三個部分。其中的左邊是客戶端數據,加密和數據完整性,身份驗證。中間的一個是服務器端加密(文件系統和/或數據)。正確的一個是網絡流量保護(加密,完整性,身份)。這就結束了該圖的頂級客戶一半的內容。圖的下 AWS 半部分包含一個名為「軟體」的層,位於其上方及其下方,一個標題為「硬體/AWS 全域基礎結構」的層級。軟體層分成四個並排子區段,讀取運算、儲存、資料庫、網路。硬體層分成三個並排子區段,讀取區域、可用區域、節點。