AWS Shield - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Shield

防禦分散式阻斷服務 (DDoS) 攻擊對於您的網路應用程式而言至關重要。當您在AWS,您可以使用AWS提供無需額外費用。此外,您也可以使用AWS Shield Advanced託管威脅防護服務,通過額外的 DDoS 檢測、緩解和響應功能改善您的安全狀況。

AWS致力於為您提供工具、最佳實踐和服務,以幫助您確保高可用性、安全性和彈性,防禦互聯網上的不良行為者。本指南旨在幫助 IT 決策者和安全工程師瞭解如何使用 Shield 和 Shield Advanced 更好地保護其應用程序免受 DDoS 攻擊和其他外部威脅的侵害。

當您在AWS,您可以通過AWS針對常見的容積 DDoS 攻擊向量,例如 UDP 反射攻擊和 TCP SYN 洪水。您可以利用這些保護來確保您運行的應用程序的可用性AWS通過設計和配置您的體繫結構以實現 DDoS 恢復能力。

本指南提供了一些建議,可幫助您設計、創建和配置應用程序體繫結構以實現 DDoS 恢復能力。遵循本指南中提供的最佳實踐的應用程序在受到較大 DDoS 攻擊攻擊的目標和更廣泛的 DDoS 攻擊向量時,可以從可用性的連續性中受益。此外,本指南還介紹瞭如何使用 Shield Advanced 為您的關鍵應用程序實施優化的 DDoS 保護姿勢。這些應用程序包括您保證為客户提供一定級別的可用性的應用程序,以及需要AWS在 DDoS 事件期間。

安全是 AWS 與您共同的責任。共同的責任模型 將此描述為雲端 本身 的安全和雲端 內部 的安全:

  • 雲端本身的安全 – AWS 負責保護執行 AWS 雲端 內 AWS 服務的基礎設施。AWS 提供的服務,也可讓您安全使用。第三方稽核人員定期檢測及驗證安全的效率也是我們 AWS 合規計劃的一部分。若要了解適用於 Shield Advanced 的合規計劃,請參AWS合規計劃的服務範圍

  • 雲端內部的安全:您的責任取決於所使用的 AWS 服務。您也必須對資料敏感度、組織要求,以及適用法律和法規等其他因素負責。


			圖表顯示了水平分割的矩形。上半場的標題是客户:在雲中保護安全的責任下半部分的標題是AWS:安全責任 '的' 雲。頂級客户半數包含四個層次。最重要的是客户資料。第二個是平台、應用程式、標識和訪問管理。第三個是操作系統、網絡和防火牆配置。客户區域的第四層和底層分為三個並排部分。這些左邊是客户端數據、加密和數據完整性、身份驗證。中間的一個是伺服器端加密(文件系統和/或資料)。正確的一個是網絡流量保護(加密、完整性、身份)。這就結束了數字中最大客户一半的內容。底部AWS數字的一半,包含一個名為軟體在頂部和下方,一個名為硬體/AWS全球基礎設施。軟件層分為四個並排的子部分,讀取運算、儲存空間、資料庫、聯網。硬件層分為三個並排的子部分,讀取區域、可用區域、節點。