- 安全性、身份与合规性›
- AWS Shield›
- 常见问题
AWS Shield 常见问题
一般性问题
什么是 AWS Shield Standard?
AWS Shield Standard 可以提供保护所有 AWS 客户免受常见的、最为频繁的基础设施层(第 3 层和第 4 层)攻击(如 SYN/UDP 洪泛、反射攻击和其他攻击),确保 AWS 上的应用程序具有较高的可用性。
什么是 AWS Shield Advanced?
AWS Shield Advanced 可以为受保护的 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Route 53 资源上运行的应用程序提供增强保护,防护更复杂、更大型的攻击。利用 AWS Shield Advanced 提供的保护,您可以实现基于流的持续网络流量监控和主动应用程序监控,并近乎实时地发送可疑 DDoS 事件通知。AWS Shield Advanced 还采用先进的攻击缓解和路由技术来自动缓解攻击。此外,借助业务或企业支持,客户还可以联系提供全天候服务的 Shield 响应团队(SRT)来管理和缓解应用程序层的 DDoS 攻击。适用于扩展的 DDoS 成本保护功能可以在因 DDoS 攻击而出现受保护的 Amazon EC2、Elastic Load Balancing(ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 使用高峰时防止您的 AWS 费用增加。
什么是适用于扩展的 DDoS 费用保护?
AWS Shield Advanced 具有 DDoS 费用保护功能,在因 DDoS 攻击而出现受保护的 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 使用高峰时,该功能可以防止您的费用增加。如果上述任一受 AWS Shield Advanced 保护的资源的费用因 DDoS 攻击而增加,您可以通过常规的 AWS Support 渠道申请退款。
是否可以使用 AWS Shield 来保护未在 AWS 上托管的网站?
可以。AWS Shield 已与 Amazon CloudFront 实现集成,支持为 AWS 外部的自定义来源提供保护。
AWS Shield 的所有功能是否都支持 IPv6?
符合。AWS Shield 的所有检测和缓解功能都支持 IPv6 和 IPv4,且不会对该服务的性能、可扩展性或可用性产生任何显著的影响。
如何测试 AWS Shield?
AWS 可接受使用策略描述了 AWS 允许和禁止的行为,还描述了禁止的安全违规和网络滥用行为。但是,因为 DDoS 模拟测试、渗透测试及其他模拟事件常与此类活动混在一起,难以区分,所以我们制订了一项政策,要求客户先申请权限,然后才能执行 DDoS 测试、渗透测试和漏洞扫描。请访问我们的渗透测试页面和 DDoS 模拟测试政策以便了解更多详细信息。
目前可在哪些 AWS 区域使用 AWS Shield Standard?
目前,客户可在全球各个 AWS 地区和 AWS 边缘站点,在各种 AWS 服务上使用 AWS Shield Standard。
请参阅区域性产品和服务,详细了解 AWS Shield Standard 在各区域的可用性。
目前可在哪些 AWS 区域使用 AWS Shield Advanced?
目前,客户可在全球所有 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 Amazon CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的原始服务器可以是 Amazon Simple Storage Service(S3)、Amazon EC2、Elastic Load Balancing 或 AWS 以外的自定义服务器。您还可以在以下 AWS 区域直接在 Elastic Load Balancing 或 Amazon EC2 上启用 AWS Shield Advanced:弗吉尼亚北部、俄亥俄、俄勒冈、加利福尼亚北部、蒙特利尔、圣保罗、爱尔兰、法兰克福、伦敦、巴黎、斯德哥尔摩、新加坡、东京、悉尼、首尔、孟买、米兰、开普敦、中国香港、巴林、马来西亚和阿联酋。
请参阅区域性产品和服务,了解 AWS Shield Advanced 在各个区域的可用性的最新详细信息。
AWS Shield 是否符合 HIPAA 要求?
符合,AWS 已对其 HIPAA 合规性计划进行扩展,其中已将 AWS Shield 作为一项符合 HIPAA 要求的服务包括进来。如果您已与 AWS 签订商业合伙协议 (BAA),则可以使用 AWS Shield 来保护您在 AWS 上运行的 Web 应用程序,使其免受分布式拒绝服务 (DDoS) 攻击。有关更多信息,请参阅 HIPAA 合规性。
配置保护
AWS Shield Standard 可以针对哪些类型的攻击提供防护?
AWS Shield Standard 可以自动保护 AWS 上运行的 Web 应用程序,使其免受最常见且频繁发生的基础设施层攻击(如 UDP 洪泛)和状态耗尽攻击(如 TCP SYN 洪泛)。客户也可以使用 AWS WAF 来针对 HTTP POST 或 GET 洪泛等应用程序层攻击提供防护。要详细了解如何部署应用程序层防护,请参阅 AWS WAF 和 AWS Shield Advanced 开发人员指南。
可以使用 AWS Shield Standard 保护多少资源?
AWS Shield Standard 对于接受保护的资源没有数量限制。您可以遵循 AWS 的 DDoS 攻击弹性最佳实践,以享受 AWS Shield Standard 防护带来的全部好处。
可以使用 AWS Shield Advanced 保护多少资源?
您可以针对 AWS Shield Advanced 保护为每种受支持的资源类型(Classic/Application Load Balancer、Amazon CloudFront 分配、Amazon Route 53 托管区域、弹性 IP、AWS Global Accelerator 加速器)最多启用 1000 项 AWS 资源。如果您要保护的资源超过 1000 个,您可以创建 AWS Support 案例来申请提高限额。
是否可以使用 API 激活 AWS Shield Advanced 防护?
符合。您可以使用 API 激活 AWS Shield Advanced,还可以使用 API 添加或删除使用 AWS Shield Advanced 保护的 AWS 资源。
攻击缓解的速度有多快?
通常情况下,对于 AWS Shield 检测到的基础设施层攻击,若攻击位于 Amazon CloudFront 和 Amazon Route 53 上,其中 99% 的攻击可在 1 秒内缓解,若攻击位于 Elastic Load Balancing 上,则可在 5 秒内缓解。剩余 1% 的基础设施层攻击通常会在 20 分钟内缓解。您可以使用 AWS WAF 编写规则来缓解应用程序层攻击,AWS WAF 会在流量传入过程中检测和缓解这些攻击。
我可以保护 AWS 之外的资源吗?
可以,我们的一些客户选择在他们的后端实例前面使用 AWS 端点。最常见的情况是,这些端点是全球分布的 CloudFront 和 Route 53 服务。这些服务也是我们针对 DDoS 弹性提出的最佳实践建议。客户可以使用 Shield Advanced 保护这些 CloudFront 分布和 Route 53 托管区域。请注意,您需要锁定后端资源,以便仅接受来自这些 AWS 端点的流量。
响应攻击
AWS Shield Standard 可以提供哪些工具来缓解 DDoS 攻击?
AWS Shield Standard 可以自动保护在 AWS 上运行的 Web 应用程序,使其免受最常见且频繁发生的 DDoS 攻击。您可以遵循 AWS 的 DDoS 攻击弹性最佳实践,以享受 AWS Shield Standard 防护带来的所有好处。
AWS Shield Advanced 可以提供哪些工具来缓解 DDoS 攻击?
AWS Shield Advanced 可以管理第 3 层和第 4 层的 DDoS 攻击缓解。这意味着,该服务可以保护您指定的应用程序免受 UDP 洪泛、TCP SYN 洪泛等攻击。此外,对于应用程序层(第 7 层)攻击,AWS Shield Advanced 可以检测 HTTP 洪泛和 DNS 洪泛等攻击。您可以使用 AWS WAF 来应用自身的缓解措施,或者如果您具有业务或企业支持,则可以联系提供全天候服务的 AWS Shield 响应团队 (SRT),他们可以帮助您编写规则来缓解第 7 层 DDoS 攻击。
我是否需要有特殊的支持计划才能联系 AWS Shield 响应团队?
是的,您需要有业务或企业支持计划,以便上报或接洽 AWS Shield 响应团队(SRT)。有关 AWS 支持计划的更多详细信息,请访问 AWS Support 网站。
如何联系 AWS Shield 响应团队?
您可以通过常规的 AWS 支持方式联系 AWS Shield 响应团队(SRT),也可以联系 AWS Support。
可以在多长时间内联系到 AWS Shield 响应团队(SRT)?
SRT 的响应时间取决于您订阅的 AWS Support 计划。我们将会尽一切合理努力,在相应时间期限内响应您的初始请求。有关 AWS 支持计划的更多详细信息,请访问 AWS Support 网站。
可见性和报告
发生攻击时,AWS Shield 是否会通知我?
符合。使用 AWS Shield Advanced 时,您可以通过 CloudWatch 指标获得 DDoS 攻击通知。
需要多长时间才能收到攻击通知?
通常情况下,AWS Shield Advanced 在检测到攻击后,会在几分钟内发出攻击通知。
我是否可以获取一份 AWS 资源的所有 DDoS 攻击历史记录?
符合。使用 AWS Shield Advanced,您可以查看过去 13 个月内发生的所有事件的历史纪录。
如何了解 AWS WAF 规则是否正常发挥作用?
AWS WAF 提供两种不同的方式,帮助您确认您的网站受保护情况:您可以在 CloudWatch 获取每分钟的指标,同时您也可以通过 AWS WAF API 或 AWS 管理控制台获取 Web 请求采样。此外,您还可以启用通过 Amazon Kinesis Firehose 发送到您选择的目的地的综合日志。您可以通过查阅这些信息,查阅到所有被阻止、获允许或经计数的请求,同时能看到每个请求是符合哪条规则(例如,此 Web 请求因符合 IP 地址条件而受阻止,等等)。有关详情,请参阅 AWS WAF 和 AWS Shield Advanced 开发人员指南。
我需要进行渗透测试来评估服务和应用程序。经过批准的程序是怎样的?
请参阅 AWS 上的渗透测试。但是,这不包括“DDoS 加载测试”,AWS 上没有授权进行这个测试。如果您要进行在线 DDoS 测试,可以通过 AWS Support 发起工单,申请批准进行这项测试。该测试批准需要 AWS、客户和 DDoS 测试供应商就测试条件达成一致。请注意,我们仅与经过批准的 DDoS 测试供应商合作,整个流程大约需要 3-4 周。
计费
AWS Shield Advanced 如何收费?
对于 AWS Shield Advanced,您需要支付每月每个组织 3000 USD 的月度费用。此外,您还需要为启用高级防护的 AWS 资源支付 AWS Shield Advanced 数据传输使用费。AWS Shield Advanced 的费用不包含在 Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 的标准费用内。请参阅 AWS Shield 定价页面了解更多详细信息。
是否可以选择仅使用 AWS Shield Advanced 来保护我的一些资源?
可以,AWS Shield Advanced 允许您灵活选择要保护的资源。您只需为这些受保护资源上的 AWS Shield Advanced 数据传输付费。
如何在多个 AWS 账户中启用 AWS Shield Advanced?
如果您的企业拥有多个 AWS 账户,您可以使用 AWS 管理控制台或 API 在每个 AWS 账户上单独启用 AWS Shield Advanced,从而使用这些账户来订阅 AWS Shield Advanced。只要这些 AWS 账户均在同一个整合账单下,且您拥有所有这些 AWS 账户及其中的资源,您就可以一次性支付月度费用。