本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如何 Amazon Shield 缓解事件
本页介绍 Amazon Shield 事件缓解的工作原理。
保护应用程序的缓解逻辑可能因应用程序架构而异。当您使用 Amazon CloudFront 和 Amazon Route 53 保护网络应用程序时,您将受益于特定于 Web 和 DNS 用例的缓解措施,这些缓解措施可以保护服务的所有流量。当您的应用程序的入口点是在某个 Amazon 区域中运行的资源时,缓解逻辑会因服务、资源类型和您的使用情况而异 Amazon Shield Advanced。
Amazon DDoS 缓解系统由 Shield 工程师开发,它们与 Amazon 服务紧密集成。工程师会考虑架构的各个方面,例如目标资源的容量和运行状况。Shield 工程师持续监控 DDo S 缓解系统的功效和性能,并能够在发现或预计到新的威胁时快速做出反应。
您可以设计您的应用程序,使其能够根据流量或负载的增加进行扩展,从而帮助确保它不会受到较小的请求泛洪的影响。如果您使用 Shield Advanced 来保护您的资源,则可以防止 DDo S 攻击可能导致云账单意外增加。
基础设施缓解
对于基础设施层攻击, Amazon Shield DDoS 缓解系统存在于 Amazon 网络边界和边 Amazon 缘位置。在整个 Amazon 基础架构中放置多个级别的安全控制 defense-in-depth可为您的云应用程序提供支持。
Shield 在所有来自互联网的入口点维护 DDo S 缓解系统。当 Shield 检测到 DDo S 攻击时,对于每个入口点,它都会通过位于相同位置的 DDo S 缓解系统重新路由流量。这不会带来任何可观察到的额外延迟,并且在所有 Amazon 区域和所有边缘位置提供了超过 TeraBits 每秒 100 (Tbps) 的缓解能力。Shield 可以保护您的资源可用性,而无需将流量重新路由到外部或远程清理中心,这可能会增加延迟。
-
在 Amazon 网络边界,对于任何 Amazon 服务或资源, DDoS 缓解系统可以缓解来自互联网的基础设施层攻击。当 Shield Response Team (SRT) 的工程师发出信号时,系统会执行缓解措施。
-
在 Amazon 边缘位置, DDoS 缓解系统会持续检查转发到亚马逊 CloudFront 分配和 Amazon Route 53 托管区域的每个数据包,无论其来源如何。必要时,系统会应用专为 Web 和 DNS 流量设计的缓解措施。使用 Amazon CloudFront 和 Amazon Route 53 保护您的 Web 应用程序的另一个好处是, DDoS 攻击可以立即得到缓解,而无需发出 Shield 检测信号。
应用程序层缓解措施
Shield Advanced 为启用了 Shield Advanced 保护的亚马逊 CloudFront 分配和应用程序负载均衡器提供 Web 应用程序层缓解措施。启用保护后,可以将 Amazon WAF Web ACL 与资源关联,以启用 Web 应用程序层检测。此外,您可以选择启用自动应用层缓解,这会指示 Shield Advanced 在 DDo S 攻击期间为您管理保护。
Shield 仅提供针对您启用了 Shield Advanced 和自动应用程序层缓解功能的资源的应用程序层攻击的自定义缓解措施。通过自动缓解,Shield Advanced 对来自已知 DDo S 源的请求强制执行 Amazon WAF 速率限制,并自动添加和管理自定义 Amazon WAF 保护以应对检测到的 DDo S 攻击。有关此类缓解措施的详细信息,请参阅 Shield Advanced 如何管理自动缓解。
Web ACL 中基于速率的规则,无论是您添加还是由 Shield Advanced 自动应用程序层缓解功能添加,都可以在攻击达到可检测级别之前对其进行缓解。有关检测的更多信息,请参阅 应用程序层威胁(第 7 层)的 Shield Advanced 检测逻辑。