如何 Amazon Shield 缓解事件 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何 Amazon Shield 缓解事件

保护应用程序的缓解逻辑可能因应用程序架构而异。当您使用 Amazon CloudFront 和 Amazon Route 53 保护网络应用程序时,您将受益于特定于 Web 和 DNS 用例的缓解措施,这些缓解措施可以保护服务的所有流量。当您的应用程序的入口点是在某个 Amazon 区域中运行的资源时,缓解逻辑会因服务、资源类型和 Amazon Shield Advanced 使用情况而异。

Amazon DDoS 缓解系统由 Shield 工程师开发,它们与 Amazon 服务紧密集成。工程师会考虑架构的各个方面,例如目标资源的容量和运行状况。Shield 工程师持续监控 DDoS 缓解系统的功效和性能,并能够在发现或预计到新威胁时快速做出响应。

您可以设计您的应用程序,使其能够根据流量或负载的增加进行扩展,从而帮助确保它不会受到较小的请求泛滥的影响。如果您使用 Shield Advanced 来保护您的资源,则可以防止云账单意外增加,这种意外增加可能是 DDoS 攻击造成的。

基础设施缓解

对于基础设施层攻击,Amazon Shield DDoS 缓解系统存在于 Amazon 网络边界和 Amazon 边缘站点。在整个Amazon基础架构中放置多个级别的安全控制 defense-in-depth 可为您的云应用程序提供支持。

Shield 在所有来自互联网的入口点维护 DDoS 缓解系统。当 Shield 检测到 DDoS 攻击时,对于每个入口点,它都会通过位于相同位置的 DDoS 缓解系统重新路由流量。这不会带来任何可观察到的额外延迟,并且在所有Amazon区域和所有边缘位置提供了超过 TeraBits 每秒 100 (Tbps) 的缓解能力。Shield 可以保护您的资源可用性,而无需将流量重新路由到外部或远程清理中心,这可能会增加延迟。

  • 在 Amazon 网络边界,对于任何 Amazon 服务或资源,DDoS 缓解系统可以缓解来自互联网的基础设施层攻击。当 Shield Response Team (SRT) 的工程师发出信号时,系统会执行缓解措施。

  • 在Amazon边缘位置,DDoS 缓解系统会持续检查转发到亚马逊 CloudFront 分配和 Amazon Route 53 托管区域的每个数据包,无论其来源如何。必要时,系统会应用专为 Web 和 DNS 流量设计的缓解措施。使用 Amazon CloudFront 和 Amazon Route 53 保护您的网络应用程序的另一个好处是,DDoS 攻击可以立即缓解,而无需从 Shield 检测中发出信号。

应用程序层缓解措施

Shield Advanced 为启用了 Shield Advanced 保护的亚马逊 CloudFront 分配和应用程序负载均衡器提供 Web 应用程序层缓解措施。启用保护后,可以将 Amazon WAF Web ACL 与资源关联,以启用 Web 应用程序层检测。此外,您可以选择启用自动应用程序层缓解,这将指示 Shield Advanced 在 DDoS 攻击期间为您管理保护。

Shield 仅提供针对您启用了 Shield Advanced 和自动应用程序层缓解功能的资源的应用程序层攻击的缓解措施。通过自动缓解,Shield Advanced 对来自已知 DDoS 来源的请求强制执行 Amazon WAF 速率限制,并自动添加和管理自定义 Amazon WAF 保护以应对检测到的 DDoS 攻击。有关此类缓解的详细信息,请参阅 Shield Advanced 如何管理自动缓解。并通过为受保护的资源创建、评估和部署自定义 &WAFlong; 规则来响应检测到的 DDoS 攻击。