Amazon Shield - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Shield

针对分布式拒绝服务 (DDoS) 攻击的防护对于面向互联网的应用程序至关重要。当您在 Amazon 上构建应用程序时,可以利用 Amazon 提供的保护,而无需额外付费。此外,您可以使用 Amazon Shield Advanced 托管威胁防护服务,通过其他 DDoS 检测、缓解和响应功能来改善您的安全状况。

Amazon 致力于为您提供工具、最佳实践和服务,以帮助您确保高可用性、安全性和弹性,防御互联网上的不法侵害。本指南旨在帮助 IT 决策者和安全工程师了解如何使用 Shield 和 Shield Advanced 来更好地保护其应用程序,使其免受 DDoS 攻击和其他外部威胁。

在 Amazon 上构建应用程序时,您将获得自动保护,Amazon 将抵御常见的大规模 DDoS 攻击向量,例如 UDP 反射攻击和 TCP SYN 泛洪。您可以利用这些保护来设计和配置 DDoS 弹性架构,从而确保您在 Amazon 运行的应用程序的可用性。

本指南提供的建议可以帮助您设计、创建和配置应用程序架构,以实现 DDoS 弹性。当应用程序受到更大规模的 DDoS 攻击和更广泛的 DDoS 攻击向量时,遵守本指南中提供的最佳实践,则其可以从改进的可用性连续性中获益。此外,本指南还向您展示了如何使用 Shield Advanced 为您的关键应用程序实现优化的 DDoS 保护状态。其中包括您已保证为客户提供一定可用性的应用程序,以及在 DDoS 事件期间需要 Amazon 提供运营支持的应用程序。

安全性是 Amazon 和您的共同责任。责任共担模型将其描述为云 安全性和云 的安全性:

  • 云的安全性 – Amazon负责保护在 Amazon Web Services 云 中运行 Amazon 服务的基础设施。Amazon 还向您提供可安全使用的服务。作为 Amazon 合规性计划的一部分,我们的安全措施的有效性定期由第三方审计员进行测试和验证。要了解适用于 Shield Advanced 的合规性计划,请参阅合规性计划范围内的 Amazon 服务

  • 云中的安全性 - 您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。


			图中显示了一个水平分割的矩形。上半部分的标题为客户:云中的安全责任,下半部分的标题为 Amazon:云的安全责任。上半部分,即客户部分,包含四个层级。最顶部的层级是客户数据。第二个层级是平台、应用程序、身份和访问管理。第三个层级是操作系统、网络和防火墙配置。客户区域的底层第四层分为三个并排的部分。左边是客户端数据、加密和数据完整性、身份验证。中间是服务器端加密(文件系统和/或数据)。右边是网络流量保护(加密、完整性、身份)。图中上半部分的客户内容到此结束。图中下半部分 Amazon 的顶层为软件,接下来一层是硬件/ Amazon 全局基础架构。软件层分为四个并排的部分,分别是计算、存储、数据库、网络。硬件层分为三个并排的部分,分别是区域、可用区、边缘站点。