Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cette page explique la différence entre AWS Shield Standard et AWS Shield Advanced. Il décrit également les catégories d'attaques détectées par Shield.
AWS Shield Standard et AWS Shield Advanced fournissent des protections contre les attaques par déni de service distribué (DDoS) visant les AWS ressources au niveau des couches réseau et transport (couches 3 et 4) et de la couche application (couche 7). Une attaque DDo S est une attaque au cours de laquelle plusieurs systèmes compromis tentent d'inonder une cible de trafic. Une attaque DDo S peut empêcher les utilisateurs finaux légitimes d'accéder aux services cibles et provoquer le blocage de la cible en raison d'un volume de trafic écrasant.
AWS Shield fournit une protection contre un large éventail de vecteurs d'attaque DDo S connus et de vecteurs d'attaque zero-day. La détection et l'atténuation du Shield sont conçues pour fournir une couverture contre les menaces même si elles ne sont pas explicitement connues du service au moment de la détection.
Shield Standard est fourni automatiquement et sans frais supplémentaires lorsque vous l'utilisez AWS. Pour les plus hauts niveaux de protection contre les attaques, vous pouvez vous abonner à AWS Shield Advanced.
Les catégories d'attaques détectées par Shield sont les suivantes :
-
Attaques volumétriques du réseau (couche 3) : il s'agit d'une sous-catégorie des vecteurs d'attaque de la couche d'infrastructure. Ces vecteurs tentent de saturer la capacité du réseau ou de la ressource ciblée, afin de refuser le service aux utilisateurs légitimes.
-
Attaques de protocole réseau (couche 4) — Il s'agit d'une sous-catégorie de vecteurs d'attaque de couche d'infrastructure. Ces vecteurs abusent d'un protocole pour refuser le service à la ressource ciblée. Un exemple courant d'attaque de protocole réseau est l'inondation TCP SYN, qui peut épuiser l'état de connexion sur des ressources telles que les serveurs, les équilibreurs de charge ou les pare-feux. Une attaque de protocole réseau peut également être volumétrique. Par exemple, une inondation TCP SYN plus importante peut avoir pour but de saturer la capacité d'un réseau tout en épuisant l'état de la ressource ciblée ou des ressources intermédiaires.
-
Attaques au niveau de l'application (couche 7) : cette catégorie de vecteurs d'attaque tente de refuser le service à des utilisateurs légitimes en inondant une application de requêtes valides pour la cible, telles que des inondations de requêtes Web.
Table des matières
