AWS Shield - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Shield

A proteção contra ataques do tipo negação de serviço distribuída (Distributed Denial of Service, DDoS) é de fundamental importância para seus aplicativos voltados para a Internet. Ao criar seu aplicativo na AWS, você pode usar proteções que são fornecidas pela AWS sem custo adicional. Além disso, você pode usar o serviço gerenciado de proteção do AWS Shield Advanced contra ameaças para melhorar sua postura de segurança com recursos adicionais de detecção, mitigação e resposta de DDoS.

A AWS tem o compromisso de fornecer a você as ferramentas, as práticas recomendadas e os serviços para ajudar a garantir alta disponibilidade, segurança e resiliência em sua defesa contra agentes mal-intencionados na internet. Este guia é fornecido para ajudar os tomadores de decisão de TI e engenheiros de segurança a entender como usar o Shield e o Shield Advanced para proteger melhor seus aplicativos contra ataques de DDoS e outras ameaças externas.

Ao criar seu aplicativo na AWS, você recebe proteção automática da AWS contra vetores de ataque DDoS volumétricos comuns, como ataques de reflexão de UDP e SYN floods de TCP. Você pode aproveitar essas proteções para garantir a disponibilidade dos aplicativos que você executa na AWS, projetando e configurando sua arquitetura para resiliência de DDoS.

Este guia fornece recomendações que podem ajudá-lo a projetar, criar e configurar suas arquiteturas de aplicativos para resiliência de DDoS. Os aplicativos que seguem as práticas recomendadas fornecidas neste guia podem se beneficiar de uma maior continuidade de disponibilidade quando são alvo de ataques maiores de DDoS e de uma variedade maior de vetores de ataque de DDoS. Além disso, este guia mostra como usar o Shield Advanced para implementar uma postura otimizada de proteção contra DDoS para seus aplicativos críticos. Isso inclui aplicativos para os quais você garantiu um certo nível de disponibilidade para seus clientes e aqueles que exigem suporte operacional da AWS durante eventos de DDoS.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidade compartilhada descreve isto como segurança da nuvem e segurança na nuvem:

  • Segurança da nuvem: a AWS é responsável pela proteção da infraestrutura que executa produtos da AWS na Nuvem AWS. A AWS também fornece serviços que podem ser usados com segurança. A eficácia da nossa segurança é regularmente testada e verificada por auditores de terceiros como parte dos Programas de conformidade da AWS. Para saber mais sobre os programas de conformidade que se aplicam ao Shield Advanced, consulte Serviços da AWS no escopo pelo programa de conformidade.

  • Segurança da nuvem: sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da sua organização e as leis e regulamentos aplicáveis.

Um diagrama mostra um retângulo dividido horizontalmente. A metade superior é intitulada Cliente: responsabilidade pela segurança “na” nuvem e a metade inferior é intitulada AWS: Responsabilidade pela segurança “da” nuvem. A metade principal do cliente contém quatro níveis. O primeiro deles é Dados do cliente. O segundo é Gerenciamento de plataforma, aplicativos, identidade e acesso. O terceiro é Configuração do sistema operacional, da rede e do firewall. O quarto e último nível da área do cliente é dividido em três seções que estão lado a lado. A seção à esquerda deles é Dados do lado do cliente, criptografia e integridade de dados, autenticação. A do meio é Criptografia do lado do servidor (sistema de arquivos e/ou dados). A seção à direita é Proteção do tráfego de rede (criptografia, integridade, identidade). Isso conclui o conteúdo da metade superior da figura do cliente. A metade inferior da figura da AWS contém um nível intitulado Software na parte superior e, abaixo dela, um nível intitulado Hardware/infraestrutura global da AWS. A camada de software é dividida em quatro subseções que estão lado a lado, onde se lê Computação, Armazenamento, Banco de dados e Rede. O nível de hardware é dividido em três subseções que estão lado a lado, onde se lê Regiões, Zonas de disponibilidade e locais da borda.