本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如何 AWS Shield 缓解事件
本页介绍 AWS Shield 事件缓解的工作原理。
保护应用程序的缓解逻辑可能因应用程序架构而异。当您使用 Amazon CloudFront 和 Amazon Route 53 保护网络应用程序时,您将受益于专门针对网络和DNS用例的缓解措施,这些缓解措施可以保护服务的所有流量。当您的应用程序的入口点是在某个 AWS 区域中运行的资源时,缓解逻辑会因服务、资源类型和您的使用情况而异 AWS Shield Advanced。
AWS DDoS缓解系统由 Shield 工程师开发,它们与 AWS 服务紧密集成。工程师会考虑架构的各个方面,例如目标资源的容量和运行状况。Shield 工程师持续监控DDoS缓解系统的功效和性能,并能够在发现或预计到新的威胁时快速做出反应。
您可以设计您的应用程序,使其能够根据流量或负载的增加进行扩展,从而帮助确保它不会受到较小的请求泛洪的影响。如果您使用 Shield Advanced 来保护您的资源,则可以抵御因DDoS攻击而导致云账单意外增加。
基础设施缓解
对于基础设施层攻击, AWS 网络边界和边 AWS 缘位置都有 AWS Shield DDoS缓解系统。在整个 AWS 基础架构中放置多个级别的安全控制 defense-in-depth可为您的云应用程序提供支持。
Shield 在所有来自互联网的入口点维护DDoS缓解系统。当 Shield 检测到DDoS攻击时,对于每个入口点,它都会通过同一位置的DDoS缓解系统重新路由流量。这不会带来任何可观察到的额外延迟,并且在所有 AWS 区域和所有边缘位置提供了超过 TeraBits 每秒 100 (Tbps) 的缓解能力。Shield 可以保护您的资源可用性,而无需将流量重新路由到外部或远程清理中心,这可能会增加延迟。
-
在 AWS 网络边界,针对任何 AWS 服务或资源,DDoS缓解系统可以缓解来自互联网的基础设施层攻击。当 Shield 探测或 Shield 响应小组的工程师发出信号时,系统会执行缓解措施()。SRT
-
在 AWS 边缘位置,DDoS缓解系统会持续检查转发到亚马逊 CloudFront 分配和 Amazon Route 53 托管区域的每个数据包,无论其来源如何。在需要时,系统会应用专为网络和DNS流量设计的缓解措施。使用 Amazon CloudFront 和 Amazon Route 53 保护您的 Web 应用程序的另一个好处是,DDoS攻击可以立即缓解,而无需从 Shield 检测中发出信号。
应用程序层缓解措施
Shield Advanced 为启用了 Shield Advanced 保护的亚马逊 CloudFront 分配和应用程序负载均衡器提供 Web 应用程序层缓解措施。启用保护后,可以将 AWS WAF Web ACL 与资源关联,以启用 Web 应用程序层检测。此外,您可以选择启用自动应用层缓解,这会指示 Shield Advanced 在DDoS攻击期间为您管理保护。
Shield 仅为针对已启用 Shield Advanced 和自动应用层缓解的资源的应用层攻击提供自定义缓解措施。通过自动缓解,Shield Advanced 对来自已知DDoS来源的请求强制执行 AWS WAF 速率限制,并自动添加和管理自定义 AWS WAF 保护以应对检测到的DDoS攻击。有关此类缓解措施的详细信息,请参阅 Shield Advanced 如何管理自动缓解。
网络中基于速率的规则ACL,无论是您添加的还是由 Shield Advanced 自动应用层缓解功能添加的,都可以在攻击达到可检测级别之前对其进行缓解。有关检测的更多信息,请参阅Shield 应用层威胁的高级检测逻辑(第 7 层)。
主题
