AWS Shield

— это управляемый сервис защиты от DDoS-атак, который надежно защищает приложения, работающие в облаке AWS. Сделаем подробный обзор платформы. Рассмотрим основные возможности площадки и поговорим про тарифы.

Важно: на момент написания обзора (апрель 2023) сервис AWS не поддерживает создание новых аккаунтов из России.

---

Регистрация

Новый профиль

позволит ознакомиться с продуктами уровня бесплатного пользования. Чтобы зарегистрироваться, необходимо выбрать пункт «Создание аккаунта AWS» в правом верхнем углу. На новой странице нужно сделать следующее:

• ввести адрес электронной почты;
• придумать имя аккаунта;
• подтвердить адрес электронной почты (ввести код).

После этого система попросит придумать и подтвердить пароль. Следующие шаги:

• ответить, для каких целей планируется использование сервиса
  AWS
  (бизнес — для работы, школы или организации; личный — для собственных проектов).
• ввести ФИО, номер телефона, страну;
• указать адрес, регион, почтовый индекс;
• согласиться с условиями клиентского соглашения.

Далее пользователю необходимо ввести номер кредитной или дебетовой карты, адрес выставления счета.

На четвертом шаге потребуется подтвердить личность. Для этого необходимо ввести проверочный код (его можно получить по SMS или по голосовому вызову).

Аккаунт создан. Пользователь может приступать к работе.

---

Возможности AWS Shield

обеспечивает динамическое обнаружение и автоматическую нейтрализацию атак, сокращая задержку и время простоя приложений. Клиенты сервиса могут воспользоваться двумя уровнями защиты: AWS Shield Standard и AWS Shield Advanced. Рассмотрим каждый из них.

---

AWS Shield Standard

Клиенты

могут бесплатно воспользоваться сервисом защиты AWS Shield Standard. Платформа защищает от DDoS-атак сетевого и транспортного уровня, нацеленных на веб-сайты и приложения. Использование AWS Shield Standard совместно с веб-сервисом для доставки контента Amazon CloudForm и сервисом системы доменных имен Amazon Route 53 позволяет обеспечить комплексную защиту от всех инфраструктурных атак.

---

Статистическая пороговая защита от DDoS-атак для базовых сервисов AWS

Технология автоматически распознает и блокирует трафик, который похож на DDoS-атаки. Статистическая пороговая защита включена во все аккаунты

по умолчанию — пользователь может быть уверен, что его приложение надежно защищено.

Пример использования

У пользователя есть приложение на хостинге

. Представим, что юзер использует базовые сервисы AWS для хранения данных. Однажды он замечает, что трафик на сервере сильно увеличился, а приложение стало недоступным для пользователей.

Такое поведение — один из признаков DDoS-атаки. В этом случае статистическая пороговая защита сможет автоматически распознать аномальный трафик и заблокировать его. С помощью этой технологии можно сохранить доступность веб-приложения и принять соответствующие меры по безопасности.

Инструмент пригодится компаниям, у которых есть веб-сайты, приложения, онлайн-магазины, сервисы облачных вычислений и другие онлайн-платформы.

---

Линейная нейтрализация атак

Во время DDoS-атаки хакеры пытаются перегрузить приложение, отправляя множество запросов одновременно.

распознает и анализирует этот трафик. Сервис определяет, какие запросы являются легитимными, а какие — исходят от злоумышленников.

• Распределение трафика на разные серверы в облаке AWS — один из методов линейной нейтрализации атак. Если один сервер получает больше трафика, чем он может обработать,
  AWS Shield
  автоматически перенаправит часть трафика на другой сервер.
• Автоматическое масштабирование приложения — другой метод линейной нейтрализации атак. Если атака становится очень интенсивной, AWS Shield автоматически масштабирует приложение, чтобы обработать больше запросов.

Два перечисленных метода помогают сохранить доступность и работоспособность приложения во время атаки.

Пример использования

Однажды сотрудники онлайн-магазина заметили, что приложение стало медленно грузиться. Первое подозрение — организованная DDoS-атака хакеров.

использует линейную нейтрализацию атак, чтобы распределить трафик на несколько серверов в облаке AWS (предположим, у компании есть 4 сервера, AWS Shield может распределить трафик равномерно между этими серверами).

Если один сервер начинает получать больше трафика, чем он может обработать,

автоматически перенаправит часть трафика на другой сервер.

Технология помогает сохранить доступ к приложению, даже если один сервер перегружен.

---

AWS Shield Advanced

Сервис пригодится пользователям, для которых важен повышенный уровень защиты (особенно это относится к корпорациям и крупным компаниям, которые продают товары и предоставляют онлайн-услуги).

Платформа защищает сетевые и транспортные уровни, а также нейтрализует сложные широкомасштабные DDoS-атаки.

---

Индивидуальное обнаружение на основе шаблона трафика приложения

Технология обнаруживает отклонения от обычного трафика и автоматически применяет соответствующие меры для защиты приложения от хакерских атак. Как это работает:

1. AWS Shield Advanced собирает информацию о трафике приложения.
2. Сервис создает шаблон, отражающий типичный трафик приложения.
3. В случае выявления «аномалий» в трафике AWS Shield Advanced использует готовый шаблон для обнаружения атак и принимает меры безопасности.

Если появляются подозрительные запросы на определенный URL-адрес, AWS Shield Advanced может автоматически блокировать этот трафик и перенаправить его на облегченную версию сайта (чтобы сохранить доступ к приложению).

Пример использования

Онлайн-магазин работает на облачной платформе

. В последнее время сайт начал открываться медленно, а иногда — недоступен. При этом компания получала уведомления от AWS о том, что ресурс подвергается DDoS-атакам.

Чтобы защитить сайт, онлайн-магазин подключает инструмент «индивидуальное обнаружение на основе шаблона трафика приложения». Шаблон трафика определяет типичные действия: поиск товаров, оформление заказа, оплата и так далее.

Теперь, когда на сайт поступает трафик,

анализирует его и сравнивает с шаблоном.

• если трафик соответствует шаблону (например, клиент заходит на сайт и ищет нужные товары), то он пропускается;
• если трафик не соответствует шаблону (например, происходит множество запросов на определенную страницу с одного IP-адреса), то
  AWS Shield
  пометит его как потенциальную DDoS-атаку и заблокирует.

Примеры отраслей, которые могут использовать эту технологию:

• финансовые услуги — банки, страховые компании, инвестиционные фонды;
• облачные услуги — хостинг-провайдеры, SaaS-компании;
• разработка программного обеспечения;
• здравоохранение;
• продажа товаров в Интернете.

Технология «Индивидуальное обнаружение на основе шаблона трафика приложения» может быть полезна для любой компании, которая хочет обезопасить свои системы и защитить конфиденциальную информацию.

---

Система проверки работоспособности

Технология анализирует работу приложения и своевременно реагирует на возможные сбои и проблемы. Как это выглядит:

1. Пользователь включает систему проверки работоспособности.
2. AWS Shield
   периодически отправляет запросы приложению (чтобы убедиться, что оно работает правильно).
3. Если приложение не отвечает на запросы, AWS Shield предпринимает определенные действия для обеспечения его нормальной работы (например, система может автоматически перенаправить трафик на резервный сервер AWS).

Известные компании, использующие систему проверки работоспособности:

• Netflix;
• Amazon;
• Google;
• Microsoft;
• Facebook*;
• Airbnb;
• Dropbox;
• Slack.

Система проверки работоспособности помогает поддерживать непрерывную работу приложения и обеспечивает доступ пользователям. При возникновении сбоя

предпринимает меры для устранения проблемы.

---

Продвинутая нейтрализация атак

Продвинутая нейтрализация атак включает в себя множество инструментов и технологий, работающих вместе для обеспечения надежной защиты от DDoS-атак.

может автоматически блокировать IP-адреса, которые считает вредоносными, и позволяет пользователю создавать правила, чтобы ограничить доступ к приложению.

Алгоритм действий выглядит так:

1. Компания размещает на
   AWS
   свои веб-сервисы, которые обслуживают клиентов со всего мира.
2. Хакер запускает DDoS-атаку на веб-сервисы компании, направляя множество запросов на их серверы.
3. Технология «Продвинутая нейтрализация атак» автоматически обнаруживает странные запросы и начинает анализировать трафик, проходящий через серверы компании.
4. Система определяет и блокирует ненужные запросы. Это позволяет снизить нагрузку на серверы и уменьшить воздействие DDoS-атаки.
5. Компания получает уведомление о запуске DDoS-атаки и ее успешной нейтрализации.

В дальнейшем компания может принять дополнительные меры по защите своих сервисов.

---

Автоматическая нейтрализация DDoS-атак на уровне приложений

AWS Shield Advanced может обнаруживать и автоматически предотвращать DDoS-атаки на уровне приложения, включая HTTP/HTTPS. Алгоритм действий:

1. Компания размещает веб-приложение в системе
   AWS
   .
2. Хакер запускает HTTP-флуд атаку на веб-приложение, направляя огромное количество ложных запросов на серверы компании.
3. Технология «Автоматическая нейтрализация DDoS-атак на уровне приложений» обнаруживает эту атаку и фильтрует входящий трафик, блокируя ложные запросы.
4. Система может также перенаправлять часть трафика на AWS Shield Threat Landscape Dashboard для дополнительного анализа.
5. Компания получает уведомление о том, что атака была обнаружена и нейтрализована. Веб-приложение работает без сбоев.

Технология пригодится интернет-магазинам, крупным корпоративным компаниям, государственным структурам, банкам и финансовым учреждениям.

---

Проактивное реагирование на события

использует машинное обучение для выявления аномального трафика (он может свидетельствовать о DDoS-атаке). Когда сервис обнаруживает такие аномалии, система отправляет владельцам сайта уведомления и рекомендации, которые помогут принять меры для защиты приложений.

Проактивное реагирование на события также включает функцию автоматической блокировки потенциально вредоносного трафика. Это особенно важно для сайтов с большой посещаемостью.

---

Группы защиты

Платформа AWS Shield Advanced предоставляет возможность упаковывать ресурсы в группы защиты. В них можно настроить следующие параметры:

• уровень защиты;
• типы атак, которые нужно блокировать;
• пороговые значения для срабатывания защиты и так далее.

Пользователь может настроить группу защиты так, чтобы она применялась к нескольким ресурсам одновременно. Использование этой технологии повышает точность обнаружения атак и ускоряет их нейтрализацию, а также снижает количество ложных срабатываний.

Группы защиты — полезный набор готовых инструментов, который пригодится интернет-магазинам, компаниям по разработке игр, банковским и финансовым учреждениям.

---

Осведомленность и оповещения об атаках

Пользователь может настроить оповещения для разных уровней атак (например, SYN-флуд или атака, превышающая определенный порог трафика).

Осведомленность и оповещения об атаках пригодятся крупным компаниям с высокой посещаемостью. Некоторые из них:

• Amazon. Торговая платформа — одна из самых популярных онлайн-площадок в мире. Десятки тысяч человек ежедневно посещают этот ресурс, поэтому безопасность для этого сервиса — превыше всего.
• Netflix. Крупный стриминговый сервис пользуется большой популярностью. Если платформа не будет обеспечивать надежную защиту, они потеряет клиентов.
• Spotify. Для удовлетворения потребностей своих пользователей сервис должен предоставлять высокую надежность. Защита от DDoS-атак и предупреждения об угрозах помогут компании Spotify поддерживать высокую доступность своего сервиса.

Еще технология будет полезна хостинг-провайдерам, облачным сервисам и всем компаниям, предоставляющих услуги по Интернету.

---

Защита от лишних расходов в случае DDoS-атак

Технология устанавливает лимиты на количество запросов. Если они превысят установленное значение, сервис может автоматически ограничить доступ к веб-приложению компании, чтобы предотвратить дополнительные расходы за использование ресурсов

.

---

Специализированная поддержка

При использовании

для защиты своей инфраструктуры от DDoS-атак, пользователь получает доступ к базовой поддержке. Однако для некоторых клиентов требуется личная связь со специалистами AWS.

Пользователи с планами поддержки «Для бизнеса» и «Корпоративный» могут рассчитывать на следующую услуги:

• помощь в обнаружении и мониторинге DDoS-атак, анализе протоколов и предоставлении рекомендаций от таких атак;
• помощь в планировании и реализации мер по повышению уровня безопасности инфраструктуры и снижению уязвимостей;
• обеспечение ускоренного реагирования на серьезные хакерские атаки;
• предоставление дополнительной экспертной поддержки и консультаций по безопасности.

Специализированная поддержка подойдет клиентам, которые нуждаются в экспертном сопровождении при защите инфраструктуры от DDoS-атак.

---

Доступность по всему миру

Сервис

предоставляет клиентам информацию о состоянии доступности своих веб-приложений по всему миру. Инструмент дает возможность пользователям отслеживать метрики в разных регионах и странах.

---

Управление централизованной защитой

Технология «Управление централизованной защитой» работает на основе интеграции

с сервисом AWS Web Application Firewall и AWS Firewall Manager. С помощью этих продуктов можно настраивать правила и политику защиты для нескольких приложений и ресурсов AWS из одного места.

Это повышает эффективность защиты от DDoS-атак. Кроме этого, клиенты могут использовать мониторинг и отчетность, предоставляемые сервисом

, чтобы анализировать и выявлять потенциальные уязвимости в своих приложениях.

---

Тарифы

AWS Shield Standard обеспечивает бесплатную защиту всех клиентов AWS от распространенных DDoS-атак сетевого и транспортного уровня на веб-сайты и приложения.

AWS Shield Advanced — это платный сервис. Для доступа к этой платформе потребуется подписка на один год. Оплата производится каждый месяц. В дополнение к фиксированному платежу взимается плата за исходящую передачу данных следующими сервисами:

• Amazon CloudFront;
• Elastic Load Balancing (ELB);
• Amazon Elastic Compute (EC2);
• AWS Global Accelerator.

Таблица цен:

Цены	AWS Shield Standard	AWS Shield Advanced
Обязательная подписка	Нет	1 год
Ежемесячная плата (см. примечание 1)	Бесплатно	3 000 USD
Плата за исходящую передачу данных (см. примечание 2)	Бесплатно	Плата за исходящую передачу данных AWS Shield Advanced (рассчитывается согласно приведенной ниже таблице).

Плата за исходящую передачу данных AWS Shield Advanced (за 1 ГБ):

Наименование	Amazon CloudFront	Elastic Load Balancing (ELB)	Эластичный IP-адрес AWS (EC2 и Network Load Balancer)	AWS Global Accelerator
Первые 100 ТБ	0.025 USD	0.05 USD	0.05 USD	0.025 USD
Следующие 400 ТБ	0.02 USD	0.04 USD	0.04 USD	0.02 USD
Следующие 500 ТБ	0.015 USD	0.03 USD	0.03 USD	0.015 USD
Следующие 4 ПБ	0.01 USD	Нужно связаться с технической поддержкой	Нужно связаться с технической поддержкой	0.01 USD
Более 5 ПБ	Нужно связаться с технической поддержкой	Нужно связаться с технической поддержкой	Нужно связаться с технической поддержкой	Нужно связаться с технической поддержкой

---

Вывод

— полезный инструмент для защиты приложений на облачной платформе AWS от DDoS-атак. Платформа предлагает два продукта: AWS Shield Standard (предоставляется всем клиентам системы AWS бесплатно) и AWS Shield Advanced — обеспечивает защиту более высокого уровня. Площадка успешно зарекомендовала себя на мировом рынке. Среди клиентов — букмекерская контора William Hill, сервис HelloSign, игровая компания Baazi Games.

*запрещенная в РФ организация

Официальный адрес сайта —