Fitur AWS Shield
Mengapa AWS Shield?
AWS Shield melindungi jaringan dan aplikasi dengan mengidentifikasi masalah konfigurasi keamanan jaringan serta melindungi aplikasi dari eksploitasi web aktif dan peristiwa penolakan layanan terdistribusi (DDoS). AWS Shield melakukannya dengan menawarkan dua kemampuan utama:
Network security director AWS Shield (dalam pratinjau) melakukan analisis terhadap sumber daya untuk membantu Anda memvisualisasikan topologi jaringan, mengidentifikasi masalah konfigurasi, dan menerima rekomendasi remediasi yang dapat ditindaklanjuti.
AWS Shield Advanced menawarkan perlindungan DDoS terkelola untuk mitigasi otomatis terus-menerus terhadap peristiwa DDoS canggih untuk meminimalkan waktu henti dan latensi aplikasi. Anda dapat menyesuaikan strategi perlindungan DDoS menggunakan kontrol keamanan khusus aplikasi dan panduan ahli dari Tim Respons Shield selama insiden DDoS aktif.
AWS Shield Standard
Buka semua
Semua pelanggan AWS mendapatkan manfaat dari prediksi otomatis AWS Shield Standard tanpa biaya tambahan. AWS Shield Standard memberikan pertahanan terhadap peristiwa DDoS jaringan dan lapisan transportasi yang paling umum dan sering terjadi yang menyasar situs web atau aplikasi Anda. Ketika menggunakan AWS Shield Standard dengan Amazon CloudFront dan Amazon Route 53, Anda menerima perlindungan ketersediaan yang komprehensif terhadap semua peristiwa infrastruktur (Lapisan 3 dan 4) yang diketahui.
AWS Shield Standard menyediakan pemantauan aliran jaringan selalu aktif yang memeriksa lalu lintas masuk ke layanan AWS dan menerapkan kombinasi tanda tangan lalu lintas, algoritma anomali, dan teknik analisis lainnya untuk mendeteksi lalu lintas berbahaya secara real-time. Shield Standard menetapkan ambang batas statis untuk setiap tipe sumber daya AWS, tetapi tidak memberikan perlindungan khusus untuk aplikasi Anda.
Teknik mitigasi otomatis dibangun ke dalam AWS Shield Standard untuk memberikan perlindungan layanan AWS mendasar terhadap serangan infrastruktur yang umum dan paling sering terjadi. Mitigasi otomatis diterapkan secara inline untuk melindungi layanan AWS sehingga tidak ada dampak latensi. Shield Standard menggunakan teknik seperti, pemfilteran paket deterministik dan pembentukan lalu lintas berbasis prioritas, untuk memitigasi serangan lapisan jaringan dasar secara otomatis.
AWS Shield Advanced
Buka semuaUntuk tingkat perlindungan yang lebih tinggi terhadap serangan yang menyasar aplikasi Anda yang berjalan di sumber daya Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, dan Amazon Route 53, Anda dapat berlangganan AWS Shield Advanced. Selain perlindungan lapisan jaringan dan transportasi yang hadir di tingkat Standard, Shield Advanced menyediakan deteksi dan mitigasi tambahan terhadap serangan DDoS yang besar dan canggih, visibilitas serangan mendekati real-time, dan integrasi dengan AWS WAF, firewall aplikasi web. Shield Advanced juga memberi Anda akses 7x24 jam ke Tim Respons AWS Shield (SRT) dan perlindungan terhadap lonjakan terkait DDoS untuk biaya EC2, ELB, CloudFront, Global Accelerator, dan Route 53 Anda.
AWS Shield Advanced menyediakan deteksi khusus berdasarkan pola lalu lintas ke sumber daya alamat IP Elastis, ELB, CloudFront, Global Accelerator, dan Route 53 yang dilindungi. Shield Advanced mendeteksi dan memberi tahu Anda tentang serangan DDoS yang lebih kecil menggunakan teknik pemantauan khusus wilayah dan sumber daya tambahan. Shield Advanced juga mendeteksi serangan lapisan aplikasi, seperti banjir HTTP atau banjir kueri DNS, dengan membuat baseline lalu lintas pada aplikasi Anda dan mengidentifikasi anomali.
AWS Shield Advanced menggunakan kondisi aplikasi Anda untuk meningkatkan respons dan akurasi dalam deteksi dan mitigasi serangan. Anda dapat menentukan pemeriksaan kondisi di Route 53 dan mengaitkannya dengan sumber daya yang dilindungi oleh Shield Advanced melalui konsol atau API. Tindakan ini memungkinkan Shield Advanced mendeteksi serangan yang memengaruhi kondisi aplikasi Anda secara lebih cepat dan pada ambang batas lalu lintas yang lebih rendah, sehingga meningkatkan ketahanan DDoS aplikasi Anda dan mencegah pemberitahuan positif palsu. Status kondisi sumber daya juga tersedia untuk SRT sehingga mereka dapat dengan tepat memprioritaskan respons terhadap aplikasi yang tidak sehat. Anda dapat menerapkan deteksi berbasis kondisi ke semua tipe sumber daya yang didukung Shield Advanced: IP Elastis, ELB, CloudFront, Global Accelerator, dan Route 53.
AWS Shield Advanced memberikan mitigasi otomatis yang lebih canggih untuk peristiwa yang menyasar aplikasi Anda yang berjalan di sumber daya EC2, ELB, CloudFront, Global Accelerator, dan Route 53 yang dilindungi. Dengan menggunakan teknik perutean tingkat lanjut, Shield Advanced secara otomatis melakukan deployment kapasitas mitigasi tambahan untuk melindungi aplikasi Anda dari peristiwa DDoS. Untuk pelanggan dengan dukungan Business atau Enterprise, SRT juga menerapkan mitigasi manual untuk peristiwa DDoS yang lebih kompleks dan canggih yang mungkin unik bagi aplikasi Anda. Untuk peristiwa lapisan aplikasi, Anda dapat menggunakan grup AWS Managed Rule perlindungan lapisan aplikasi (L7) terhadap DDoS AWS WAF yang disertakan dalam langganan AWS Shield Advanced. Grup aturan ini dirancang untuk secara otomatis mendeteksi dan memitigasi peristiwa DDoS lapisan aplikasi dalam hitungan detik. Sebagai bagian dari langganan Anda, Anda akan mendapatkan hingga 50 miliar permintaan AWS WAF dalam satu bulan kalender per akun pembayar yang berlangganan ke sumber daya yang dilindungi oleh WAF. Lalu lintas yang terdeteksi oleh AMR ini sebagai DDoS tidak dihitung dalam kuota 50 miliar selama tidak berada dalam mode hitungan. Permintaan di atas 50 miliar akan ditagih sesuai halaman harga AWS Shield Advanced. Anda juga dapat terlibat langsung dengan SRT untuk menempatkan aturan AWS WAF kustom atas nama Anda sebagai respons terhadap serangan DDoS lapisan aplikasi. SRT akan mendiagnosis peristiwa dan, dengan izin Anda, menerapkan mitigasi atas nama Anda sehingga mengurangi frekuensi terdampaknya aplikasi oleh serangan DDoS yang sedang berlangsung.
AWS Shield Advanced dapat melindungi aplikasi web secara otomatis dengan memitigasi peristiwa DDoS lapisan aplikasi (L7) tanpa memerlukan intervensi manual oleh Anda atau AWS SRT. Aturan AWS WAF dibuat di WebACL Anda untuk memitigasi peristiwa secara otomatis, atau Anda dapat mengaktifkannya dalam mode hitung saja. Tindakan ini memungkinkan Anda merespons peristiwa DDoS dengan cepat untuk mencegah waktu henti aplikasi akibat serangan DDoS lapisan aplikasi.
AWS Shield Advanced menawarkan keterlibatan proaktif dari SRT ketika peristiwa DDoS terdeteksi. Saat Anda mengaktifkan keterlibatan proaktif, SRT akan langsung menghubungi Anda jika pemeriksaan kondisi Route 53 terkait sumber daya Anda yang dilindungi menjadi tidak sehat selama peristiwa DDoS. Tindakan ini memungkinkan Anda terlibat dengan para ahli lebih cepat ketika ketersediaan aplikasi Anda dipengaruhi oleh dugaan serangan. Anda dapat menerima keterlibatan proaktif untuk peristiwa lapisan jaringan dan lapisan transportasi pada alamat IP Elastis dan akselerator Global Accelerator, serta untuk serangan lapisan aplikasi pada distribusi CloudFront dan Penyeimbang Beban Aplikasi.
AWS Shield Advanced memungkinkan Anda menggabungkan sumber daya ke dalam grup perlindungan, yang memberi Anda cara layanan mandiri untuk menyesuaikan cakupan deteksi dan mitigasi bagi aplikasi Anda dengan memperlakukan beberapa sumber daya sebagai satu unit. Pengelompokan sumber daya meningkatkan akurasi deteksi, mengurangi positif palsu, memudahkan perlindungan otomatis sumber daya yang baru dibuat, dan mempercepat waktu untuk memitigasi serangan terhadap beberapa sumber daya. Misalnya, jika aplikasi terdiri dari empat distribusi CloudFront, Anda dapat menambahkannya ke satu grup perlindungan untuk menerima deteksi dan perlindungan bagi sekumpulan sumber daya secara keseluruhan. Pelaporan juga dapat dikonsumsi di tingkat grup perlindungan sehingga memberikan pandangan yang lebih menyeluruh tentang kondisi aplikasi secara keseluruhan.
AWS Shield Advanced memberi Anda visibilitas penuh atas peristiwa DDoS dengan pemberitahuan yang mendekati real-time melalui Amazon CloudWatch dan diagnostik terperinci di konsol atau API AWS WAF dan AWS Shield. Anda juga dapat melihat ringkasan serangan sebelumnya dari konsol. Saat Anda menggunakan Managed Rule perlindungan lapisan aplikasi (L7) terhadap DDoS untuk AWS WAF, Anda mendapatkan visibilitas atas peristiwa DDoS yang dilindungi oleh grup aturan ini di konsol AWS WAF.
AWS Shield Advanced dilengkapi dengan perlindungan biaya DDoS untuk melindungi dari biaya penskalaan akibat lonjakan penggunaan terkait DDoS pada sumber daya EC2, ELB, CloudFront, Global Accelerator, dan Route 53 yang dilindungi. Jika salah satu sumber daya yang dilindungi ini menaikkan skala sebagai respons terhadap serangan DDoS, Anda dapat meminta kredit layanan Shield Advanced melalui saluran Dukungan AWS reguler.
Untuk pelanggan dengan paket dukungan Business atau Enterprise, AWS Shield Advanced memberi Anda akses 7x24 jam ke SRT yang dapat digunakan sebelum, selama, atau setelah serangan DDoS. SRT akan membantu triase insiden, mengidentifikasi akar masalah, dan menerapkan mitigasi atas nama Anda. SRT memiliki keahlian mendalam dalam merespons dan memitigasi serangan DDoS dengan cepat di seluruh pelanggan AWS.
AWS Shield Advanced tersedia secara global di semua lokasi edge CloudFront, Global Accelerator, dan Route 53. Anda dapat melindungi aplikasi web Anda yang di-host di mana saja di dunia dengan melakukan deployment CloudFront di aplikasi Anda. Server asal Anda dapat berupa Amazon Simple Storage Service (S3), EC2, ELB, atau server kustom di luar AWS. Anda juga dapat mengaktifkan perlindungan secara langsung pada IP Elastis atau instans ELB di semua AWS Region yang mendukung Shield Advanced.
Pelanggan AWS Shield Advanced dapat menggunakan AWS Firewall Manager untuk menerapkan perlindungan Shield Advanced dan AWS WAF di seluruh organisasi mereka. Biaya Firewall Manager sudah termasuk dalam biaya berlangganan Shield Advanced. Dengan menggunakan Firewall Manager, Anda dapat secara otomatis mengonfigurasi kebijakan yang mencakup beberapa akun dan sumber daya. Firewall Manager secara otomatis mengaudit akun untuk menemukan sumber daya baru atau tidak dilindungi, dan memastikan bahwa perlindungan Shield Advanced serta AWS WAF diterapkan secara universal. Tindakan ini memungkinkan pengembang bergerak cepat dan melakukan deployment aplikasi baru dengan keyakinan bahwa perlindungan yang sesuai akan diterapkan secara otomatis. Untuk mempelajari selengkapnya layanan manajemen keamanan ini, lihat AWS Firewall Manager.
Network security director AWS Shield (pratinjau)
Buka semuaDapatkan tampilan komprehensif lingkungan AWS Anda melalui topologi jaringan yang menunjukkan koneksi sumber daya, konfigurasi keamanan, dan potensi masalah keamanan secara sekilas. Tampilan ini mengelompokkan sumber daya berdasarkan tag dan pola konektivitas untuk membantu Anda memahami hubungan antara sumber daya dan keterpaparan internetnya. Ini memungkinkan Anda mengidentifikasi masalah keamanan kritis dengan cepat, mulai dari akses yang terlalu permisif hingga melindungi aplikasi terhadap ancaman, seperti injeksi SQL.
Sumber daya diberi tingkat keparahan berdasarkan temuan keamanan jaringan yang paling parah untuk membantu Anda memahami sumber daya mana di lingkungan Anda yang dikonfigurasi dengan benar sesuai dengan konteks jaringan dan praktik terbaik AWS serta intelijen ancaman. Temuan diprioritaskan berdasarkan tingkat keparahan di dasbor untuk membantu agar Anda dapat dengan mudah menentukan masalah konfigurasi mana yang memerlukan perhatian segera Anda.
Perbaiki kesalahan konfigurasi keamanan jaringan dengan cepat menggunakan layanan dan kumpulan aturan yang direkomendasikan untuk memitigasi setiap temuan. Rekomendasi diberikan sebagai petunjuk langkah demi langkah.
Analisis masalah keamanan jaringan Anda dalam bahasa alami dengan network security director AWS Shield dari Amazon Q Developer. Dengan Amazon Q, Anda dapat bertanya tentang temuan keamanan jaringan, mempelajari masalah, dan menerima rekomendasi remediasi dari Konsol Manajemen AWS dan aplikasi obrolan.
Perlindungan lapisan aplikasi (L7) terhadap DDoS
Buka semuaPerlindungan lapisan aplikasi (L7) terhadap DDoS adalah grup AWS Managed Rule yang dirancang untuk secara otomatis melindungi aplikasi dari peristiwa penolakan layanan terdistribusi (DDoS) dalam hitungan detik. Fitur ini memantau data lalu lintas untuk menetapkan baseline dalam beberapa menit setelah aktivasi, lalu memanfaatkan model machine learning untuk mendeteksi anomali dari pola lalu lintas normal. Ketika lalu lintas menyimpang dari baseline yang ditetapkan, sistem secara otomatis menerapkan aturan yang dirancang untuk membantu memblokir permintaan yang berbahaya. Fitur ini dirancang untuk memastikan aplikasi Anda di Amazon CloudFront, Penyeimbang Beban Aplikasi, dan API Gateway tetap tersedia meskipun ada peristiwa DDoS yang muncul.
Perlindungan lapisan aplikasi (L7) terhadap DDoS memungkinkan Anda melindungi aplikasi tanpa perlu repot mengonfigurasi dan mengelola aturan secara manual. Fitur ini memiliki opsi yang dapat disesuaikan agar selaras dengan kebutuhan aplikasi Anda, seperti mengonfigurasi pengaturan sensitivitas aturan dan inspeksi jalur URI aplikasi tertentu.
Pelajari selengkapnya perlindungan lapisan aplikasi (L7) terhadap DDoS.
Dirancang untuk memitigasi peristiwa DDoS lapisan aplikasi yang muncul dalam hitungan detik
AWS Manage Rule untuk AWS WAF sudah dikonfigurasi untuk menghemat waktu Anda
Sesuaikan pertahanan DDoS lapisan 7 agar sesuai dengan aplikasi Anda menggunakan kontrol sensitivitas