Amazon Shield Advanced 更新 – 自动应用程序层 DDoS 防御

前言

2016 年，我们启动了 Amazon Shield https://aws.amazon.com/cn/blogs/aws/aws-shield-protect-your-applications-from-ddos-attacks/，这是一种全托管分布式抗DDoS攻击服务，可保护在亚马逊云科技上运行的应用程序。Amazon Shield https://aws.amazon.com/cn/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc 提供了始终在线的检测和内置自动的抗击，可最大程度地减少应用程序停机时间和延迟，而无需联系 Amazon Support。

Amazon Shield 分为两个版本：标准和高级。所有亚马逊云科技客户都可免费享受 Amazon Shield Standard 自动网络层保护的益处。Amazon Shield Standard 带来的可防御最常见、最频繁发生的网络和传输层（第 3 层和第 4 层）DDoS 攻击，以最大限度地提高亚马逊云科技服务的可用性。

要针对应用程序受到的复杂（第 3 层到第 7 层）威胁提供定制防护，您可以订阅 Amazon Shield Advanced。Amazon Shield Advanced 可针对大型和复杂的 DDoS 攻击提供更敏捷的检测和定制的防护措施、对攻击近实时的可见性，并与 Amazon WAF https://aws.amazon.com/cn/waf/（用于防御第 7 层攻击的 Web 应用程序防火墙）集成。Amazon Shield Advanced 还允许您全天候访问 Secure Reliable Transport（SRT），并提供成本保护，防止 DDoS 攻击带来的扩展成本。

Amazon Shield Advanced 可为每个受保护的资源建立流量基线。与此基线的重大偏差会标记为 DDoS 事件，并通过 Amazon CloudWatch https://aws.amazon.com/cn/cloudwatch/ 触发提示。但是，抗击这些事件仍需要手动制定 Amazon WAF 规则来隔离恶意流量，通过 Amazon WAF 控制台或 API 进行部署，并评估规则的有效性。Amazon Shield Advanced 客户可以利用SRT或者依靠自己的经验创建WAF规则或依靠自己的专业知识，但此过程非常耗时，这增加了抗击 DDoS 攻击和防止对应用程序的可用性影响所需的时间。

近期，我们发布了适用于 Amazon Shield Advanced 的自动应用程序层 DDoS 防御。这是面向所有Amazon Shield Advanced 客户的一组新功能，可自动抗击可能影响应用程序可用性的恶意 Web 流量。此功能会自动创建、测试和部署 Amazon WAF 规则，以代表客户抗击第 7 层 DDoS 事件。

启用自动应用程序层 DDoS 抗击

访问 Amazon Shield 控制台 https://console.aws.amazon.com/wafv2/shieldv2#/overview，开启自动应用程序层 DDoS 抗击。要获得Amazon Shield Advanced 的益处，您必须订阅年度订阅 https://aws.amazon.com/cn/shield/pricing/。

订阅 Amazon Shield Advanced 后，可以指定要保护的资源，配置第 7 层 DDoS 防御、Amazon SRT 支持，以及Amazon CloudWatch 中的控制面板以监控 DDoS 事件。要了解详情，请参阅亚马逊云科技文档中的开启 Amazon Shield Advanced https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-ddos.html。

要启用Amazon Shield Advanced 自动应用程序层 DDoS 抗击，请选择您的第 7 层亚马逊云科技资源（例如 CloudFront），然后从下拉列表中选择配置保护。

接下来，在编辑保护中，选择是否要启用第 7 层事件自动抗击，然后选择应在自动响应中以计数模式还是阻止模式创建 WAF 规则。将 WAF 规则置于计数模式允许您在以阻止模式部署资源流量之前观察其将如何受到影响。请注意，WebACL 必须与受Amazon Shield 保护的资源相关联，才能启用自动第 7 层抗击。

抗击操作可随时更改为计数或阻止模式。导航到控制台的“事件”选项卡可查看检测到的 DDoS 事件，选择检测到的事件可查看检测、抗击和主要贡献因素指标。

如何自动抗击应用程序层 DDoS

想要保护第 7 层资源（如 CloudFront https://aws.amazon.com/cloudfront 分配）时，Amazon Shield Advanced 将为每个受保护的资源建立 30 天的流量基线。

只有启用自动抗击后，我们才会创建Amazon Shield 托管式规则组，Amazon Shield Advanced 将在其中创建亚马逊云科技WAF 规则以响应 DDoS 事件。

严重偏离既定基线的流量将标记为潜在 DDoS 事件。检测到事件后，Amazon Shield Advanced 将尝试根据问题请求模式识别签名。如果识别出签名，将创建 WAF 规则以减少具有该签名的流量。

规则一旦确认安全，就将添加到 Amazon Shield 托管式规则组中，客户可以选择是以计数模式还是阻止模式部署规则。客户还可以根据请求被阻止或计数的次数创建 CloudWatch 提示。

客户可以随时更改自动抗击所采取的操作（计数或阻止）或完全禁用该操作。Amazon Shield Advanced 将在确定事件已完全平息后自动删除 Amazon WAF 规则。要了解详情，请参阅 Amazon Shield 开发人员指南中的 Amazon Shield Advanced 自动应用程序层 DDoS 抗击。

现已推出

自动应用程序层 DDoS 抗击现已在提供 Amazon Shield Advanced 的所有亚马逊云科技区域推出，无需额外成本即可启用。

您可以将反馈发送到 Amazon Shield 的亚马逊云科技论坛 https://forums.aws.amazon.com/forum.jspa?forumID=238&start=0，或者通过常用 Amazon Support 联系人发送反馈。

本篇作者

Channy Yun

首席布道师

亚马逊云科技首席布道师，他热衷于帮助开发者在最新的亚马逊云科技服务上构建现代应用程序。

 

听说，点完下面4个按钮

就不会碰到bug了！