AWS Shield
บริการป้องกันการถูกโจมตีแบบ Distributed Denial of Service (DDoS) ต่อเครือข่าย และเลเยอร์สื่อสารนำส่งข้อมูลที่พบได้ทั่วไปและอาจจะเกิดขึ้นได้บ่อยครั้ง บริการสามารถป้องกันไม่ให้เกิดความเสียหายต่อเว็บไซต์ หรือแอปพลิเคชั่นที่ทำงานบน AWS
บริการป้องกันการถูกโจมตีแบบ Distributed Denial of Service (DDoS) ต่อเครือข่าย และเลเยอร์สื่อสารนำส่งข้อมูลที่พบได้ทั่วไป และอาจจะเกิดขึ้นได้บ่อยครั้งเพื่อป้องกันไม่ให้เกิดความเสียหายต่อเว็บไซต์ หรือแอปพลิเคชั่นที่ทำงานบน AWS
ผู้ใช้งานทุกคนสามารถใช้งาน AWS Shield ขั้น Standard บนทุก AWS Region และ AWS Edge ทั่วโลกได้โดยไม่มีค่าใช้จ่ายเพิ่มเติม
Use cases
‣ จัดการ traffic อย่างมีประสิทธิภาพในเลเยอร์สื่อสารนำส่งข้อมูลโดยอัตโนมัติ
ปกป้องแอปพลิเคชัน และ API จาก SYN floods, UDP floods หรือการโจมตีแบบอื่นๆ
‣ ลด latency และช่วงแอปพลิเคชั่นหยุดการทำงานให้เหลือน้อยที่สุด
ใช้มาตรการการลดอินไลน์ เช่น การกรองแพ็กเก็ตตามกำหนด และการกำหนด traffic ตามลำดับความสำคัญเพื่อหยุดการถูกโจมตีเลเยอร์เครือข่ายพื้นฐาน เป็นต้น
‣ ตรวจสอบ และปกป้องทรัพยากรได้มากถึง 1,000 ประเภท
ใช้งานการตรวจจับ การลด หรือการป้องกันโดยอัตโนมัติสำหรับทรัพยากรแต่ละประเภทต่อบัญชี AWS
สามารถศึกษาเกี่ยวกับการป้องกัน และประเภททรัพยากรเพิ่มเติมได้จาก document
https://docs.aws.amazon.com/waf/latest/developerguide/ddos-protections-by-resource-type.html
AWS Shield: Features
Shield Standard:
ทุกบัญชีผู้ใช้งาน AWS จะได้รับป้องกันอัตโนมัติจาก AWS Shield Standard โดยไม่มีค่าใช้จ่ายเพิ่ม ป้องกันเครือข่าย และเลเยอร์สื่อสารนำส่งข้อมูลจากการโจมตี DDoS เมื่อใช้ AWS Shield Standard กับ Amazon CloudFront และ Amazon Route 53 ผู้ใช้จะได้รับการป้องกันความพร้อมใช้งานที่ครอบคลุมจากการโจมตีโครงสร้างพื้นฐานระดับทั่วไปทั้งหมด (เลเยอร์ 3 และ 4)
Shield Advanced:
ป้องกันการโจมตีในระดับที่สูงขึ้น ผู้ใช้สามารถตั้งค่าปรับแต่งการป้องกันทรัพยากร และแอปพลิเคชั่นใดๆที่ทำงานบนทรัพยากร Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator และ Amazon Route 53 ได้ตามต้องการ
นอกเหนือจากการป้องกันเครือข่าย และชั้นสื่อสารนำส่งข้อมูลที่สามารถใช้งานได้ในขั้น Standard แล้ว ผู้ใช้งาน AWS Shield Advanced ยังได้สามารถใช้งานการตรวจจับเพิ่มเติม และมาตรการการช่วยลดการโจมตี DDoS ที่มีขนาดใหญ่ และซับซ้อนยิ่งขึ้นได้ พร้อมระบบการเฝ้าระวังการโจมตีที่ทำงานร่วมกับ AWS WAF ซึ่งให้การตรวจจับข้อมูลที่ใกล้กับระยะเวลาเรียลไทม์ และไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน
สำหรับผู้ใช้งาน AWS Shield Advanced ยังสามารถเข้าถึง AWS Shield Response Team (SRT) ได้ตลอดเวลา มีมาตรการพิเศษเพื่อป้องกันงบประมาณพุ่งสูงเกินความจำเป็นเมื่อมีการปรับเปลี่ยน หรือถูกโจมตีที่เกี่ยวข้องกับ DDoS ในการเรียกเก็บเงินเพิ่มเติมสำหรับการใช้งาน EC2, ELB, CloudFront, Global Accelerator และ Route 53
Features เพิ่มเติม
‣ สแกน Buckets ของ Amazon S3 ในบัญชี AWS ได้หลายบัญชี และกำหนดขอบเขตการสแกนตาม prefix ของ object ได้
‣ การประเมินต้นทุนในรันงาน ราคาจะถูกคำนวน และส่งไปให้ผู้ใช้ตรวจสอบก่อนทำการรันจริง
‣ เมื่อ submit แล้ว การสืบค้นจะถูกสร้างขึ้นในคอนโซล Amazon Macie และส่งออกผ่าน Amazon EventBridge ข้อมูลตำแหน่ง และข้อมูลที่ละเอียดอ่อนจะรวมอยู่ในรายการการสืบค้นด้วย ซึ่งช่วยให้ผู้ใช้สามารถระบุข้อมูลที่ต้องการได้โดยใช้รายละเอียด เช่น หมายเลขบรรทัด หมายเลขหน้า ดัชนีบันทึก หรือหมายเลขของคอลัมน์ และแถวของข้อมูลในการค้นหา
Benefits of AWS Shield
Standard
‣ การตรวจสอบการรับ-ส่งข้อมูล
ตรวจสอบการรับ-ส่งข้อมูลที่เข้ามายังเครือข่าย ทำงานร่วมกับอัลกอลิทึ่มตรวจจับรูปแบบการรับ-ส่งข้อมูลผิดปกติ และเทคนิคการวิเคราะห์อื่นๆเพื่อตรวจจับข้อมูลที่อาจเป็นอันตราย
‣ ลด DDoS
ลด DDoS กว่า 99% ที่เกิดการโจมตีเลเยอร์โครงสร้างพื้นฐานที่ตรวจพบลดลงโดยอัตโนมัติภายในเวลาไม่ถึงวินาที
‣ แดชบอร์ดข้อมูลภัยคุกคามทั่วโลก
ผู้ใช้สามารถค้นหาข้อมูลทั่วไปเกี่ยวกับการโจมตี DDoS บนเครือข่าย AWS โดยการค้นหาจาก AWS Management Console ใน Global threat dashboard ส่วนกลาง
Advanced
‣ ตัววัด และรายงานแบบเรียลไทม์
ค้นหาข้อมูลเกี่ยวกับสถานะการป้องกันปัจจุบันของ DDoS ได้ตลอดเวลา ผู้ใช้ยังสามารถดูรายงานแบบเรียลไทม์ด้วยตัววัด AWS CloudWatch
‣ ควบคุมต้นทุนเมื่อปรับขนาด
บริการให้การป้องกันค่าใช้จ่ายที่อาจจะพุ่งสูงขึ้นจากการถูกโจมตี DDoS ที่ส่งผลให้มีการใช้งานบริการ AWS เพิ่มขึ้นมากขึ้นอย่างผิดปกติ
‣ การทำงานผสานกับ AWS WAF
ลดความซับซ้อนในการป้องกันการถูกโจมตีบนเครือข่าย layer 7 โดยการตั้งค่าข้อกำหนดใน AWS WAF เพื่อปิดกั้นการรับ-ส่งข้อมูลที่ไม่ดีโดยอัตโนมัติ
‣ เข้าถึงทีมช่วยเหลือ DDoS Response Team (DRT) ได้ตลอด 24 ชั่วโมง
บริการช่วยเหลือพิเศษ สนับสนุนการทำงาน และมอบเทคนิคการลดผลกระทบที่สามารถกำหนดได้เมื่อถูกโจมตี *ต้องเป็นผู้ใช้ AWS Shield ระดับ Enterprise หรือ Business Support จึงสามารถติดต่อทีม DRT ได้
AWS WAF และ AWS Shield แตกต่างกันอย่างไร
ทั้ง AWS WAF (Web Application Firewall) และ AWS Shield ต่างก็เป็นบริการที่ทำงานอยู่บนระบบสภาพแวดล้อมบริการ AWS Edge แต่ต่างทำงานป้องกัน DDoS ที่แตกต่างกัน AWS WAF ให้การป้องกันในระดับแอปพลิเคชั่น มุ่งเน้นปกป้องการทำงานบน layer 7 ส่วน AWS Shield ให้การป้องกันในชั้นเลเยอร์โครงสร้างพื้นฐานของ OSI model ป้องกัน layer 3 กับ layer 4 เป็นหลัก และให้การปกป้อง layer 7 ในระดับ advanced
AWS WAF ยังเป็นบริการที่ทำงานอยู่กับ AWS Shield Advanced หากผู้ใช้ subscription AWS Shield advanced ผู้ใช้จะได้รับสิทธิ์การใช้งาน AWS WAF ได้ฟรีโดยทันที
