本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如何Amazon Shield缓解事件
保护应用程序的缓解逻辑可能因应用程序架构而异。当您使用 Amazon CloudFront 和 Amazon Route 53 保护 Web 应用程序时,您将受益于特定于 Web 和 DNS 用例的缓解措施,这些缓解措施可以保护服务的所有流量。当您的应用程序的入口点是在某个Amazon区域中运行的资源时,缓解逻辑会因服务、资源类型和您的使用情况而异Amazon Shield Advanced。
AmazonDDoS 缓解系统由 Shield 工程师开发,与Amazon服务紧密集成。工程师会考虑您的架构的各个方面,例如目标资源的容量和运行状况。Shield 工程师持续监控 DDoS 缓解系统的效率和性能,并能够在发现或预计到新的威胁时快速做出响应。
您可以构建应用程序,使其能够根据流量或负载的增加进行扩展,从而帮助确保它不受较小请求洪水的影响。如果您使用 Shield Advanced 来保护您的资源,您将获得保障,以防因 DDoS 攻击而导致云账单意外增加。
基础设施防范
对于基础设施层攻击,Amazon ShieldDDoS 缓解系统存在于Amazon网络边界和Amazon边缘位置。在整个Amazon基础架构中设置多个级别的安全控制可 defense-in-depth 为您的云应用程序提供帮助。
Shield 在互联网的所有入口处维护 DDoS 缓解系统。当 Shield 检测到 DDoS 攻击时,它会为每个入口点重新路由流量,通过位于同一位置的 DDoS 缓解系统。这不会带来任何可观察到的额外延迟,并且在所有Amazon区域和所有边缘站点提供超过 TeraBits 每秒 100 (Tbps) 的缓解容量。Shield 可以保护您的资源可用性,而无需将流量重新路由到外部或远程清理中心,这可能会增加延迟。
-
在Amazon网络边界,对于任何Amazon服务或资源,DDoS 缓解系统都能缓解来自互联网的基础设施层攻击。当Shield 探测器或Shield 响应小组 (SRT) 的工程师发出信号时,系统会执行缓解措施。
-
在Amazon边缘站点,DDoS 缓解系统会持续检查转发到 Amazon CloudFront 分配和 Amazon Route 53 托管区域的每个数据包,无论其来源如何。必要时,系统会应用专为 Web 和 DNS 流量设计的缓解措施。使用亚马逊 CloudFront 和亚马逊 Route 53 保护您的 Web 应用程序的另一个好处是,可以立即缓解 DDoS 攻击,无需从 Shield 检测发出信号。
应用层缓解措施
Shield Advanced 为已启用 Shield Advanced 保护的亚马逊 CloudFront 发行版和应用程序负载均衡器提供 Web 应用程序层缓解措施。启用保护时,将Amazon WAF Web ACL 与资源关联,以启用 Web 应用程序层检测。此外,您可以选择启用自动应用层缓解,这会指示 Shield Advanced 在 DDoS 攻击期间为您管理保护。
Shield 仅提供针对已启用 Shield Advanced 和自动应用层缓解的资源的应用层攻击的缓解措施。借助自动缓解功能,Shield Advanced 可通过Amazon WAF保护措施自动缓解攻击,然后在不再需要缓解措施时将其删除。有关此类缓解措施的详细信息,请参阅Shield Advanced 如何管理自动。