如何使用 Shield Standard 防禦 DDoS 攻擊？

簡短說明

AWS Shield Standard 預設對您的 AWS 帳戶啟用，且不會產生額外費用。以下服務具備「一律啟用」的 Shield Standard 緩解機制，可防護常見的網路層與傳輸層攻擊：

• Amazon CloudFront 用於 HTTP 與 gRPC 遠端程序呼叫工作負載
• Amazon Route 53 用於 DNS

解決方法

若要使用 Shield Standard 防護應用程式免於 DDoS 攻擊，最佳實務是依循以下應用程式架構指引：

• 使用設計為可擴展的服務。
• 降低攻擊面。
• 偵測並篩選惡意流量。
• 監控應用程式行為。
• 建立 DDoS 攻擊的因應計畫。

使用可設計為擴展的服務

依以下最佳實務設計以因應大規模流量：

• 在 AWS 網路的邊緣使用 CloudFront、Global Accelerator 與 Route 53 保護應用程式。
• 使用 Elastic Load Balancing 發佈流量，並針對 Application Load Balancer 以 [容量保留](http://Capacity reservations for your Application Load Balancer) 保留最低容量。
• 使用 Application Auto Scaling 依需求進行水平或垂直擴展，該服務可與多個服務整合。

降低攻擊面

依以下最佳實務降低攻擊面：

• 限制對 CloudFront 原始伺服器的存取。對於 Amazon S3 原始伺服器，使用原始存取控制 (OAC)。對於 Elastic Load Balancer、Network Load Balancer 或 EC2 執行個體的原始伺服器，使用 VPC 原始伺服器。若目前未搭配 VPC 原始伺服器而使用 CloudFront 管理的首碼清單，請實作 VPC 原始伺服器。
• 為確保只有預期的流量能到達應用程式，請使用網路存取控制清單 (網路 ACL) 與安全群組。
• 為降低惡意流量到達應用程式的可能性，請勿將公有彈性 IP 位址配置給後端資源。

如需詳細資訊，請參閱攻擊面縮減。

偵測並篩選惡意流量

依以下最佳實務偵測並篩選惡意流量：

• 使用 DDoS 復原能力 - 使用 AWS WAF 防護 DDoS 殭屍網路中概述的 AWS WAF 最佳實務。
  **注意：**您必須使用 Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync 或 Amazon Cognito，才能使用 AWS WAF。
• 使用 CloudFront CDN 快取以降低可快取請求傳送至原始伺服器的數量 - 請參閱 DDoS 復原能力 - HTTP 快取的重要性超乎想像。
• 在適當情況下啟用 API Gateway 的 API 快取，並為 Amazon API Gateway REST API 的每個方法使用高載限制。

如需詳細資訊，請參閱緩解技術。

監控應用程式行為

依以下最佳實務監控應用程式行為：

• 建立 Amazon CloudWatch 儀表板，以建立應用程式關鍵指標 (例如流量模式與資源使用量) 的基準。
• 使用 [集中式日誌解決方案](http:// https//docs.aws.amazon.com/solutions/latest/centralized-logging-with-opensearch/solution-overview.html) 提升 CloudWatch 日誌的可見度。
• 設定 CloudWatch 警示，以在 DDoS 攻擊發生時自動擴展應用程式。

如需詳細資訊，請參閱監控 Application Auto Scaling。

建立 DDoS 攻擊的因應計畫

事先制定執行手冊，讓您能有效且即時回應 DDoS 攻擊。如需建立執行手冊的指引，請參閱 AWS Security Incident Response 技術指南。

如需更多關於如何防護應用程式免於 DDoS 攻擊的資訊，請參閱 AWS DDoS 復原能力最佳實務。

相關資訊

如何使用 CloudFront 與 Route 53 協助防護動態 Web 應用程式免於 DDoS 攻擊

如何使用 Route 53 與外部內容傳遞網路防護 Web 應用程式免於 DDoS 攻擊

如何使用 AWS Global Accelerator 與 AWS Shield Advanced 防護自行管理的 DNS 服務免於 DDoS 攻擊

測試與微調 AWS WAF 防護機制