如何使用 Shield Standard 防禦 DDoS 攻擊?

2 分的閱讀內容
0

我想要使用 AWS Shield Standard 保護應用程式免受分散式拒絕服務 (DDoS) 攻擊。

簡短描述

AWS Shield Standard 是一種受管的威脅防護服務,可保護應用程式的周邊免受攻擊。Shield Standard 提供自動威脅防護,無需額外付費。您可以使用 Shield Standard 來保護您在 AWS 網路邊緣使用 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 的應用程式。這些 AWS 服務可獲得保護,免受來自所有已知網路和傳輸層的攻擊。若要防禦第 7 層的 DDoS 攻擊,您可以使用 AWS WAF

若要使用 Shield Standard 保護您的應用程式免受 DDoS 攻擊,最佳實務是針對您的應用程式架構遵循以下準則:

  • 減少攻擊區域表面
  • 為擴展和吸收攻擊做好準備
  • 保護暴露的資源
  • 監控應用程式行為
  • 建立攻擊計畫

解決方法

減少攻擊區域表面

如需詳細資訊,請參閱減少受攻擊面

為擴展和吸收 DDoS 攻擊做好準備

如需詳細資訊,請參閱風險降低技術

保護暴露的資源

  • 在區塊模式下使用以速率為基礎的規則設定 AWS WAF,以防範大量請求攻擊。
    **注意:**您必須將 CloudFront、Amazon API Gateway、Application Load Balancer 或 AWS AppSync 設定為使用 AWS WAF。
  • 使用 CloudFront 地理限制可阻止來自不希望在其中存取內容的國家/地區的使用者。
  • 搭配 Amazon API Gateway REST API,對每種方法使用爆量限制,以保護您的 API 端點不被請求所淹沒。
  • 原始存取身分 (OAI) 與您的 Amazon Simple Storage Service (Amazon S3) 儲存貯體搭配使用。
  • 將 API 金鑰設定為每個傳入請求的 X-API 金鑰標頭,以防止您的 Amazon API Gateway 直接存取。

監控應用程式行為

如需詳細資訊,請參閱 AWS Application Auto Scaling 監控

建立 DDoS 攻擊計畫

  • 提前開發執行手冊,以便有效、及時地回應 DDoS 攻擊。如需建立執行手冊的指引,請參閱 AWS 安全事件回應指南。您也可以檢閱此範例執行手冊
  • 在受到 DDoS 攻擊的影響期間,使用 aws-lambda-shield-engagement 指令碼快速記錄 AWS Support 的票證。
  • Shield Standard 提供保護,防止基礎設施型 DDoS 攻擊 OSI 模型的第 3 層和第 4 層。若要防禦第 7 層的 DDoS 攻擊,您可以使用 AWS WAF

如需有關如何保護應用程式免受 DDoS 攻擊的詳細資訊,請參閱 AWS DDoS 彈性的最佳實務

相關資訊

如何使用 CloudFront 和 Route 53 協助保護動態 Web 應用程式免受 DDoS 攻擊

如何使用 Route 53 和外部內容交付網路保護 Web 應用程式免受 DDoS 攻擊

如何使用 AWS Global Accelerator 和 AWS Shield Advanced 保護自我管理的 DNS 服務免受 DDoS 攻擊

測試和調校 AWS WAF 保護

如何模擬 DDoS 攻擊以測試 Shield Advanced?

AWS 官方
AWS 官方已更新 1 年前