如何使用 Shield Standard 防禦 DDoS 攻擊?
2 分的閱讀內容
0
我想要使用 AWS Shield Standard 保護應用程式免受分散式拒絕服務 (DDoS) 攻擊。
簡短描述
AWS Shield Standard 是一種受管的威脅防護服務,可保護應用程式的周邊免受攻擊。Shield Standard 提供自動威脅防護,無需額外付費。您可以使用 Shield Standard 來保護您在 AWS 網路邊緣使用 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 的應用程式。這些 AWS 服務可獲得保護,免受來自所有已知網路和傳輸層的攻擊。若要防禦第 7 層的 DDoS 攻擊,您可以使用 AWS WAF。
若要使用 Shield Standard 保護您的應用程式免受 DDoS 攻擊,最佳實務是針對您的應用程式架構遵循以下準則:
- 減少攻擊區域表面
- 為擴展和吸收攻擊做好準備
- 保護暴露的資源
- 監控應用程式行為
- 建立攻擊計畫
解決方法
減少攻擊區域表面
- 若要確保只有預期的流量到達您的應用程式,請使用網路存取控制清單 (網路 ACL) 和安全群組。
- 使用適用於 CloudFront 的 AWS 受管字首清單。您可以將入站 HTTP 或 HTTPS 流量限制為僅來自屬於 CloudFront 面向原始伺服器的 IP 地址。
- 在私有子網路中部署託管應用程式的後端資源。
- 為了減少惡意流量直接到達應用程式的可能性,請避免將彈性 IP 地址配置給後端資源。
如需詳細資訊,請參閱減少受攻擊面。
為擴展和吸收 DDoS 攻擊做好準備
- 保護在 AWS 網路邊緣使用 CloudFront、Global Accelerator 和Route 53 的應用程式。
- 使用 Elastic Load Balancing 吸收和分配過多的流量。
- 使用 AWS Auto Scaling 隨需水平擴展。
- 使用最佳化 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體類型,以垂直擴展應用程式。
- 在您的 Amazon EC2 執行個體上啟用增強型網路。
- 啟用 API 快取以提升回應能力。
- 優化 CloudFront 上的快取。
- 使用 CloudFront Origin Shield 進一步減少將內容快取至來源的請求。
如需詳細資訊,請參閱風險降低技術。
保護暴露的資源
- 在區塊模式下使用以速率為基礎的規則設定 AWS WAF,以防範大量請求攻擊。
**注意:**您必須將 CloudFront、Amazon API Gateway、Application Load Balancer 或 AWS AppSync 設定為使用 AWS WAF。 - 使用 CloudFront 地理限制可阻止來自不希望在其中存取內容的國家/地區的使用者。
- 搭配 Amazon API Gateway REST API,對每種方法使用爆量限制,以保護您的 API 端點不被請求所淹沒。
- 將原始存取身分 (OAI) 與您的 Amazon Simple Storage Service (Amazon S3) 儲存貯體搭配使用。
- 將 API 金鑰設定為每個傳入請求的 X-API 金鑰標頭,以防止您的 Amazon API Gateway 直接存取。
監控應用程式行為
- 建立 Amazon CloudWatch 儀表板以確定應用程式關鍵指標的基準,例如流量模式和資源使用。
- 使用集中式記錄解決方案增強 CloudWatch 日誌的可見性。
- 將 CloudWatch 警示設定為自動擴展應用程式以回應 DDoS 攻擊。
- 建立 Route 53 運作狀態檢查,以監控應用程式的運作狀態,並管理應用程式的流量容錯移轉,以回應 DDoS 攻擊。
如需詳細資訊,請參閱 AWS Application Auto Scaling 監控。
建立 DDoS 攻擊計畫
- 提前開發執行手冊,以便有效、及時地回應 DDoS 攻擊。如需建立執行手冊的指引,請參閱 AWS 安全事件回應指南。您也可以檢閱此範例執行手冊。
- 在受到 DDoS 攻擊的影響期間,使用 aws-lambda-shield-engagement 指令碼快速記錄 AWS Support 的票證。
- Shield Standard 提供保護,防止基礎設施型 DDoS 攻擊 OSI 模型的第 3 層和第 4 層。若要防禦第 7 層的 DDoS 攻擊,您可以使用 AWS WAF。
如需有關如何保護應用程式免受 DDoS 攻擊的詳細資訊,請參閱 AWS DDoS 彈性的最佳實務。
相關資訊
如何使用 CloudFront 和 Route 53 協助保護動態 Web 應用程式免受 DDoS 攻擊
如何使用 Route 53 和外部內容交付網路保護 Web 應用程式免受 DDoS 攻擊
如何使用 AWS Global Accelerator 和 AWS Shield Advanced 保護自我管理的 DNS 服務免受 DDoS 攻擊
AWS 官方已更新 2 年前
沒有評論
相關內容
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 4 年前
- AWS 官方已更新 2 年前