Открыть сервис

AWS Shield

AWS Shield — это управляемая облачная служба защиты от распределённых атак типа «отказ в обслуживании» (DDoS-атак), предоставляемая компанией Amazon Web Services (AWS). Служба предназначена для защиты приложений и ресурсов, работающих в инфраструктуре AWS, от широкого спектра DDoS-атак, включая атаки на уровне сети (L3), транспортном уровне (L4) и прикладном уровне (L7) модели OSI. AWS Shield интегрируется с другими сервисами AWS, такими как Amazon CloudFront, Amazon Route 53 и Elastic Load Balancing (ELB), и доступен в двух уровнях: базовый (AWS Shield Standard) и расширенный (AWS Shield Advanced).

История и предпосылки создания

Развитие облачных вычислений и перенос критически важных бизнес-приложений в среду AWS привели к тому, что DDoS-атаки стали одной из основных угроз для доступности сервисов. В 2010-х годах частота и мощность DDoS-атак значительно возросли: объём трафика мог достигать нескольких терабит в секунду. AWS, как крупнейший провайдер облачных услуг, столкнулся с необходимостью предоставить клиентам встроенные средства защиты, не требующие сложной настройки сторонних решений.

Первая версия AWS Shield была анонсирована в 2016 году на конференции AWS re:Invent. Изначально служба предлагала только базовый уровень защиты (Standard), который автоматически включался для всех пользователей AWS. В декабре 2016 года был запущен уровень Advanced, предоставляющий расширенные возможности, включая круглосуточную поддержку экспертов по безопасности и финансовую защиту от расходов, связанных с масштабированием ресурсов во время атаки.

Архитектура и принцип работы

AWS Shield работает на основе глобальной инфраструктуры AWS, включая сеть доставки контента (CDN) Amazon CloudFront и систему DNS-маршрутизации Amazon Route 53. Защита реализуется на нескольких уровнях:

Обнаружение аномалий

Служба постоянно анализирует сетевой трафик, проходящий через точки присутствия AWS (Edge Locations). Для обнаружения аномалий используются алгоритмы машинного обучения, которые сравнивают текущие паттерны трафика с историческими данными. Система способна выявлять как синхронные атаки (например, SYN-flood), так и атаки на прикладном уровне (HTTP-flood, DNS-амплификация).

Фильтрация трафика

При обнаружении подозрительной активности AWS Shield автоматически активирует правила фильтрации. В базовом уровне (Standard) фильтрация осуществляется на основе сигнатур известных атак и географического происхождения трафика. Расширенный уровень (Advanced) добавляет возможность создания пользовательских правил и интеграции с AWS WAF (Web Application Firewall) для блокировки сложных атак на уровне приложений.

Масштабирование и отказоустойчивость

Инфраструктура AWS спроектирована с учётом высокой нагрузки. Во время DDoS-атаки система автоматически распределяет трафик между несколькими точками присутствия, что позволяет поглощать значительные объёмы вредоносного трафика без деградации производительности легитимных запросов.

Уровни защиты

AWS Shield Standard

Базовый уровень предоставляется всем клиентам AWS бесплатно и включается по умолчанию. Он обеспечивает защиту от наиболее распространённых DDoS-атак, таких как SYN-flood, UDP-flood и ICMP-flood. Стандартная защита использует глобальную сеть AWS для поглощения трафика, но не предоставляет детализированных отчётов или возможности настройки правил. Максимальный объём атаки, который может быть поглощён, ограничен пропускной способностью конкретного сервиса (например, Amazon CloudFront или ELB).

AWS Shield Advanced

Расширенный уровень является платной услугой (стоимость — около 3000 долларов США в месяц за аккаунт, плюс плата за защищённые ресурсы). Он включает все функции Standard, а также:

Применение и сценарии использования

AWS Shield применяется в различных отраслях, где требуется высокая доступность онлайн-сервисов:

Критика и ограничения

Несмотря на широкие возможности, AWS Shield Advanced имеет ряд недостатков:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →