我必须配置AWS Shield标准吗?
我想用aws提供的最佳实践来保护基础设施,所以我配置了一些服务,如cloudfront或beanstalk, Api网关默认它们的工具使用aws shield?
你什么都不用做。如本文所述,它会在您的帐户中自动启用。
默认情况下,所有AWS资源和帐户都启用AWS Shield标准。你不需要为此做任何事。但是,与shield advanced subscription相比,shield standard只能提供有限的保护。
阅读更多关于标准和高级屏蔽的信息。
https://aws.amazon.com/shield/features/
如果您有一个网站,您可以通过使用CloudFront进行网站交付和Route53进行DNS来"主动"使用Shield Standard,这两种方法都具有针对L3/4攻击的"始终在线"缓解措施。
对于使用基于速率规则的AWS WAF在'Block'模式下进行L7 DDoS保护的网站,请启用缓存在CloudFront上获取静态资源。设计你的网站,使页面(特别是'/' URI[1])是可缓存的。
同样使用AWS WAF使用Amazon Managed Rule-groups[2],特别是IP信誉和匿名列表(尽管要注意托管提供商列表-它会阻止客户端使用非基于AWS的SaaS网络出口提供商)。
如果您有一个非web应用程序,请使用全局加速器(和R53)来获得最佳的Shield标准保护。
[1] '/'是Request Flood DDoS攻击中最常见的攻击URI
[2] https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html