如何使用 Shield Standard 防禦 DDoS 攻擊？

2 分的閱讀內容

我想要使用 AWS Shield Standard 保護應用程式免受分散式拒絕服務 (DDoS) 攻擊。

簡短說明

AWS Shield Standard 預設對您的 AWS 帳戶啟用，且不會產生額外費用。以下服務具備「一律啟用」的 Shield Standard 緩解機制，可防護常見的網路層與傳輸層攻擊：

若要使用 Shield Standard 防護應用程式免於 DDoS 攻擊，最佳實務是依循以下應用程式架構指引：

依以下最佳實務設計以因應大規模流量：

在 AWS 網路的邊緣使用 CloudFront、Global Accelerator 與 Route 53 保護應用程式。
使用 Elastic Load Balancing 發佈流量，並針對 Application Load Balancer 以 [容量保留](http://Capacity reservations for your Application Load Balancer) 保留最低容量。
使用 Application Auto Scaling 依需求進行水平或垂直擴展，該服務可與多個服務整合。

依以下最佳實務降低攻擊面：

限制對 CloudFront 原始伺服器的存取。對於 Amazon S3 原始伺服器，使用原始存取控制 (OAC)。對於 Elastic Load Balancer、Network Load Balancer 或 EC2 執行個體的原始伺服器，使用 VPC 原始伺服器。若目前未搭配 VPC 原始伺服器而使用 CloudFront 管理的首碼清單，請實作 VPC 原始伺服器。
為確保只有預期的流量能到達應用程式，請使用網路存取控制清單 (網路 ACL) 與安全群組。
為降低惡意流量到達應用程式的可能性，請勿將公有彈性 IP 位址配置給後端資源。

如需詳細資訊，請參閱攻擊面縮減。

依以下最佳實務偵測並篩選惡意流量：

使用 DDoS 復原能力 - 使用 AWS WAF 防護 DDoS 殭屍網路中概述的 AWS WAF 最佳實務。
**注意：**您必須使用 Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync 或 Amazon Cognito，才能使用 AWS WAF。
使用 CloudFront CDN 快取以降低可快取請求傳送至原始伺服器的數量 - 請參閱 DDoS 復原能力 - HTTP 快取的重要性超乎想像。
在適當情況下啟用 API Gateway 的 API 快取，並為 Amazon API Gateway REST API 的每個方法使用高載限制。

如需詳細資訊，請參閱緩解技術。

依以下最佳實務監控應用程式行為：

建立 Amazon CloudWatch 儀表板，以建立應用程式關鍵指標 (例如流量模式與資源使用量) 的基準。
使用 [集中式日誌解決方案](http:// https//docs.aws.amazon.com/solutions/latest/centralized-logging-with-opensearch/solution-overview.html) 提升 CloudWatch 日誌的可見度。
設定 CloudWatch 警示，以在 DDoS 攻擊發生時自動擴展應用程式。

如需詳細資訊，請參閱監控 Application Auto Scaling。

事先制定執行手冊，讓您能有效且即時回應 DDoS 攻擊。如需建立執行手冊的指引，請參閱 AWS Security Incident Response 技術指南。

如需更多關於如何防護應用程式免於 DDoS 攻擊的資訊，請參閱 AWS DDoS 復原能力最佳實務。