專欄文章

提升您的企業架構韌性!解密 AWS 上的 DDoS 防禦策略

提升您的企業架構韌性!解密 AWS 上的 DDoS 防禦策略——架構實戰篇

作者:Tony Chung

在上篇「解密 AWS 上的 DDoS 防禦策略——觀念解析篇」講解何謂 DDoS 以及如何透過 AWS region 啟用 Shield standard 服務,使企業享有 DDoS 的基礎防護。除了 Shield 之外,客戶也應該對現有服務的架構進行優化,並減少及分散可能被攻擊的弱點。 AWS 上的資安防禦是層層堆疊起來的,在接下來的段落,我們將會透過以下架構圖講解 AWS 的最佳實踐如何達到 DDoS 緩解策略。
 
AWS 的最佳實踐如何達到 DDoS 緩解策略
 

基礎設施層級防禦( BP1, BP3, BP6, BP7 )

Amazon EC2 Auto Scaling group with Amazon ELB 使用者可以透過設定 Amazon CloudWatch 來監控 EC2 的 CPU、RAM、網路 I/O 數值,使 Auto Scaling group 自動進行 EC2 的數量擴展,以處理瞬間大量湧入的 DDoS 攻擊流量。

如果企業是網頁的應用程式,您可以使用 Application Load Balancer(ALB) 根據內容路由流量並指接受標準格式的請求。ALB 能夠阻止許多常見的 DDoS 攻擊,從而保護您的網頁應用程式,當檢測到 DDoS 攻擊時,ALB 底層會自動擴展以處理大量的流量。

 

透過 AWS 邊緣節點進行擴展( BP1, BP3 )

Amazon Cloudfront 能將企業的網站應用程式上的靜態檔案進行快取,使用者透過對分散在全球的節點進行資源存取的形式,大幅減少了向原站點進行存取和 TCP 連線的需求,進而保護像是 HTTP 泛洪式類型的攻擊。若企業應用並非 Cloudfront 所支援,也可以使用 AWS Global Accelerator 透過全球節點進行路由優化。

Amazon Route 53 是 AWS上可以用極高擴展的 DNS 服務,其透過隨機分片( shuffle sharding,透過 Name server 對應到不同節點達到高可用)和 anycast striping ( DNS 請求會走最佳路由)等技術,即使 DNS 服務成為 DDoS 攻擊的目標,也可以幫助使用者正常存取應用程式。

 

應用程式層級防禦( BP1, BP2, BP6 )

透過 AWS WAF,使用者可以在 Cloudfront 或是 ALB 上面配置 Web ACL 來阻擋攻擊,透過制定 Web ACL 內的規則( rule ),流量屬性的判斷,例如:特定字串、HTTP 方法,另外 WAF 也可以透過制定限制速率的規則來阻擋同一來源所造成的大量存取。一旦被 WAF 判定違反規則,用戶會收到 403 Forbidden 回應,直到用戶存取數量降到規則判定標準以下。

減少易受攻擊的弱點

Security Groups and Network Access Control Lists ( NACLs ) ( BP5 )

在 Instance 層級,透過 Security Groups,您的 EC2 可以只允許接收來自 ALB 的流量,非 ALB 的流量都拒絕存取。在 VPC 層級你可以透過 NACL 設定允許和拒絕規則,這些規則在允許/拒絕特定類型的流量 ( TCP/UDP ) 和 IP 位址/網段時提供更多控制。
 

保護您的 API Endpoints ( BP4 )

使用者可以透過 Cloudfront 結合 Amazon API Gateway,來保護 API Gateway 的 Endpoint 不會被直接存取。並透過為  REST API 中的每種方法( method )設定標准或突發速率限制,保護您的後端免受過多流量而受到影響。


您的雲端架構健全了嗎?讓 CKmates 助您一臂之力
許多企業會透過滲透測試或是弱點掃描這類型的方法進行年度資安演練,並認為這樣就足夠了,然而,由於不斷變化的商業環境和技術,企業的 IT 架構也需要不斷地調整和優化,以確保架構能保持彈性來防禦外在攻擊。

CKmates 為 AWS Well-Architected 計畫合作夥伴,能夠協助客戶的 AWS 架構符合最佳實踐。CKmates 的架構師專業團隊可以評估企業的 IT 架構,檢查基礎設施、安全、網路和可擴展性等方面發現潛在的問題,並提供改進建議以提高架構的可靠性和韌性。


CKmates解決方案:
雲端架構優化


 

最新文章

加入 Line 好友 加入 Line 好友 歡迎來聊聊 寄信給我們 訂閱電子報
joinline