AWS DDoS防护最佳实践：基于 Shield、WAF与架构设计

AWS Best Practices for DDoS Resiliency是一份由AWS于2019年发布的指南，旨在帮助客户在AWS平台上建立和优化防御策略以抵御拒绝服务（DDoS）攻击。这份文档着重于利用AWS的安全服务，如Shield、网络应用防火墙（WAF）、负载均衡器（ALB）、CloudFront以及Route 53等，来设计适应不同应用部署架构的防护措施。 文档首先介绍了DDoS攻击的基本概念，强调了客户在使用这些最佳实践前需自行评估其适用性。它明确指出，这份文档仅为信息参考，不构成任何承诺或法律保障，且AWS的产品和服务按现状提供，没有保证或任何形式的保修。 在文档的主体部分，分为两大部分： 1. **基础设施层攻击**：这部分讨论了针对基础设施层面的攻击，可能涉及对云基础架构的直接冲击，比如IP或端口扫描、流量洪流等。AWS建议采用BP1至BP7中的基础设施层防御技术，这可能包括设置安全组规则、流量限制、弹性IP地址和自动扩展策略等，以确保资源在受到攻击时能够自动扩展或隔离流量。 2. **应用层攻击**：这部分关注的是针对应用程序自身的攻击，例如SQL注入、跨站脚本（XSS）等。文档提供了BP1和BP2在内的应用层防御方法，可能包括配置WAF规则以检测和阻止恶意请求，同时保护API Gateway、API密钥管理以及Web服务器。 此外，文档还提倡**攻击面减小**，通过最小化暴露在外的服务和端口，降低攻击者下手的机会。以及**隐藏AWS资源**（BP1、BP4、BP5），通过混淆或加密资源标识，使攻击者难以定位到真正的目标。 在整个过程中，客户应理解AWS的角色主要是提供安全服务和技术支持，而最终的安全责任在于客户自己，根据AWS的协议条款进行操作和定制防护策略。这份指南是AWS为提升用户在面对DDoS威胁时的安全能力提供的一份实用资源。