AWS安全防护三重奏:Shield、WAF与Firewall Manager深度解析

本文详细对比了AWS三大核心安全服务:Shield(DDoS防护)、WAF(Web应用防火墙)和Firewall Manager(集中式防火墙管理)。文章深入剖析了各自的功能特点、防护层级(OSI模型第3、4、7层)、适用场景、成本结构以及如何根据组织规模和需求进行组合选择。

如何选择?AWS Shield vs WAF vs Firewall Manager

应用程序所有者必须确保信息的安全交换,并能抵御各种安全威胁和攻击。为了保护应用程序免受不必要和恶意的互联网流量影响,AWS提供了三项服务:Shield、Web应用程序防火墙(WAF)和Firewall Manager。

这些AWS服务组合起来,能够在OSI模型的第3、4和7层提供防护。它们覆盖了多种AWS服务,例如CloudFront、Route53、Global Accelerator、API Gateway、Elastic Load Balancing(ELB)和Elastic Compute Cloud(EC2)等。这包括防御DDoS攻击、恶意HTTP和HTTPS请求,以及简化在拥有众多AWS账户和资源的组织中配置的自动化和发布。

什么是AWS Shield?

AWS Shield保护AWS组件免受DDoS攻击。这类攻击会产生大量人为生成的请求,以中断公共应用程序的运行。Shield有两种版本:标准版和高级版。

AWS Shield标准版

AWS Shield标准版在CloudFront、Route 53和Global Accelerator中默认启用,无需额外费用。

AWS Shield标准版提供针对某些攻击的防护,但缺乏自定义配置的灵活性。Shield Advanced可与AWS WAF服务集成,以配置特定的防护规则。它还可以防护因DDoS攻击导致使用量增加而产生的额外AWS费用。受影响的客户可以申请积分。

AWS Shield高级版

AWS Shield高级版可用于CloudFront、Route 53和Global Accelerator,以及ELB、弹性IP和EC2。

AWS Shield高级版的费用为每月3,000美元,并要求承诺1年的订阅期。它提供对AWS Shield响应团队的访问权限,这是一个24/7的紧急支持小组,但仅限于同时拥有具有企业级或商业级支持的AWS Premium Support的AWS账户(这些支持计划根据每月AWS账单有额外费用)。

还有额外的数据传输费用,具体金额取决于受保护资源的类型和传输的数据量(例如,<100 TB、400 TB和500 TB)。根据受保护资源的类型,在最初的100 TB范围内,Shield Advanced的数据传输费用对于传输的1 TB数据可能在25美元到50美元之间。这是对每个受保护资源适用的数据传输费用的附加费用。每月费用适用于每个AWS组织。因此,在一个组织内跨多个AWS账户的部署只需支付单一费用。

虽然Shield标准版防御第3层和第4层的攻击,但Shield高级版扩展了支持的AWS服务数量,并与WAF集成,以提供针对第7层攻击的防护。

什么是AWS WAF?

Web应用程序防火墙服务专注于第7层防护。WAF的可配置功能集可实时检测并阻止试图到达您应用程序的特定流量模式。它与CloudFront分发、应用程序负载均衡器、Cognito用户池、AWS Verified Access实例、AppSync GraphQL API和API Gateway REST API交互。可以配置WAF来检测来自以下来源的流量:

  • 特定IP地址。
  • 跨站脚本(XSS)。
  • SQL注入攻击。
  • 特定IP范围或来源国家/地区。
  • 超过基于速率的规则的IP地址。
  • 请求体、路径、JA3/JA4指纹、查询、请求头和cookie中的内容模式。

借助Firewall Manager,应用程序所有者可以配置适用于AWS组织内所有账户的规则。当传入流量匹配任何已配置的规则时,WAF可以拒绝请求、返回自定义响应,或者仅创建指标来监控适用的请求。AWS Marketplace中也提供了额外的规则。

它有两个主要功能:

  • AWS WAF Bot Control:提供专注于识别并针对遵循常见机器人常用模式的请求采取措施的规则。它也可以配置为允许来自搜索引擎或正常运行状态监控工具的流量。对于常见的机器人流量,其成本为每评估100万次请求1美元。针对特定机器人的规则,每检查100万次请求的费用为10美元。
  • AWS WAF Fraud Control:保护登录和用户创建页面免受欺诈请求的侵害。对于每月请求量在1万到200万次之间的部署,欺诈控制的费用可能为每分析100万次请求1,000美元。

Bot Control和Fraud Control都支持配置显示CAPTCHA验证的规则。对于Bot Control Common,每次分析10,000次尝试会产生4美元的额外费用,而Bot Control Targeted和Fraud Control没有额外费用。

WAF对每个Web访问控制列表(ACL)每月收费5美元,对Web ACL中配置的每条规则每月收费1美元。一个Web ACL可以与多个资源关联;详情请查看文档。

WAF每处理100万次请求收费0.60美元。例如,一个每秒处理10个请求的应用程序每月大约花费15美元。此外,还要加上与规则数量和Web ACLs相关的任何费用。

什么是AWS Firewall Manager?

AWS Firewall Manager旨在实现跨多个AWS账户和资源的集中管理。它支持以下服务:

  • WAF。
  • Shield Advanced。
  • 网络防火墙。
  • VPC安全组。
  • Route 53 Resolver DNS防火墙。

通过Firewall Manager,应用程序所有者可以配置适用于所有账户的规则。所有者可以为账户或组织内特定类型的所有资源配置规则,例如将规则应用于所有CloudFront分发。它还支持基于资源标签应用配置。当您向账户添加新资源时,可以自动为其分配特定的保护规则,这通过简化和自动化跨一个或多个AWS账户中的多个AWS资源配置关键保护功能来增强安全性。

大型组织有时难以保护其不断增长的配置和资源数量,Firewall Manager可协助解决此问题。它对每个区域每个配置的策略每月收费100美元。此外,还要加上与创建的资源(如WAF webACLs、WAF规则、AWS Config规则等)相关的任何费用。拥有Shield Advanced的客户可以配置Firewall Manager,而无需为每个策略支付额外费用。

结合使用AWS Shield Standard和WAF是小型或中型部署的绝佳选择。AWS Shield Advanced和Firewall Manager与WAF结合,是大型部署的合适选择。

如何确定哪种工具适合您的组织

虽然这三项云安全服务都为大多数AWS云部署提供了非常重要的功能,但评估它们是否适合特定的应用程序需求非常重要。受保护的OSI层是需要评估的一个重要领域,以及在特定应用程序中需要保护的服务。

成本也是一个重要因素,特别是对于AWS Shield Advanced,考虑到其每月3,000美元的费用和所需的1年承诺期。拥有众多账户和云资源的大型组织确实应该考虑像Firewall Manager这样的服务,因为它简化了许多云组件的管理。

鉴于安全在现代云部署中具有高度优先性,强烈建议评估这些AWS安全服务,并根据特定的应用程序和合规性要求进行配置。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次