决定是否订阅 AWS Shield Advanced 和应用其他保护 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

决定是否订阅 AWS Shield Advanced 和应用其他保护

请查看本节中的场景,以帮助决定哪些账户应订阅 AWS Shield Advanced 以及在何处应用其他保护。使用 Shield Advanced,您只需为整合账单账户下创建的所有账户支付月度订阅费,外加根据传出的数据量 GB 计算的使用费。有关 Shield Advanced 定价的信息,请参阅 AWS Shield Advanced 定价

要使用 Shield Advanced 保护应用程序及其资源,您需要将管理该应用程序的账户订阅到 Shield Advanced,然后为应用程序的资源添加保护。有关订阅账户和保护资源的信息,请参阅 设置 AWS Shield Advanced

Shield Advanced 订阅和 AWS WAF 费用

您的 Shield Advanced 订阅涵盖了为您使用 Shield Advanced 保护的资源使用标准 AWS WAF 功能的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用包括每个保护包(web ACL)的费用、每条规则的费用以及每百万个 web 请求检查的基本价格,最多 1500 个 WCU,不超过默认正文大小。

启用 Shield Advanced 自动应用程序层 DDoS 缓解会向使用 150 个保护包(web ACL)容量单位(WCU)的 web ACL 中添加一个规则组。这些 WCU 会计入保护包(web ACL)中的 WCU 使用量。有关更多信息,请参阅使用 Shield Advanced 自动化应用程序层 DDoS 缓解 使用 Shield Advanced 规则组保护应用程序层AWS WAF 中的 Web ACL 容量单位(WCU)数

您的 Shield Advanced 订阅不包括对未使用 Shield Advanced 进行保护的资源使用 AWS WAF。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括机器人控制功能、CAPTCHA 规则操作、使用 1500 个以上 WCU 的 web ACL 以及检查超出默认正文大小的请求正文的成本。AWS WAF 定价页面上提供了完整的列表。您对 Shield Advanced 的订阅包括对第 7 层反 DDoS 防护 Amazon 托管规则组的访问权限。作为订阅的一部分,您将在一个日历月内收到最多 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。

有关完整信息和定价示例,请参阅 Shield 定价AWS WAF 定价

Shield Advanced 订阅账单

如果您是 AWS 渠道经销商,请与您的客户团队联系以获取信息和指导。此账单信息适用于非 AWS 渠道经销商的客户。

对于所有其他订阅和计费指南,则适用以下订阅和计费指南:

  • 对于属于 AWS Organizations 组织成员的账户,无论付款人账户本身是否已订阅,AWS 都要从该组织的付款人账户中扣除 Shield Advanced 订阅费用。

  • 当您订阅属于同一个AWS Organizations整合账单账户系列的多个账户时,该系列中所有已订阅的账户适用一个订阅价格。组织必须拥有其所有 AWS 账户 和所有资源。

  • 当您为多个组织订阅多个账户时,如果您拥有所有组织、账户和资源,您可以用一笔订阅费支付所有组织、账户和资源的费用。请联系您的客户经理或 AWS 支持人员,申请免除除一个组织以外的所有组织的 AWS Shield Advanced 订阅费用。

有关定价信息和示例的详细信息,请参阅 AWS Shield 定价

确定要保护的应用程序

考虑为需要以下任何一项的应用程序实施 Shield Advanced 保护:

  • 保证应用程序用户的可用性。

  • 如果应用程序受到 DDoS 攻击的影响,可以快速联系 DDoS 缓解专家。

  • AWS 意识到应用程序可能受到 DDoS 攻击的影响,AWS 并向您的安全或运营团队发出攻击通知并升级到您的安全或运营团队。

  • 云成本的可预测性,包括 DDoS 攻击何时影响您的 AWS 服务使用。

如果应用程序或其资源需要上述任何一项,请考虑为相关账户创建订阅。

确定要保护的资源

对于每个订阅的账户,可以考虑为每个具有以下任一特征的资源添加 Shield Advanced 保护:

  • 该资源为互联网上的外部用户提供服务。

  • 该资源暴露在互联网上,也是关键应用程序的一部分。考虑每一个暴露的资源,无论您是否打算让互联网上的用户访问这些资源。

  • 该资源受到 AWS WAF web ACL 的保护。

要了解有关为资源创建和管理保护措施的更多信息,请参阅 AWS Shield Advanced 中的资源保护

此外,请按照本指南中的建议进行操作,以帮助确保您的应用程序能够实现 DDoS 弹性,并正确配置 Shield Advanced 的功能以获得最佳保护。