# AWS 雲端資安防護對應表 ## WAF [AWS WAF](https://aws.amazon.com/tw/waf/faqs/) 是一種 Web 應用程式防火牆，可讓您設定規則以根據定義的條件允許、封鎖或監控 (計數) Web 請求，協助保護 Web 應用程式不受攻擊。這些條件包括 IP 地址、HTTP 標頭、HTTP 內文、URI 字串、SQL injection 和跨網站指令碼。 ## DDoS [AWS Shield](https://aws.amazon.com/tw/shield/faqs/?nc1=h_ls) 是一種代管服務，可為 AWS 上執行的 Web 應用程式防禦分散式拒絕服務 (DDoS) 攻擊。AWS Shield Standard 會自動啟用並提供給所有 AWS 客戶免費使用。AWS Shield Advanced 是選購的付費服務。 - [AWS Shield Standard](https://aws.amazon.com/tw/shield/features/#AWS_Shield_Standard) 可為所有 AWS 客戶提供保護，防禦常見且最常發生在基礎設施 (Layer 3 與 Layer 4) 的攻擊，如 SYN/UDP 泛洪、反射式攻擊等，賦予 AWS 上執行的應用程式高可用性。 - [AWS Shield Advanced](https://aws.amazon.com/tw/shield/features/#AWS_Shield_Advanced)可為您在受保護的 Amazon EC2, Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 與 Route 53 資源上執行的應用程式提供更強勁的保護，使其不受更精密且更大型的攻擊威脅。AWS Shield Advanced 保護機制可針對網路流量提供隨時啟用的流量監控，同時監控使用中的應用程式，一旦發生 DDoS 攻擊，會以近乎即時的速度通知。AWS Shield Advanced 也採用進階攻擊緩解和路由技術，來自動減緩攻擊。擁有商業或企業支援的客戶還可以藉助全年無休的 Shield 應變團隊 (SRT) 之力，管理及減少應用程式層的 DDoS 攻擊。 ## IDS (Intrusion Detection Systems) [GuardDuty](https://aws.amazon.com/tw/guardduty/) 是一種以雲為中心的 IDS 服務，它使用 Amazon Web Services (AWS) 數據源來檢測廣泛的威脅行為。 資安工程師需要了解 Amazon GuardDuty 與傳統網絡威脅檢測解決方案的比較。 - 傳統的 IDS 通常依賴於在特定的網絡流量控制點監控網絡流量，如防火牆和主機網絡接口，這允許 IDS 使用一組預先配置的規則來檢查傳入的數據包信息並識別與網絡攻擊類型密切相關的模式。 - 傳統的 IDS 在雲端有幾個挑戰： - 網絡已虛擬化。數據流量控制點是分散的，流量管理是與雲提供商的`共同責任`。這使得監控所有網絡流量以進行分析變得`困難`或`不可能`。 - 雲應用程序是動態的。Auto Scaling 和 Load Balancer 等功能會隨著需求的波動不斷改變網絡環境的配置方式。 [GuardDuty](https://aws.amazon.com/tw/guardduty/) 分析多個 AWS Data Source 中的數百億個Event，例如 [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)、[Amazon Virtual Private Cloud (Amazon VPC)](https://aws.amazon.com/vpc/) flow log 和 [Amazon Route 53 DNS](https://aws.amazon.com/route53/) logs。這使 GuardDuty 能夠分析事件數據，例如對 AWS Identity and Access Management (IAM) login Event的 AWS API 調用，這超出了傳統 IDS 解決方案的能力。 [source](https://aws.amazon.com/tw/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/)