Panduan Menggunakan AWS Shield Advanced

Sebelum menggunakan AWS Shield Advanced, penting untuk memastikan seluruh konfigurasi telah dilakukan sebelum terjadi serangan DDoS. Konfigurasi yang disiapkan lebih awal membantu memastikan aplikasi tetap terlindungi dan mampu merespons ancaman dengan lebih efektif saat insiden terjadi.

Memahami AWS Shield Advanced

AWS Shield Advanced menyediakan kemampuan perlindungan DDoS yang lebih komprehensif dibandingkan AWS Shield Standard yang tersedia secara default. Layanan ini menawarkan mekanisme deteksi dan mitigasi tingkat lanjut untuk melindungi aplikasi dari ancaman pada beberapa lapisan, meliputi:

• Layer 3 (Network Layer)
• Layer 4 (Transport Layer)
• Layer 7 (Application Layer)

Selain kemampuan memitigasi serangan, AWS Shield Advanced juga menawarkan berbagai fitur tambahan, seperti:

• Deteksi dan respons DDoS secara otomatis
• Visibilitas terhadap metrik serangan dan pola trafik
• Integrasi dengan AWS WAF
• Health-based detection menggunakan Route 53
• Akses ke Shield Response Team (SRT)

Bagaimana AWS Shield Advanced Meningkatkan Ketahanan terhadap DDoS

Arsitektur Ketahanan DDoS untuk Aplikasi Web

Untuk aplikasi web, AWS merekomendasikan penggunaan Amazon Route 53, Amazon CloudFront, dan AWS WAF di depan resource backend aplikasi. Arsitektur ini membantu menyembunyikan origin aplikasi, mendistribusikan konten lebih dekat ke pengguna, serta menyaring trafik berbahaya sebelum mencapai resource backend.

Dengan AWS Shield Advanced yang aktif, aplikasi dapat memperoleh berbagai manfaat berikut:

• Perlindungan terhadap serangan DDoS Layer 3 dan Layer 4
• Mitigasi serangan TCP SYN Flood
• Perlindungan terhadap serangan DNS melalui Route 53
• Perlindungan terhadap serangan request flood menggunakan rate-based rules AWS WAF
• Opsi mitigasi otomatis di application layer serta dukungan proaktif dari Shield Response Team (SRT)

Arsitektur Ketahanan DDoS untuk Aplikasi TCP dan UDP

Untuk aplikasi berbasis TCP dan UDP seperti platform game, sistem IoT, atau layanan yang memerlukan alamat IP statis, AWS merekomendasikan penggunaan Route 53 dan AWS Global Accelerator.

Arsitektur ini memberikan beberapa keuntungan, di antaranya:

• Perlindungan terhadap serangan infrastruktur berskala besar
• Ketersediaan aplikasi yang lebih baik
• Performa jaringan yang lebih optimal dengan latensi yang lebih rendah
• Opsi perlindungan aplikasi web melalui integrasi AWS WAF

Mengombinasikan Shield Advanced dengan Layanan AWS Lainnya

AWS Shield Advanced dapat memberikan perlindungan yang lebih optimal ketika dikombinasikan dengan layanan AWS lainnya sesuai kebutuhan workload. Sebagai contoh, aplikasi web umumnya diintegrasikan dengan CloudFront dan Application Load Balancer, sedangkan workload berbasis TCP dapat memanfaatkan AWS Global Accelerator dan Elastic IP.

Kombinasi ini memberikan cakupan keamanan yang lebih luas sekaligus memungkinkan proses penyaringan trafik dilakukan lebih dekat dengan batas jaringan AWS saat serangan terjadi.

Cara Mengatur AWS Shield Advanced

Langkah 1: Berlangganan AWS Shield Advanced

AWS Shield Advanced memerlukan langganan berbayar, berbeda dengan AWS Shield Standard yang secara otomatis tersedia bagi seluruh pengguna AWS.

Untuk berlangganan:

1. Masuk ke AWS Management Console.
2. Buka AWS WAF & Shield Console melalui https://console.aws.amazon.com/wafv2/
3. Pada menu navigasi AWS Shield, pilih Getting Started.
4. Klik Subscribe to Shield Advanced.
5. Baca dan setujui seluruh syarat dan ketentuan.
6. Klik Subscribe to Shield Advanced untuk mengaktifkan layanan.

Catatan penting:

• Setiap akun AWS yang ingin dilindungi memerlukan langganan tersendiri.
• Untuk akun yang menggunakan AWS Organizations, biaya dapat dikonsolidasikan.
• Berlangganan AWS Shield Advanced tidak secara otomatis melindungi resource setelah aktivasi.

Langkah 2: Menambahkan Resource yang Akan Dilindungi

Setelah berlangganan, langkah berikutnya adalah menentukan resource AWS yang akan mendapatkan perlindungan.

Untuk menambahkan resource:

1. Buka halaman Protected Resources.
2. Pilih Add Resources to Protect.
3. Tentukan:
   • AWS Region
   • Jenis resource
4. Klik Load Resources.
5. Pilih resource yang ingin dilindungi.
6. Tambahkan tag jika diperlukan untuk mempermudah pengelolaan.
7. Klik Protect with Shield Advanced.

Anda dapat melindungi resource di beberapa region sekaligus atau memilih resource global sesuai kebutuhan arsitektur.

Langkah 3: Mengonfigurasi Perlindungan Layer 7 Menggunakan AWS WAF

AWS Shield Advanced memanfaatkan AWS WAF untuk memberikan perlindungan terhadap serangan di application layer.

Untuk melakukan konfigurasi:

1. Pada halaman Configure Layer 7 DDoS Protection, hubungkan setiap resource dengan:
   • AWS WAF Web ACL yang sudah tersedia, atau
   • Membuat Web ACL baru
2. Tambahkan rate-based rule jika belum tersedia.
3. Konfigurasikan:
   • Batas jumlah request (request threshold)
   • Tindakan yang diinginkan (Count atau Block)

Rate-based rule membantu mencegah serangan request flood dengan membatasi jumlah request dari IP yang mencurigakan.

Opsional: Aktifkan Automatic Application Layer DDoS Mitigation.

Saat fitur ini diaktifkan, AWS Shield Advanced akan:

• Memantau pola trafik
• Membandingkan trafik saat ini dengan pola historis
• Mendeteksi anomali secara otomatis
• Membuat aturan mitigasi secara otomatis ketika serangan terjadi

Catatan: Fitur ini hanya mendukung AWS WAF v2.

Langkah 4: Mengonfigurasi Health-Based Detection

Health check membantu AWS Shield Advanced meningkatkan akurasi deteksi dan respons mitigasi.

Untuk mengonfigurasi:

1. Buat health check pada Amazon Route 53 jika belum tersedia.
2. Pada bagian Associated Health Check, pilih ID health check.
3. Pastikan health check benar-benar merepresentasikan kondisi aplikasi.
4. Klik Next.

Health check juga diperlukan jika ingin menggunakan fitur proactive engagement dari Shield Response Team (SRT).

Langkah 5: Mengonfigurasi Notifikasi dan Alert

AWS Shield Advanced dapat diintegrasikan dengan Amazon SNS untuk mengirim notifikasi ketika terjadi serangan atau aktivitas yang tidak normal.

Untuk mengonfigurasi:

1. Pilih Amazon SNS Topic yang akan digunakan.
2. Tentukan apakah:
   • Satu SNS Topic digunakan untuk seluruh resource
   • SNS Topic terpisah digunakan untuk tim yang berbeda
3. Lanjutkan ke tahap berikutnya.

Konfigurasi ini membantu tim menerima notifikasi secara lebih cepat saat aktivitas mencurigakan terdeteksi.

Langkah 6: Meninjau dan Menyelesaikan Konfigurasi

Sebelum menyelesaikan pengaturan:

1. Tinjau seluruh konfigurasi yang telah dibuat.
2. Lakukan perubahan jika diperlukan melalui opsi Edit.
3. Klik Finish Configuration.

Setelah proses selesai, resource yang telah dilindungi akan muncul pada dashboard AWS Shield Advanced.

Langkah 7 (Opsional): Mengonfigurasi Shield Response Team (SRT)

Organisasi yang menggunakan paket Business Support atau Enterprise Support dapat mengaktifkan bantuan dari Shield Response Team (SRT).

Untuk mengaktifkannya:

1. Buka AWS Shield Console.
2. Masuk ke menu Configure AWS SRT Support.
3. Berikan izin akses untuk SRT.
4. Tambahkan informasi kontak.
5. Aktifkan Proactive Engagement.

Dengan fitur proactive engagement aktif, AWS dapat menghubungi tim keamanan secara langsung jika serangan memengaruhi kondisi aplikasi.