Inspector

O inspector é uma ferramenta que faz análise estática em busca de vulnerabilidades em aplicações em instâncias de EC2.
Possui uma extensa e atualizada base de conhecimento usada para testar as aplicações, constantemente atualizada pelos especialistas. Permite a definição de vulnerabilidade de maneira customizada.
Analisa compliances e segurança de acordo com questões customizadas do usuários.
Pode ser acessado tanto via Console como CLI, SDK e API

Vantangens: Integração com DevOps e agilidade nos testes de vulnerabilidade, facilita para a implementação do DevSecOps com a segurança e testes integrados com as esteiras. Garante conformidade e identifica vulnerabilidades com velocidade

Shield

Proteção contra DDoS, tem duas versões.
O standard é o padrão e já vem ativo para todos os usuários sem custos adicionais, protege contra ataques mais comuns, usado com Route53 e Cloudfront.

Advanced

Protege mais e abrange outros elementos protegendo EC2, combinando com ACL (sub rede de AZ) para evitar paradas e indisponibilidade de uso, protege contra ataques massivos, permite customização. Se os ataques aumentarem os custos, o advanced ressarce esses custos. Pode contatar o Response Team que é um time que trabalha 24h para proteger os usuários e prestar assistência.

Cliente tem acesso em tempo real a monitoração dos ataques e dos impactos com acesso a relatórios e visões. Protege contra diversos tipos de ataques DDoS como SYN flood, UDP Reflection, DNS query flood, etc.

O advanced tem que pagar a mais logicamente.

WAF

Web application Firewall, detecta padrões de ataques e bloqueia requisições maliciosas. Pode ser usada em conjunto com o Cloudfront para proteger a distribuição dos estáticos. Pode ajudar o Load Balancer a impedir requisições maliciosas, filtra requests.
Necessita de configuração, não vem por padrão, tem três estruturas principais: Conditions, Rules e Web ACL

Conditions: define quais elementos que elementos devem ser monitoradas, olha requisições de CORS, pode filtrar requisições de acordo com regiões, pode filtrar IPs através de black lists ou white lists. Pode bloquear de acordo com o tamanho da requisição, ou query strings, sql injection.

Rules: Conjunto de conditions, facilita a gestão e integra e agrupa as condições. É um "and" de conditions

Web ACL: Access Control List, conjunto de rules que toma ações baseadas nas regras que foram violadas ou passaram com sucesso. Pode ser Allow, block ou count, as rules são executadas na ordem, então se uma rule que tem allow é aceita ela pode seguir para a próxima rule

Certificate Manager

Permite a criação e gerenciamento dos certificados dos sites, permitindo assim a criação de criptografias

Cognito

Para controle de acessos a aplicações