AWS Shield – Häufig gestellte Fragen

Allgemeines

AWS Shield ist ein verwalteter Service, der Schutz vor DDoS-Angriffen (Distributed Denial of Service) für Webanwendungen bietet, die unter AWS ausgeführt werden. AWS Shield Standard steht allen AWS-Kunden ohne Zusatzkosten automatisch zur Verfügung. AWS Shield Advanced ist ein optionaler kostenpflichtiger Service. AWS Shield Advanced bietet zusätzlichen Schutz vor größeren und anspruchsvolleren Angriffen für Ihre Anwendungen, die unter Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Route 53 ausgeführt werden.

AWS Shield Standard bietet Schutz für alle AWS-Kunden vor verbreiteten und am häufigsten vorkommenden Infrastruktur-Angriffen (Ebene 3 und 4), wie SYN/UDP-Floods, Reflexionsangriffen und anderen, um für eine hohe Verfügbarkeit Ihrer Anwendungen unter AWS zu sorgen.

AWS Shield Advanced bietet zusätzlichen Schutz für Ihre Anwendungen, die unter geschützten Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Route 53 ausgeführt werden, vor größeren und ausgefeilteren Angriffen. Der Schutz von AWS Shield Advanced bietet eine durchgehende, datenflussbasierte Überwachung des Netzwerkverkehrs sowie eine aktive Anwendungsüberwachung zur Generierung von Benachrichtigungen über DDoS-Angriffe fast in Echtzeit. AWS Shield Advanced verwendet zudem fortschrittliche Angriffsabwehr- und Routingtechniken zur automatischen Abschwächung von Angriffen. Kunden mit Business- oder Enterprise-Support können auch auf das rund um die Uhr verfügbare Shield Response Team (SRT) zurückgreifen, um mit den DDoS-Angriffen auf ihre Anwendungsschicht umzugehen und diese abzuwehren. Die DDoS-Kostenabsicherung für die Skalierung schützt Ihre AWS-Rechnung vor zu hohen Gebühren aufgrund von Belastungsspitzen durch Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 während eines DDoS-Angriffs.

AWS Shield Advanced umfasst eine DDoS-Kostenabsicherung, einen Schutz vor steigenden Kosten als Ergebnis eines DDoS-Angriffs, der Belastungsspitzen bei Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator oder Amazon Route 53 verursacht. Wenn eine der geschützten Ressourcen von AWS Shield Advanced als Reaktion auf einen DDoS-Angriff skaliert wird, können Sie über den herkömmlichen AWS-Supportkanal Gutschriften anfordern.

Ja. AWS Shield ist in Amazon CloudFront integriert, und Amazon CloudFront unterstützt auch benutzerdefinierte Ursprünge außerhalb von AWS.

Ja. Alle Erkennungs- und Abwehrfunktionen von AWS Shield funktionieren mit IPv6 und IPv4 ohne erkennbare Änderungen bei der Leistung, Skalierbarkeit oder Verfügbarkeit des Service.

In der Richtlinie zur angemessenen Verwendung (Acceptable Use Policy) von AWS werden zulässige und nicht zulässige Verhaltensweisen in AWS beschrieben. Die Richtlinie enthält außerdem Beschreibungen von untersagten Sicherheitsverletzungen und Netzwerkmissbrauch. Da DDoS-Simulationstests, Penetrationstests und andere simulierte Ereignisse häufig jedoch nicht von solchen Aktivitäten zu unterscheiden sind, haben wir Richtlinien eingeführt, damit unsere Kunden die Berechtigung zur Durchführung von DDoS-Tests, Penetrationstests und Prüfungen auf Schwachstellen anfordern können. Weitere Informationen finden Sie auf unserer Seite zu Penetrationstests und in unserer Richtlinie zu DDoS-Simulationstests.

AWS Shield Standard ist für alle AWS-Services weltweit in allen AWS-Region und an allen AWS-Edge-Standorten verfügbar.

Weitere Informationen über die Verfügbarkeit von AWS Shield Standard nach Regionen finden Sie unter Regionale Produkte und Services.

AWS Shield Advanced ist weltweit an allen Edge-Standorten von Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungsservern kann es sich um Amazon Simple Storage Service (S3), Amazon EC2, Elastic Load Balancing oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können AWS Shield Advanced auch direkt auf Elastic Load Balancing oder Amazon EC2 in den folgenden AWS-Regionen aktivieren: Nord-Virginia, Ohio, Oregon, Nordkalifornien, Montreal, São Paulo, Irland, Frankfurt, London, Paris, Stockholm, Singapur, Tokio, Sydney, Seoul, Mumbai, Mailand, Kapstadt, Hongkong, Bahrain, Malaysia und Vereinigte Arabische Emirate.

Weitere aktuelle Informationen über die Verfügbarkeit von AWS Shield Advanced nach Regionen finden Sie unter Regionale Produkte und Services.

Ja, AWS hat sein HIPAA-Compliance-Programm auf AWS Shield als HIPAA-fähigen Service ausgeweitet. Wenn Sie ein aktives Business Associate Agreement (BAA) mit AWS haben, können Sie AWS Shield zum Schutz Ihrer Webanwendungen, die auf AWS ausgeführt werden, vor Distributed Denial of Service (DDoS)-Angriffen verwenden. Weitere Informationen finden Sie unter HIPAA-Compliance.

Konfigurieren von Schutzmaßnahmen

AWS Shield Standard bietet automatischen Schutz für Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten, häufig auftretenden Angriffen auf die Infrastruktur-Ebene, wie UDP-Floods und State Exhaustion-Angriffen, wie TCP SYN Floods. Die Kunden können AWS WAF auch verwenden, um sich vor Angriffen auf die Anwendungsebene, wie HTTP POST oder GET Floods, zu schützen. Weitere Einzelheiten zur Implementierung Schutzeinrichtungen für die Anwendungsschichten finden Sie im Entwicklerhandbuch für AWS WAF und AWS Shield Advanced.

Es gibt keine Beschränkung der Anzahl von Ressourcen, die mit AWS Shield Standard geschützt werden können. Sie können alle Vorteile des AWS-Shield-Standard-Schutzes nutzen, indem Sie dieBewährte Methoden für DDoS-Resilienz in AWS umsetzen.

Sie können bis zu 1 000 AWS-Ressourcen jedes unterstützten Ressourcentyps (Classic / Application Load Balancers, Amazon-CloudFront-Verteilungen, Amazon-Route-53-Hostingzonen, Elastic IPs, AWS-Global-Accelerator-Beschleuniger) für den Schutz durch AWS Shield Advanced aktivieren. Wenn Sie mehr als 1 000 Ressourcen aktivieren möchten, können Sie eine Anhebung des Limits beantragen, indem Sie eine AWS-Support-Anfrage erstellen.

Ja. AWS Shield Advanced kann über APIs aktiviert werden. Sie können AWS-Ressourcen auch über APIs zum AWS Shield Advanced-Schutz hinzufügen oder daraus entfernen.

Normalerweise werden 99 % der Angriffe auf die Infrastruktur-Ebene, die von AWS Shield erkannt werden, bei Angriffen auf Amazon CloudFront und Amazon Route 53 in weniger als 1 Sekunde, und bei Angriffen auf Elastic Load Balancing in weniger als 5 Minuten abgewehrt. Das verbleibende 1 % der Infrastruktur-Angriffe wird normalerweise in weniger als 20 Minuten abgewehrt. Angriffe auf die Anwendungsebene werden durch Schreiben von Regeln in AWS WAF mitigiert. Diese Regeln werden dann untersucht und im Zuge eingehenden Datenverkehrs mitigiert.

Ja. Eine große Anzahl unserer Kunden hat sich entschieden, AWS-Endpunkte vor ihre Backend-Instances zu setzen. In der Regel handelt es sich bei diesen Endpunkten um unsere weltweit verteilten Services CloudFront und Route 53. Diese Services sind auch unsere Empfehlungen für bewährte Methoden für DDoS-Ausfallsicherheit. Kunden können in der Folge diese CloudFront-Distributionen und auf Route 53 gehosteten Zonen mit Shield Advanced schützen. Beachten Sie, dass Sie Ihre Backend-Ressourcen so konfigurieren bzw. beschränken müssen, dass ausschließlich Datenverkehr von diesen AWS-Endpunkten akzeptiert wird.

Reaktion auf Angriffe

AWS Shield Standard schützt automatisch Ihre Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten, häufig auftretenden DDoS-Angriffen. Sie können in den Genuss aller Vorteile von AWS Shield Standard gelangen, indem Sie die Best Practices für DDoS-Resilienz unter AWS umsetzen.

AWS Shield Advanced verwaltet die Abwehr bei DDoS-Angriffen auf Ebene 3 und Ebene 4. Das bedeutet, dass Ihre designierten Anwendungen vor Angriffen wie UDP-Floods oder TCP SYN Floods geschützt sind. Darüber hinaus kann AWS Shield Advanced für Angriffe auf die Anwendungsschicht (Layer 7) Angriffe wie HTTP-Floods und DNS-Floods erkennen. Zudem können Sie, wenn Sie über Business- oder Enterprise-Support verfügen, AWS WAF verwenden, um Ihre eigene Abwehr anzuwenden, oder Sie können auf das rund um die Uhr verfügbare AWS Shield Response Team (SRT) zurückgreifen, das in Ihrem Namen Regeln schreiben kann, um DDoS-Angriffe auf Ebene 7 abzuwehren.

Ja, Sie benötigen einen Business- oder Enterprise-Support-Plan, um das AWS Shield Response Team (SRT) zu kontaktieren. Weitere Informationen zu AWS-Supportplänen finden Sie auf der AWS-Support-Website.

Sie können das AWS Shield Response Team (SRT) über den herkömmlichen AWS Support engagieren oder kontaktieren Sie AWS Support.

Die Reaktionszeit für SRT hängt von dem AWS-Supportplan ab, den Sie abonniert haben. Wir ergreifen alle angemessenen Maßnahmen, um Ihre erste Anfrage innerhalb der entsprechenden Fristen zu bearbeiten. Weitere Informationen zu AWS-Supportplänen finden Sie auf der AWS-Support-Website.

Sichtbarkeit und Berichterstellung

Ja. Bei AWS Shield Advanced werden Sie über CloudWatch-Metriken über DDoS-Angriffe benachrichtigt.

Normalerweise gibt AWS Shield Advanced innerhalb weniger Minuten nach der Erkennung des Angriffs eine Benachrichtigung aus.

Ja. Mit AWS Shield Advanced können Sie den Verlauf aller Ereignisse in den letzten 13 Monaten anzeigen.

Ja, AWS Shield Advanced-Kunden erhalten Zugriff auf das Global Threat Environment-Dashboard, das eine anonymisierte und stichprobenartige Ansicht aller DDoS-Angriffe auf AWS innerhalb der letzten 2 Wochen bietet.

Mit AWS WAF gibt es zwei Möglichkeiten festzustellen, wie Ihre Website geschützt ist: In CloudWatch gibt es Metriken im 1-Minuten-Intervall und in der AWS-WAF-API oder der AWS-Managementkonsole sind Stichproben von Webanforderungen verfügbar. Zusätzlich können Sie umfassende Protokolle aktivieren, die über Amazon Kinesis Firehose an ein Ziel Ihrer Wahl geliefert werden. Aus diesen können Sie ersehen, welche Anforderungen blockiert, zugelassen oder gezählt wurden und welche Regel für eine bestimmte Anforderung zur Anwendung kam (etwa, dass diese Webanforderung aufgrund einer IP-Adressen-Bedingung blockiert war usw.). Weitere Informationen finden Sie im Entwicklerhandbuch für AWS WAF und AWS Shield Advanced.

Weitere Informationen finden Sie unter Penetrationstests in AWS. Dies umfasst jedoch nicht den DDoS-Ladetest. Dieser Test ist auf AWS nicht zulässig. Wenn Sie einen Live-DDoS-Test durchführen möchten, können Sie eine Genehmigung anfordern, indem Sie ein entsprechendes Ticket beim AWS Support eröffnen. Die Genehmigung für einen solchen Test setzt die Zustimmung zu den Bedingungen des Tests durch AWS, den Kunden und den Anbieter für den DDoS-Test voraus. Beachten Sie, dass wir nur mit genehmigten Anbietern für DDoS-Tests zusammenarbeiten und der gesamte Prozess drei bis vier Wochen dauern kann.

Fakturierung

AWS Shield Standard ist in die AWS-Dienstleistungen integriert, die Sie bereits für Ihre Webanwendungen nutzen. Es fallen keine zusätzlichen Kosten für AWS Shield Standard an.

Mit AWS Shield Advanced zahlen Sie eine monatliche Gebühr von 3.000 USD pro Unternehmen. Zusätzlich zahlen Sie auch eine Nutzungsgebühr für die Datenübertragung der für den erweiterten Schutz aktivierten AWS-Ressourcen über AWS Shield Advanced. Die Gebühren für AWS Shield Advanced fallen zusätzlich zu den Standardgebühren für Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 an. Weitere Informationen finden Sie auf der Preisseite für AWS Shield.

Ja, AWS Shield Advanced bietet Ihnen die Flexibilität, die Ressourcen auszuwählen, die Sie schützen möchten. Ihnen wird nur die Datenübertragung mit AWS Shield Advanced für diese geschützten Ressourcen in Rechnung gestellt.

Wenn Ihr Unternehmen über mehrere AWS-Konten verfügt, können Sie mehrere AWS-Konten für AWS Shield Advanced abonnieren, indem Sie diese über die AWS-Managementkonsole oder API für jedes Konto einzeln aktivieren. Sie zahlen die monatliche Gebühr nur ein Mal, so lange die AWS-Konten gemeinsam abgerechnet werden und Sie alle AWS-Konten und -Ressourcen in diesen Konten besitzen.