DDoS-Schutz

Distributed Denial of Service (DDoS)-Angriffe sind böswillige Versuche, den normalen Datenverkehr eines anvisierten Servers, Services oder Netzwerks zu stören, indem sie mit einer Flut an Internetverkehr überschwemmt werden. Wenn DDoS-Angriffe nicht wirksam abgewehrt werden, können sie zu einer beeinträchtigten Verfügbarkeit oder verkürzten Antwortzeiten für Webanwendungen führen. Wenn die Anwendung in solchen Situationen skaliert wird, um den Angriff abzuwehren, entstehen unerwünschte Skalierungskosten. Glücklicherweise profitieren in AWS entwickelte Anwendungen vom nativen DDoS-Schutz und können mithilfe von AWS-Services und Sicherheitskontrollen so konzipiert werden, dass sie äußerst widerstandsfähig gegen diese Angriffe sind.

Sowohl AWS als auch der Kunde sind für die Sicherheit verantwortlich. AWS ist für den Schutz der Infrastruktur verantwortlich, die seinen Cloud-Services zugrunde liegt. Um seine Infrastruktur zu schützen, setzt AWS ohne zusätzliche Kosten native Schutzmaßnahmen gegen DDoS-Angriffe auf die Infrastruktur (auf Ebene 3 und 4) ein. Diese Schutzmaßnahmen werden durch Shield Standard bereitgestellt und basieren auf den folgenden Komponenten:

• Überwachungssysteme analysieren verschiedene Quellen, wie etwa NetFlow von Netzwerkgeräten und Service-Protokolle, um DDoS-Angriffe zu erkennen.
• Scrubbing-Systeme bereinigen den Datenverkehr von DDoS-Angriffen mithilfe von Deep Packet Inspection, Firewalling und Traffic Shaping. Für Services wie CloudFront und Route 53 werden Scrubbing-Systeme innerhalb ihrer Points of Presence (PoPs) eingesetzt, die eine Erkennung und Schadensbegrenzung in Sekundenschnelle ermöglichen. Bei regionalen Services wie ALB oder EC2 hingegen beseitigen Scrubbing-Systeme die Angriffe nach der Erkennung, in der Regel innerhalb von Minuten.
• Das Shield-Response-Team sorgt für eine schnelle Lösung von DDoS-Angriffen, die von den Überwachungs- und Scrubbing-Systemen nicht automatisch erkannt und abgewehrt werden.

Beim Modell der geteilten Verantwortung hängt Ihre Verantwortung für den DDoS-Schutz von den AWS-Cloud-Services ab, die Sie verwenden. Dies bestimmt den Umfang der Konfigurationsarbeit, die Sie durchführen müssen. Wenn Sie beispielsweise Dateien von S3 anstelle einer EC2-Instance verfügbar machen, verringern sich die Sicherheitskontrollen, die Sie gegen DDoS-Angriffe einsetzen müssen. Unabhängig von den genutzten Services bietet AWS innerhalb Ihres Verantwortungsbereichs Funktionen zum Schutz, zur Überwachung und Reaktion auf DDoS-Angriffe.

Sie sind verantwortlich für den Entwurf von DDoS-resistenten Architekturen mithilfe von AWS-Services. Zu den bewährten Methoden zählen Folgende:

• Nutzen Sie CloudFront für Webanwendungen und Global Accelerator für andere Anwendungsfälle, um von Hunderten Tbit/s an Abwehrkapazität im gesamten verteilten AWS-Edge-Netzwerk zu profitieren. Sowohl CloudFront als auch Global Accelerator nutzen fortschrittliche DDoS-Abwehrtechniken wie SYN Proxy, das Schutz vor SYN-Floods bietet, indem es SYN-Cookies sendet, um neue Verbindungen anzufechten, bevor diese im Upstream fortgesetzt werden dürfen. CloudFront bietet den schnellsten (unter einer Millisekunde) und umfassendsten Schutz gegen alle bekannten DDoS-Angriffe der Ebenen 3 und 4 sowie gegen DDoS-Angriffe, die auf das HTTP-Protokoll abzielen, wie z. B. Slowloris und HTTP/2-Rapid-Reset-Angriffe.
• Verkleinerung der Angriffsfläche Ihrer Ursprünge mithilfe von Origin-Cloaking-Methoden.
• Vorbereitung Ihrer Anwendung auf die Skalierung, z. B. mithilfe automatischen Skalierung mit EC2-basierten Ursprüngen.
• Blockierung von HTTP-Floods mit AWS WAF
• Überwachen Sie Ihr Anwendungsverhalten, um bei ungewöhnlichen Aktivitäten eine Warnung auszulösen, Bedrohungen zu analysieren und dann mithilfe vorab festgelegter Runbooks zu reagieren, mit der Möglichkeit, AWS um Hilfe zu bitten.

Um HTTP-Floods (DDoS-Angriffe auf Ebene 7) effektiv zu blockieren, bietet AWS WAF eine Kombination aus mehreren Regeln.

• Regeln zur Reduzierung des Oberflächenangriffs der Anwendung, indem unerwartete Anforderungsmuster abgelehnt werden. Sie können beispielsweise Regeln schreiben, um Anfragen mit URLs abzulehnen, die nicht Ihren API-URL-Schemas entsprechen, Anfragen mit HTTP-Verben, die von Ihrer API nicht unterstützt werden, oder einfach Host-Header-Werte, die nicht Teil Ihrer Domain-Namen sind. Durch solche Regeln wird unerwünschter Datenverkehr sofort blockiert.
• Regeln basierend auf der IP-Reputation, die den Datenverkehr von IPs mit schlechter Reputation blockieren. Sie können von Amazon verwaltete Regeln verwenden, die auf von AWS erfassten Bedrohungsinformationen basieren, verwaltete Regeln für AWS WAF von Anbietern aus AWS Marketplace, wie z. B. Imperva, oder Sie können Ihre eigene IP-Reputationsliste erstellen und AWS WAF automatisch aktualisieren. Auf IP-Reputation basierende Regeln neigen dazu, einen erheblichen Teil der HTTP-Floods sofort zu blockieren.
• Regeln zur Ratenbegrenzung, die Anfragen nach einer konfigurierten Dimension (z. B. IP) aggregieren und dann den Datenverkehr blockieren, wenn das aggregierte Anfragevolumen konfigurierte Schwellenwerte (z. B. 100 Anfragen) innerhalb einer bestimmten Dauer (z. B. 1 Minute) überschreitet. Ratenbegrenzungen blockieren anstößigen Datenverkehr innerhalb von zehn Sekunden, bis sein Volumen unter die konfigurierten Schwellenwerte sinkt. Wenn Sie die Dauer der Sperrung von Ratenbegrenzungen verlängern möchten, implementieren Sie die in diesem Blog beschriebene benutzerdefinierte Lösung. Beispiele für Regeln zur Ratenbegrenzung sind: eine pauschale IP-basierte Regel mit einem hohen Schwellenwert (z. B. 2 000), eine URI-spezifische (z. B. /Login) IP-basierte Regel mit einem niedrigeren Schwellenwert (z. B. 100), eine länderbasierte Regel für Länder, in denen Sie nicht sinnvoll tätig sind, eine Cookie-basierte Regel zum Blockieren unzulässiger authentifizierter Sitzungen, usw.
• Regeln mit JavaScript-Challenge-Aktion, um unerwünschten Datenverkehr sofort zu blockieren, der von Tools generiert wird, die bei der Ausführung von JavaScript und der Lösung von Problemen versagen, wie dies bei legitimen Browsern der Fall ist.
• Bot-Control-Regeln zum Schutz vor HTTP-Floods, die von ausweichenden Bots orchestriert werden. Zu den Bot-Management-Techniken mit AWS WAF Bot Control gehören Verhaltenserkennungen, ML-basierte Erkennung koordinierter Aktivitäten, Erkennung der Browserautomatisierung und CAPTCHA-Herausforderungen. Erkennung und Abwehr erfolgen innerhalb weniger Sekunden.
• Auf der Angriffssignatur basierende Regeln, die automatisch von der automatischen DDoS-Abwehr auf Anwendungsebene (L7AM) von Shield Advanced erstellt werden. Wenn diese Funktion von Shield Advanced aktiviert ist, wird eine leere verwaltete Regelgruppe in Ihrer AWS WAF WebACL erstellt und Ihr Anwendungsverkehr wird mindestens 72 Stunden lang überwacht, um eine Ausgangsbasis für normalen Datenverkehr zu erstellen. Bei einer signifikanten Abweichung des Datenverkehrsprofils von der festgelegten Ausgangslage meldet Shield Advanced eine DDoS-Erkennung und beginnt mit der Analyse des Datenverkehrs auf eine Angriffssignatur. Wenn eine Signatur gefunden wird, wird sie zunächst im vergangenen Datenverkehr getestet, um das Risiko falsch positiver Ergebnisse zu verringern. Wenn die Verwendung sicher ist, wird eine entsprechende WAF-Regel in die zuvor erstellte Regelgruppe eingefügt. Wenn der Angriff nach einer bestimmten Zeit gestoppt wird, wird die Regel automatisch aus der Regelgruppe entfernt. Bei Erfolg dauert dieser Vorgang mehrere Minuten.

Darüber hinaus können Sie dynamische WAF-Regeln implementieren, die sich an den wahrgenommenen Bedrohungsstufe anpassen und aggressivere Reaktionen (z. B. CAPTCHA oder Challenge-Aktionen) bei DDoS-Angriffen mit hohem Schweregrad ermöglichen. Erfahren Sie mehr darüber, wie Sie dieses Muster mithilfe dieser Lösung implementieren können.

Shield Advanced ist ein zusätzlicher AWS-Service, der Ihre Sicherheitslage gegen DDoS-Angriffe verbessert. Es bietet eine automatische Schadensbegrenzung auf Ebene 7 mithilfe von AWS WAF für Webanwendungen und einen besseren Schutz für Nicht-Webanwendungen, z. B. die Durchsetzung von NACL-Regeln (Network Access Control List) am Grenznetzwerk mit höherer Bandbreitenkapazität. Mit Shield Advanced können Angriffe, die nicht automatisch abgewehrt werden, zur manuellen Abwehr an das Shield-Response-Team weitergeleitet werden.

Um alle Funktionen von Shield Advanced nutzen zu können, sollten Sie folgendermaßen vorgehen:

1. Nachdem Sie Shield Advanced abonniert haben, fügen Sie Ihren mit dem Internet verbundenen AWS-Ressourcen Shield-Advanced-Schutzfunktionen hinzu. Die Schutzfunktionen müssen 72 Stunden vor einem Angriff implementiert sein, damit der durchschnittliche Anwendungsdatenverkehr ermittelt und Abwehrmaßnahmen ergriffen werden können.
2. Bei CloudFront- und ALB-Ressourcen verknüpfen Sie eine AWS-WAF-WebACL gemäß den im vorherigen Abschnitt beschriebenen bewährten Methoden (Ratenbegrenzung, IP-Reputation usw.). Aktivieren Sie den Layer-7-Schutz für diese Ressourcen. Optional können Sie die AWS-WAF-Protokollierung konfigurieren.
3. Konfigurieren Sie das proaktive Engagement, damit das AWS-Shield-Response-Team (SRT) direkt mit Ihnen in Kontakt treten kann. Proaktives Engagement kann vor der Erstellung von Amazon-Route53-Zustandsprüfungen aktiviert werden. Mit Ihrer Anwendung verknüpfte Zustandsprüfungen verbessern die Erkennungsempfindlichkeit von Shield Advanced. Wenn die Zustandsprüfungen beispielsweise mehr 5xx-Fehler erkennen, die von Ihrer Anwendung zurückgegeben werden, senkt Shield Advanced die Erkennungsschwellenwerte. Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Sie Zustandsprüfungen konfigurieren.
   
4. Konfigurieren Sie CloudWatch-Alarme für Shield und WAF, um über Angriffe benachrichtigt zu werden.

Um Ihre Konfiguration von Shield Advanced zu überprüfen, führen Sie das DDOSResiliencyAssessment-Runbook in AWS Systems Manager aus. Das Runbook erfasst, analysiert und bewertet die folgenden Ressourcen: Amazon Route 53, Amazon Load Balancers, Amazon CloudFront-Verteilungen, AWS Global Accelerator und AWS Elastic IPs hinsichtlich ihrer Konfigurationseinstellungen gemäß den empfohlenen bewährten Methoden für AWS Shield Advanced Protection.

DDoS-Simulationstests sind in AWS zulässig und unterliegen den auf dieser Seite beschriebenen Bedingungen. AWS bietet zwei Optionen zum Ausführen von DDoS-Simulationstests: Entweder einen simulierten DDoS-Angriff im Produktions-Datenverkehr mit einem autorisierten, vorab genehmigten AWS-Partner wie NCC Group Plc, RedWolf und Red Button oder einen synthetischen, simulierten DDoS-Angriff mit dem Shield-Response-Team, auch Firerill genannt.

• AWS-WAF-Bereitstellungspartner suchen
• Whitepaper – Bewährte Methoden von AWS für DDoS-Ausfallsicherheit
• Blog – Grundlegendes zum DDoS-Simulationstest in AWS
• Blog – Die drei wichtigsten ratenbasierten Regeln für AWS WAF
• Blog – Entdecken Sie die Vorteile der erweiterten ratenbasierten Regeln von AWS WAF