DDoS-Simulationstest-Richtlinie
Was ist ein DDoS-Simulationstest?
Distributed Denial of Service-Angriffe (DDoS-Angriffe) entstehen, wenn Angreifer eine Zielanwendung mit einer Datenverkehrsflut aus diversen Quellen überschwemmen, um die Verfügbarkeit der Anwendung zu beeinträchtigen. DDoS-Simulationstests nutzen einen kontrollierten DDoS-Angriff, damit der Besitzer der Anwendung die Resilienz seiner Anwendung testen und die Reaktion im Falle eines Vorfalls üben kann. DDoS-Simulationstests sind unter folgenden Bedingungen auf AWS gestattet.
Bedingungen
- Sämtliche Tests unterliegen den Bestimmungen der AWS-Kundenvereinbarung oder sonstigen Vereinbarungen im Rahmen des Kaufs und der Nutzung von Amazon Web Services.
- DDoS-Simulationstests müssen von einem Partner im AWS-Partnernetzwerk (APN) ausgeführt werden. Der Partner muss vorab von AWS für die Durchführung von DDoS-Simulationstests (AWS DDoS-Testpartner) zugelassen werden.
- Das Ziel für den DDoS-Simulationstest muss entweder als geschützte Ressource in einem Ihrer AWS-Konten registriert werden, das AWS Shield Advanced abonniert hat, oder als Edge-optimierter Amazon API Gateway API-Endpunkt, der sich in einem Ihrer Konten befindet, das AWS Shield Advanced abonniert hat.
- Das Bitvolumen des DDoS-Simulationstests darf 20 Gbit/s nicht überschreiten.
- Das Paketvolumen des DDoS-Simulationstests darf beim Testen einer Amazon CloudFront-Distribution 5 Millionen Pakete pro Sekunde nicht überschreiten. Beim Testen sonstiger AWS-Ressourcen entspricht das Limit 50 000 Paketen pro Sekunde.
- Das Anforderungsvolumen des DDoS-Simulationstests darf 50 000 Anforderungen pro Sekunde nicht überschreiten.
- Der DDoS-Simulationstest darf nicht in einer AWS-Ressource gestartet werden und darf keine AWS-Ressource verwenden, um einen Verstärkungsangriff zu simulieren.
- Sie übernehmen die Verantwortung für Risiken in Zusammenhang mit DDoS-Simulationstests sowie für die Handlungen des Testanbieters.
- AWS kann den Testanbieter jederzeit dazu auffordern, den Simulationstest abzubrechen.
- Die Durchführung des Tests sowie die Ergebnisse gelten gemäß der AWS-Kundenvereinbarung als vertrauliche Informationen von AWS.
Sowohl AWS als auch der Kunde sind für die Sicherheit verantwortlich. Der Erfolg Ihres DDoS-Simulationstests ist abhängig von der Anwendungsarchitektur sowie der Implementierung von Kontrollen bei der Nutzung von AWS-Services. Vor der Durchführung von DDoS-Simulationstests sollte Ihre Anwendung entsprechend den in den AWS Best Practices for DDoS Resiliency beschriebenen bewährten Methoden gut strukturiert sein.
AWS DDoS-Testpartner
AWS DDoS-Testpartner sind für die Durchführung von DDoS-Simulationstests im Auftrag von AWS-Kunden berechtigt, ohne zuvor eine Genehmigung von AWS einzuholen. Weitere Informationen zur Zulassung als AWS DDoS-Testpartner erhalten Sie unter aws-ddos-testing@amazon.com. Die folgenden DDoS-Testpartner sind derzeit für die Durchführung von DDoS-Simulationstests in Einklang mit dieser Richtlinie berechtigt:
Ausnahme Anforderungen
AWS DDoS-Testpartner, die DDoS-Simulationstests durchführen möchten, die nicht den technischen Einschränkungen dieser Richtlinie entsprechen, oder DDoS-Testanbieter, die nicht als AWS DDoS-Testpartner bestätigt wurden, können durch Übertragung des Formulars eine Berechtigung zur Durchführung eines DDoS-Simulationstests beantragen. Der Antrag muss mindestens 14 Tage vor dem geplanten Testdatum gestellt werden. Wenn Sie Fragen haben, senden Sie bitte eine E-Mail an aws-ddos-testing@amazon.com.