DDoS-Simulationstest-Richtlinie

Was ist ein DDoS-Simulationstest?

Distributed Denial of Service-Angriffe (DDoS-Angriffe) entstehen, wenn Angreifer eine Zielanwendung mit einer Datenverkehrsflut aus diversen Quellen überschwemmen, um die Verfügbarkeit der Anwendung zu beeinträchtigen. DDoS-Simulationstests nutzen einen kontrollierten DDoS-Angriff, damit der Besitzer der Anwendung die Resilienz seiner Anwendung testen und die Reaktion im Falle eines Vorfalls üben kann. DDoS-Simulationstests sind unter folgenden Bedingungen auf AWS gestattet.

Bedingungen

  • Sämtliche Tests unterliegen den Bestimmungen der AWS-Kundenvereinbarung oder sonstigen Vereinbarungen im Rahmen des Kaufs und der Nutzung von Amazon Web Services.
  • DDoS-Simulationstests müssen von einem Partner im AWS-Partnernetzwerk ausgeführt werden. Der Partner muss vorab von AWS für die Durchführung von DDoS-Simulationstests (AWS DDoS-Testpartner) zugelassen werden.
  • Das Ziel für den DDoS-Simulationstest muss entweder als geschützte Ressource in einem Ihrer AWS-Konten registriert werden, das AWS Shield Advanced abonniert hat, oder als Edge-optimierter Amazon API Gateway API-Endpunkt, der sich in einem Ihrer Konten befindet, das AWS Shield Advanced abonniert hat. 
  • Das Bitvolumen des DDoS-Simulationstests darf 20 Gbit/s nicht überschreiten.
  • Das Paketvolumen des DDoS-Simulationstests darf beim Testen einer Amazon CloudFront-Distribution 5 Millionen Pakete pro Sekunde nicht überschreiten. Beim Testen sonstiger AWS-Ressourcen entspricht das Limit 50 000 Paketen pro Sekunde.
  • Das Anforderungsvolumen des DDoS-Simulationstests darf 50 000 Anforderungen pro Sekunde nicht überschreiten.
  • Der DDoS-Simulationstest darf nicht in einer AWS-Ressource gestartet werden und darf keine AWS-Ressource verwenden, um einen Verstärkungsangriff zu simulieren.
  • Sie übernehmen die Verantwortung für Risiken in Zusammenhang mit DDoS-Simulationstests sowie für die Handlungen des Testanbieters.
  • AWS kann den Testanbieter jederzeit dazu auffordern, den Simulationstest abzubrechen.
  • Die Durchführung des Tests sowie die Ergebnisse gelten gemäß der AWS-Kundenvereinbarung als vertrauliche Informationen von AWS.

Sowohl AWS als auch der Kunde sind für die Sicherheit verantwortlich. Der Erfolg Ihres DDoS-Simulationstests ist abhängig von der Anwendungsarchitektur sowie der Implementierung von Kontrollen bei der Nutzung von AWS-Services. Vor der Durchführung eines DDoS-Simulationstests sollte die Anwendung bereits über eine Well-Architected-Architektur verfügen. Bewährte Methoden hierzu finden Sie unter AWS Best Practices for DDoS Resiliency.

AWS DDoS-Testpartner

AWS DDoS-Testpartner sind für die Durchführung von DDoS-Simulationstests im Auftrag von AWS-Kunden berechtigt, ohne zuvor eine Genehmigung von AWS einzuholen. Weitere Informationen zur Zulassung als AWS DDoS-Testpartner erhalten Sie unter aws-ddos-testing@amazon.com. Die folgenden DDoS-Testpartner sind derzeit für die Durchführung von DDoS-Simulationstests in Einklang mit dieser Richtlinie berechtigt:

Genehmigung einer Ausnahme

AWS DDoS-Testpartner, die DDoS-Simulationstests durchführen möchten, die nicht den technischen Einschränkungen dieser Richtlinie entsprechen, oder DDoS-Testanbieter, die nicht als AWS DDoS-Testpartner bestätigt wurden, können unter aws-ddos-testing@amazon.com eine Berechtigung zur Durchführung eines DDoS-Simulationstests beantragen. Der Antrag muss mindestens 14 Tage vor dem geplanten Testdatum gestellt werden.

Wenden Sie sich an einen AWS-Kundenbetreuer
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Sicherheitsrollen?
Melden Sie sich jetzt an »
Möchten Sie Updates zu AWS Security erhalten?
Folgen Sie uns auf Twitter »