AWS Shield
AWS Cloud

AWS Shield ist ein verwalteter Distributed Denial of Service (DDoS)-Schutz-Service, der Web-Anwendungen schützt, die auf AWS ausgeführt werden. AWS Shield bietet immer aktive Erkennung und automatische Inline-Mitigationen, welche die Ausfallzeiten und Latenzzeiten von Anwendungen minimieren, sodass keine Aktivierung des AWS-Support erforderlich ist, um vom DDoS-Schutz zu profitieren. Es gibt zwei Stufen von AWS Shield – Standard und Erweitert.

Alle AWS-Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz durch AWS Shield Standard. AWS Shield Standard schützt vor den meisten häufig auftretenden DDoS-Angriffen auf Netzwerk und Transportebene, die sich gegen Ihre Website oder Anwendungen richten.

Für einen größeren Schutz vor Angriffen auf Ihre Web-Anwendungen, die auf Ressourcen von Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 ausgeführt werden, können Sie AWS Shield Advanced abonnieren. Neben dem allgemeinen Netzwerk- und Transportebene -Schutz der Standard-Version bietet AWS Shield Advanced zusätzliche Erkennung und Mitigation bei großen und umfangreichen DDoS-Angriffen, fast Echtzeit-Sichtbarkeit bei Angriffen und Integration in AWS WAF, eine Firewall für Webanwendungen. AWS Shield Advanced ermöglicht Ihnen zusätzlich den Zugriff auf das AWS DDoS Response Team (DRT) und Schutz vor DDoS-bezogenen Belastungsspitzen in Ihren ELB-, CloudFront- oder Route 53-Ressourcen.

AWS Shield Advanced ist weltweit an allen Amazon CloudFront- und Amazon Route 53-Edge-Standorten verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um Amazon S3-, Amazon EC2-, Elastic Load Balancing- oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können AWS Shield Advanced auch direkt in Elastic Load Balancing in den folgenden AWS-Regionen aktivieren: Nord-Virginia, Oregon, Irland und Tokio.


100x100_benefit_ingergration

Mit AWS Shield Standard werden Ihre AWS-Ressourcen automatisch vor häufigen, regelmäßig auftretenden Angriffen auf Netzwerk- und Transportebene geschützt. Sie erreichen einen besseren Schutz, indem Sie AWS Shield Advanced einfach über die Management-Konsole oder die APIs für die zu schützenden Elastic Load Balancing (ELB)-, Amazon CloudFront- oder Amazon Route 53-Ressourcen aktivieren.

100x100_benefit_customize

Mit AWS Shield Advanced haben Sie die Flexibilität, angepasste Regeln zu verfassen, um umfangreiche Angriffe auf Anwendungsebeneen zu verringern. Diese anpassbaren Regeln können sofort eingesetzt werden, sodass Sie schnell auf Angriffe reagieren können. Sie können proaktive Regeln einrichten, um schlechten Datenverkehr automatisch zu blockieren oder auf Ereignisse zu reagieren, wenn diese auftreten. Sie können auch das 24X7 AWS DDoS Response Team (DRT) aktivieren, das Regeln für Sie zur Verringerung von DDoS-Angriffen auf die Anwendungsebene zu erstellen.

100x100_benefit_lowcost-affordable

Als AWS-Kunde erhalten Sie automatisch Netzwerkebene-Schutz vor einigen der häufigsten DDoS-Angriffe mit AWS Shield Standard. Für diesen Schutz sind keine zusätzlichen Kosten, Ressourcen oder Einrichtungszeit erforderlich. Mit AWS Shield Advanced erhalten Sie „DDoS cost protection“, eine Funktion, die Ihre AWS Bill vor Elastic Load Balancing (ELB)-, Amazon CloudFront- und Amazon Route 53-Spitzen als Ergebnis eines DDoS-Angriffs schützt.

Schnellerkennung

AWS Shield Standard bietet eine ständig aktive Netzwerküberwachung, die den eingehenden Datenverkehr bei AWS untersucht und eine Kombination aus Verkehrssignaturen, Anomalie-Algorithmen und andere Analysetechniken zur Erkennung von schadhaftem Datenverkehr in Echtzeit verwendet.

Integrierte Angriffsminimierung  

Automatisierte Mitigationstechniken sind in AWS Shield Standard integriert und schützen Sie vor häufigen, regelmäßig auftretenden Angriffen auf Ihre Infrastruktur (Ebene 3 und 4). Automatische Mitigationen werden inline auf Ihre Anwendungen angewendet, sodass keine Auswirkungen auf die Latenz auftreten. Eine ständig aktive Erkennung und Inline-Mitigation minimiert die Ausfallzeiten der Anwendung und Sie müssen den AWS-Support nicht aktivieren, um DDoS-Schutz zu erhalten. AWS Shield Standard verwendet verschiedene Techniken wie deterministische Paketfilterung und prioritätsbasierte Datenverkehrsformung, um Angriffe automatisch ohne Auswirkungen auf Ihre Anwendungen zu mitigieren. Sie können DDoS-Angriffe auf die Anwendungsebene auch mitigieren, indem Sie mithilfe von AWS WAF Regeln verfassen. Bei AWS WAF zahlen Sie nur für die tatsächliche Nutzung.


Verbesserte Erkennung

AWS Shield Advanced bietet eine verbesserte Erkennung durch Überprüfen der Datenströme im Netzwerk und zusätzliche Überwachung des Datenverkehrs in der Anwendungsebene zu Ihren Elastic Load Balancing (ELB)-, Amazon CloudFront- oder Amazon Route 53-Ressourcen. Unter Verwendung zusätzlicher Techniken wie ressourcenspezifische Überwachung ermöglicht AWS Shield Advanced die granulare Erkennung von DDoS-Angriffen. AWS Shield Advanced erkennt DDoS-Angriffe auf die Anwendungsebene wie HTTP-Überflutungen oder DNS-Abfrage-Überflutungen durch Baselining des Datenverkehrs auf Ihrer Ressource und Identifzierung von Anomalien.

Erweiterte Angriffs-Mitigation

Neben den Vorteilen von AWS Shield Standard erhalten Sie zusätzlich noch umfangreichere automatische Mitigationen. Das AWS DDoS Response Team (DRT) wendet zusätzlich manuelle Mitigationen für komplexere und umfangreichere DDoS-Angriffe an. AWS Shield Advanced verwendet erweiterte Routing-Techniken und bietet automatisch weitere Mitigationskapazitäten zum Schutz vor großen DDoS-Angriffen. Für Angriffe auf Anwendungsebeneen können Sie AWS WAF verwenden, um auf Ereignisse zu reagieren. Mit AWS WAF können Sie proaktive Regeln einrichten, um schlechten Datenverkehr automatisch zu blockieren oder auf Ereignisse zu reagieren, wenn diese auftreten. Für die Nutzung von AWS WAF fallen keine zusätzlichen Gebühren an. Sie können auch das DRT auf Ereignisbasis oder mit vorheriger Autorisierung aktivieren. Das DRT erstellt eine Diagnose des Angriffs und wendet mit Ihrer Erlaubnis Mitigationen in Ihrem Namen an.

Sichtbarkeit und Benachrichtigung bei Angriffen

Mit AWS Shield Advanced können Sie DDoS-Angriffe mit einer Benachrichtigung fast in Echtzeit über Amazon CloudWatch vollständig anzeigen. In Zusammenarbeit mit dem DDoS Response Team (DRT) können Sie auf Analysen und Untersuchungen nach dem Ereignis zugreifen. Über die „AWS WAF and AWS Shield“-Management-Konsole können Sie auch eine Zusammenfassung vorheriger Angriffe anzeigen.

Spezialisierter Support

Mit AWS Shield Advanced haben Sie Zugriff auf ein 24X7 DDoS Response Team (DRT), das vor, während oder nach einem DDoS-Angriff aktiviert werden kann. Das DRT unterstützt Sie dabei, die Ereignisse zu sichten, die Grundursachen zu identifizieren und in Ihrem Namen Mitigationen anzuwenden. Sie können das DRT auch für Analysen nach dem Angriff aktivieren.

DDoS-Kostensicherung

AWS Shield Advanced wird mit „DDoS-Kostenschutz“ angeboten, einem Schutz vor steigenden Kosten als Ergebnis eines DDos-Angriffs, der Belastungsspitzen bei Elastic Load Balancing (ELB), Amazon CloudFront oder Amazon Route 53 verursacht. Falls einer dieser Services als Reaktion auf einen DDoS-Angriff angepasst wird, bietet AWS ##Servicerabatte auf Kosten, die aufgrund der Belastungsspitzen entstehen. Weitere Einzelheiten zur Anforderung von Service-Guthaben finden Sie in der erweiterten Dokumentation zu AWS WAF und AWS Shield.

Ihre Web-Anwendungen, die unter AWS ausgeführt werden, sind bereits durch AWS Shield Standard geschützt. Zur Aktivierung von AWS Shield Advanced wechseln Sie zur „AWS WAF and AWS Shield“ Management-Konsole, und wählen Sie die Ressourcen, für die Sie den erweiterten Schutz aktivieren möchten.

Einstieg in AWS Shield