AWS Shield

Verwalteter DDoS-Schutz

AWS Shield ist ein verwalteter Distributed Denial of Service (DDoS)-Schutzservice, der Anwendungen schützt, die auf AWS ausgeführt werden. AWS Shield bietet immer aktive Erkennung und automatische Inline-Mitigationen, welche die Ausfallzeiten und Latenzzeiten von Anwendungen minimieren, sodass keine Aktivierung des AWS-Support erforderlich ist, um vom DDoS-Schutz zu profitieren. Es gibt zwei Stufen von AWS Shield – Standard und Erweitert.

Alle AWS-Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz durch AWS Shield Standard. AWS Shield Standard schützt vor den gängigsten, häufig auftretenden DDoS-Angriffen auf Netzwerk und Transportebene, die sich gegen Ihre Website oder Anwendungen richten. Wenn Sie AWS Shield Standard mit Amazon CloudFront und Amazon Route 53 verwenden, erhalten Sie umfangreichen Verfügbarkeitsschutz gegen alle bekannten Infrastruktur-Angriffe (Ebene 3 und 4).

Um einen erhöhten Schutz vor Angriffen auf Ihre Anwendungen zu gewährleisten, die auf Ressourcen von Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 ausgeführt werden, können Sie AWS Shield Advanced abonnieren. Neben dem Netzwerk- und Transportebenen-Schutz der Standard-Version, bietet AWS Shield Advanced zusätzliche Erkennung und Schadensminderung bei großen und umfangreichen DDoS-Angriffen, fast Echtzeit-Sichtbarkeit bei Angriffen und Integration in AWS WAF, eine Firewall für Webanwendungen. Mit AWS Shield Advanced erhalten Sie darüber hinaus rund um die Uhr Zugang zum AWS DDoS Response Team (DRT) sowie Schutz vor DDoS-bedingten Steigerungen Ihrer Gebühren für Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53.

AWS Shield Advanced ist weltweit an allen Edge-Standorten von Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um einen Server von Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) oder einen benutzerdefinierten Server außerhalb von AWS handeln. Zusätzlich können Sie AWS Shield Advanced in den folgenden AWS-Regionen direkt in einer Elastic IP oder in Elastic Load Balancing (ELB) aktivieren: Nord-Virginia, Oregon, Ohio, Nordkalifornien, Irland, Frankfurt, Tokio und Sydney.

Vorteile

Nahtlose Integration und Implementation

Ihre AWS-Ressourcen sind automatisch mit AWS Shield Standard ausgestattet und vor gängigen, am häufigsten auftretenden DDoS-Angriffen auf Netzwerk- und Transportebene geschützt. Sie erreichen einen besseren Schutz, indem Sie AWS Shield Advanced einfach über die Management-Konsole oder die APIs für die zu schützenden Ressourcen von Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator oder Amazon Route 53 aktivieren. Zur Aktivierung dieser Schutzfunktionen sind keine Routing-Änderungen erforderlich.

Maßgeschneiderter Schutz

AWS Shield Advanced bietet Ihnen die Flexibilität, die Ressourcen auszuwählen, die Sie für den Infrastrukturschutz (Ebene 3 und 4) schützen möchten. Mithilfe von AWS WAF können Sie benutzerdefinierte Regeln verfassen, um raffinierte Angriffe auf Anwendungsebenen zu mitigieren. Diese anpassbaren Regeln können sofort eingesetzt werden, sodass Sie schnell auf Angriffe reagieren können. Sie können Regeln proaktiv einrichten, um schlechten Datenverkehr automatisch zu blockieren oder auf Ereignisse zu reagieren, sobald diese eintreten. Darüber hinaus erhalten Sie rund um die Uhr Unterstützung durch das AWS DDoS Response Team (DRT), das für Sie Regeln zur Schadensmilderung von DDoS-Angriffen auf Anwendungsebene erstellen kann.

Verwalteter Schutz und Angriffssichtbarkeit

Mit AWS Shield Standard erhalten Sie eine stets heuristikbasierte Netzflussüberwachung und integrierte Minimierung der gängigen und am häufigsten auftretenden DDoS-Angriffe auf Netzwerk- und Transportebenen. AWS Shield Advanced bietet verbesserte ressourcenspezifische Erkennung und verwendet fortschrittliche Mitigations- und Routingtechniken für umfangreiche und große Angriffe. Außerdem erhalten Sie rund um die Uhr Zugang zum AWS DDoS Response Team (DRT) für die manuelle Mitigation von Edge-Fällen, die Ihre Verfügbarkeit beeinflussen. Durch AWS CloudWatch-Metriken und Angriffsdiagnosen bietet AWS Shield Advanced außerdem eine Übersicht über und Einsicht in alle Ihre DDoS-Vorfälle. Außerdem können Sie über das Global Threat Environment Dashboard die DDoS-Bedrohungsumgebung in AWS einsehen.

Kostengünstig

AWS Shield Standard steht allen AWS-Kunden ohne Zusatzkosten automatisch zur Verfügung. Mit AWS Advanced erhalten Kunden kostenfrei AWS WAF und AWS Firewall Manager für Ressourcen, die durch AWS Shield Advanced geschützt sind. Außerdem erhalten Sie "DDoS Kostenabsicherung für Skalierung", eine Funktion, die Ihre AWS-Rechnung für EC2-, Elastic Load Balancing- (ELB), Amazon CloudFront-, AWS Global Accelerator- und Amazon Route 53-Ressourcen, die durch AWS Shield Advanced geschützt sind, vor Belastungsspitzen schützt, die durch einen DDoS-Angriff verursacht werden.

Weitere Informationen zu AWS Shield Standard und Advanced Features >>

Vorgestellte Kunden

Netflix 8up logo
Dow Jones 8up logo
Mapbox
Aurora_logo-Pearson
rovio

Schutz-Anwendungsfälle

Webanwendungen und APIs

Bei der Verwendung von Amazon CloudFront, bietet AWS Shield Standard automatisch einen umfassenden Schutz vor Angriffen auf die Infrastrukturebene, wie etwa SYN-Floods, UDP-Floods oder andere Reflexionsangriffe. Die stets aktivierten Erkennungs- und Abwehrsysteme von AWS Shield Standard bereinigen automatisch schädlichen Datenverkehr auf Ebene 3 und 4, um Ihre Anwendung zu schützen. Mehr als 99 % der von AWS Shield Standard erkannten Angriffe auf die Infrastrukturebene werden bei Amazon CloudFront in weniger als einer Sekunde automatisch abgewehrt.

Erfahren Sie, wie Sie mit Amazon CloudFront Ihre dynamischen Anwendungen vor DDoS-Angriffen schützen.

Erfahren Sie, wie Slack Amazon CloudFront zum Schutz vor DDoS-Angriffen einsetzt.

Als weitere Schutzvorkehrungen gegenüber groß angelegten und komplexen DDoS-Angriffen können Sie auch AWS Shield Advanced auf Amazon CloudFront nutzen. Mit Shield Advanced erhalten Sie Rund-um-die-Uhr-Zugang zum AWS DDoS Response Team (DRT). Dieses setzt proaktiv jegliche Abwehrmaßnahmen ein, die zur Abwehr komplexer Angriffe auf die Infrastrukturebene (Ebene 3 oder 4) – etwa mit zusätzlichen Techniken wie Traffic-Engineering – notwendig sind. Darüber hinaus schützt AWS Shield Advanced Sie auch vor Angriffen auf die Anwendungsebene, wie etwa HTTP-Floods. Das stets aktivierte Erkennungssystem von AWS Shield Advanced ermittelt den Regelzustand des Anwendungsverkehrs und überwacht diesen auf Abweichungen. AWS Shield Advanced enthält AWS WAF ohne zusätzliche Kosten. So können Sie Abwehrmaßnahmen für die Anwendungsebene individuell anpassen.

Slack - Secure API Acceleration

Redner:
Alex Graham, Sr. Operations Engineer, Slack Technologies, Inc.

200x100_Slack_Logo

DNS

AWS Shield Standard schützt Ihre von Amazon Route 53 gehosteten Zonen automatisch vor DDoS-Angriffen auf Infrastrukturebene – und dies ohne zusätzliche Kosten. Eingeschlossen sind Reflexions- und ähnliche Angriffe oder SYN Floods, die recht häufig auf DNS-Systeme ausgeübt werden. Zur Mitigation dieser DDoS-Angriffe greift AWS Shield Standard automatisch auf verschiedene Techniken zurück, wie die Headerüberprüfung oder das prioritätsbasierte Traffic-Shaping.

Darüber hinaus bietet AWS Shield Advanced zusätzlichen Schutz vor extremen Situationen, bei denen ein manuelles Eingreifen über die rund um die Uhr verfügbare Unterstützung des AWS DDoS Response Teams erforderlich ist. Ferner bietet AWS Shield Advanced einen umfassenden Überblick über Angriffe auf Ihre Route 53-Infrastruktur.

Weitere Informationen erhalten Sie unter Verringerung von DDoS-Risiken mit Amazon Route 53 und AWS Shield.

Andere Anwendungen (wie UDP-basierte Anwendungen)

Bei anderen eigenen Anwendungen, die nicht auf TCP basieren (wie etwa UDP, SIP usw.), können Sie Dienste wie Amazon CloudFront oder Elastic Load Balancing nicht verwenden. In diesen Fällen müssen Sie Ihre Anwendungen oft auf internetgerichteten Amazon EC2-Instances ausführen. AWS Shield Standard schützt Ihre Amazon EC2-Instance auch vor geläufigen DDoS-Angriffen auf die Infrastrukturebene (Ebene 3 und 4), wie UDP-, DNS-, NTP-, SSDP-Reflexionsangriffen usw. AWS Shield Standard nutzt Techniken wie prioritätsbasiertes Traffic-Shaping, das im Falle einer eindeutig erkannten DDoS-Angriffssignatur automatisch aktiviert wird.

Auch können Sie erweiterten Schutz gegenüber groß angelegten und komplexen DDoS-Angriffen auf diese Anwendungen erhalten, indem Sie AWS Shield Advanced auf einer Elastic IP-Adresse aktivieren. Die verbesserte DDoS-Erkennung von AWS Shield Advanced erkennt den Typ der AWS-Ressource und die Größe der EC2-Instance automatisch und aktiviert die geeigneten, vordefinierten Abwehrmaßnahmen. Mit AWS Shield Advanced können Kunden auch individuelle Abwehrprofile erstellen, indem sie das rund um die Uhr verfügbare AWS DDoS Response Team (DRT) kontaktieren. Darüber hinaus stellt AWS Shield Advanced sicher, dass all Ihre Amazon VPC-Netzwerkzugriffskontrolllisten (ACLs) am AWS-Netzwerkrand automatisch durchgesetzt werden. So erhalten Sie Zugriff auf zusätzliche Bandbreiten- und Bereinigungskapazitäten zur Abwehr groß angelegter DDoS-Angriffe. Mit AWS Shield Advanced erhalten Sie zusätzlichen Schutz vor DDoS-Angriffen wie SYN-Floods oder anderen Vektoren wie UDP-Floods.

Weitere Informationen zum Verknüpfen einer Elastic IP mit einer Amazon EC2-Instance.

Erste Schritte mit AWS

icon1

Registrieren Sie sich, um ein AWS-Konto zu erstellen

Sie erhalten sofort Zugriff auf das kostenlose Kontingent für AWS.
icon2

Erfahren Sie mehr in unseren zehnminütigen praktischen Anleitungen

Entdecken und lernen Sie mit einfachen Tutorials.
icon3

Beginnen Sie die Erstellung mit AWS

Leiten Sie die Erstellung mithilfe von Schritt-für-Schritt-Anleitungen ein, die Sie beim Starten Ihres AWS-Projekt unterstützen.

Weitere Informationen zu AWS Shield

Funktionsübersicht anzeigen
Bereit zum Entwickeln?
Erste Schritte mit AWS Shield
Haben Sie noch Fragen?
Kontaktieren Sie uns