AWS Shield

Verwalteter DDoS-Schutz

AWS Shield ist ein verwalteter Distributed Denial of Service (DDoS)-Schutzservice, der Anwendungen schützt, die auf AWS ausgeführt werden. AWS Shield bietet immer aktive Erkennung und automatische Inline-Mitigationen, welche die Ausfallzeiten und Latenzzeiten von Anwendungen minimieren, sodass keine Aktivierung des AWS-Support erforderlich ist, um vom DDoS-Schutz zu profitieren. Es gibt zwei Stufen von AWS Shield – Standard und Erweitert.

Alle AWS-Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz durch AWS Shield Standard. AWS Shield Standard schützt vor den gängigsten, häufig auftretenden DDoS-Angriffen auf Netzwerk und Transportebene, die sich gegen Ihre Website oder Anwendungen richten. Wenn Sie AWS Shield Standard mit Amazon CloudFront und Amazon Route 53 verwenden, erhalten Sie umfangreichen Verfügbarkeitsschutz gegen alle bekannten Infrastruktur-Angriffe (Ebene 3 und 4).

Um einen erhöhten Schutz vor Angriffen auf Ihre Anwendungen zu gewährleisten, die auf Ressourcen von Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 ausgeführt werden, können Sie AWS Shield Advanced abonnieren. Neben dem Netzwerk- und Transportebenen-Schutz der Standard-Version, bietet AWS Shield Advanced zusätzliche Erkennung und Schadensminderung bei großen und umfangreichen DDoS-Angriffen, fast Echtzeit-Sichtbarkeit bei Angriffen und Integration in AWS WAF, eine Firewall für Webanwendungen. Mit AWS Shield Advanced erhalten Sie darüber hinaus rund um die Uhr Zugang zum AWS DDoS Response Team (DRT) sowie Schutz vor DDoS-bedingten Steigerungen Ihrer Gebühren für Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53.

AWS Shield Advanced ist weltweit an allen Edge-Standorten von Amazon CloudFront und Amazon Route 53 verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um einen Server von Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) oder einen benutzerdefinierten Server außerhalb von AWS handeln. Zusätzlich können Sie AWS Shield Advanced in den folgenden AWS-Regionen direkt in einer Elastic IP oder in Elastic Load Balancing (ELB) aktivieren: Nord-Virginia, Oregon, Irland, Tokio und Nordkalifornien.

Vorteile

Nahtlose Integration und Implementation

Mit AWS Shield Standard werden Ihre AWS-Ressourcen automatisch vor gängigen, am häufigsten auftretenden DDoS-Angriffen auf Netzwerk- und Transportebene geschützt. Sie erreichen einen besseren Schutz, indem Sie AWS Shield Advanced einfach über die Management-Konsole oder die APIs für die zu schützenden Ressourcen von Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront oder Amazon Route 53 aktivieren.

Maßgeschneiderter Schutz

Mit AWS Shield Advanced haben Sie die Flexibilität, maßgeschneiderte Regeln zu verfassen, um Schäden aufgrund umfangreicher Angriffe auf Anwendungsebene zu mildern. Diese anpassbaren Regeln können sofort eingesetzt werden, sodass Sie schnell auf Angriffe reagieren können. Sie können Regeln proaktiv einrichten, um schlechten Datenverkehr automatisch zu blockieren oder auf Ereignisse zu reagieren, sobald diese eintreten. Darüber hinaus erhalten Sie rund um die Uhr Unterstützung durch das AWS DDoS Response Team (DRT), das für Sie Regeln zur Schadensmilderung von DDoS-Angriffen auf Anwendungsebene erstellen kann.

kostengünstig

Als AWS-Kunde erhalten Sie mit AWS Shield Standard automatisch Schutz vor den häufigsten DDoS-Angriffen auf Netzwerkebene. Für diesen Schutz sind keine zusätzlichen Kosten, Ressourcen oder Einrichtungszeit erforderlich. Mit AWS Shield Advanced erhalten Sie "DDoS Kostenabsicherung", eine Funktion, die Ihre AWS-Rechnung für EC2, Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 vor Belastungsspitzen schützt, die durch einen DDoS-Angriff verursacht werden.

Schutz-Anwendungsfälle

Webanwendungen und APIs

Bei der Verwendung von Amazon CloudFront, bietet AWS Shield Standard automatisch einen umfassenden Schutz vor Angriffen auf die Infrastrukturebene, wie etwa SYN-Floods, UDP-Floods oder andere Reflexionsangriffe. Die stets aktivierten Erkennungs- und Abwehrsysteme von AWS Shield Standard bereinigen automatisch schädlichen Datenverkehr auf Ebene 3 und 4, um Ihre Anwendung zu schützen. Mehr als 99 % der von AWS Shield Standard erkannten Angriffe auf die Infrastrukturebene werden bei Amazon CloudFront in weniger als einer Sekunde automatisch abgewehrt.

Erfahren Sie, wie Sie mit Amazon CloudFront Ihre dynamischen Anwendungen vor DDoS-Angriffen schützen.

Erfahren Sie, wie Slack Amazon CloudFront zum Schutz vor DDoS-Angriffen einsetzt.

Als weitere Schutzvorkehrungen gegenüber groß angelegten und komplexen DDoS-Angriffen können Sie auch AWS Shield Advanced auf Amazon CloudFront nutzen. Mit Shield Advanced erhalten Sie Rund-um-die-Uhr-Zugang zum AWS DDoS Response Team (DRT). Dieses setzt proaktiv jegliche Abwehrmaßnahmen ein, die zur Abwehr komplexer Angriffe auf die Infrastrukturebene (Ebene 3 oder 4) – etwa mit zusätzlichen Techniken wie Traffic-Engineering – notwendig sind. Darüber hinaus schützt AWS Shield Advanced Sie auch vor Angriffen auf die Anwendungsebene, wie etwa HTTP-Floods. Das stets aktivierte Erkennungssystem von AWS Shield Advanced ermittelt den Regelzustand des Anwendungsverkehrs und überwacht diesen auf Abweichungen. AWS Shield Advanced enthält AWS WAF ohne zusätzliche Kosten. So können Sie Abwehrmaßnahmen für die Anwendungsebene individuell anpassen.

Slack - Secure API Acceleration

Redner:
Alex Graham, Sr. Operations Engineer, Slack Technologies, Inc.

200x100_Slack_Logo

DNS

AWS Shield Standard schützt Ihre von Amazon Route 53 gehosteten Zonen automatisch vor DDoS-Angriffen auf Infrastrukturebene – und dies ohne zusätzliche Kosten. Eingeschlossen sind Reflexions- und ähnliche Angriffe oder SYN Floods, die recht häufig auf DNS-Systeme ausgeübt werden. Zur Mitigation dieser DDoS-Angriffe greift AWS Shield Standard automatisch auf verschiedene Techniken zurück, wie die Headerüberprüfung oder das prioritätsbasierte Traffic-Shaping.

Darüber hinaus bietet AWS Shield Advanced zusätzlichen Schutz vor extremen Situationen, bei denen ein manuelles Eingreifen über die rund um die Uhr verfügbare Unterstützung des AWS DDoS Response Teams erforderlich ist. Ferner bietet AWS Shield Advanced einen umfassenden Überblick über Angriffe auf Ihre Route 53-Infrastruktur.

Weitere Informationen erhalten Sie unter Verringerung von DDoS-Risiken mit Amazon Route 53 und AWS Shield.

Andere Anwendungen (wie UDP-basierte Anwendungen)

Bei anderen eigenen Anwendungen, die nicht auf TCP basieren (wie etwa UDP, SIP usw.), können Sie Dienste wie Amazon CloudFront oder Elastic Load Balancing nicht verwenden. In diesen Fällen müssen Sie Ihre Anwendungen oft auf internetgerichteten Amazon EC2-Instances ausführen. AWS Shield Standard schützt Ihre Amazon EC2-Instance auch vor geläufigen DDoS-Angriffen auf die Infrastrukturebene (Ebene 3 und 4), wie UDP-, DNS-, NTP-, SSDP-Reflexionsangriffen usw. AWS Shield Standard nutzt Techniken wie prioritätsbasiertes Traffic-Shaping, das im Falle einer eindeutig erkannten DDoS-Angriffssignatur automatisch aktiviert wird.

Auch können Sie erweiterten Schutz gegenüber groß angelegten und komplexen DDoS-Angriffen auf diese Anwendungen erhalten, indem Sie AWS Shield Advanced auf einer Elastic IP-Adresse aktivieren. Die verbesserte DDoS-Erkennung von AWS Shield Advanced erkennt den Typ der AWS-Ressource und die Größe der EC2-Instance automatisch und aktiviert die geeigneten, vordefinierten Abwehrmaßnahmen. Mit AWS Shield Advanced können Kunden auch individuelle Abwehrprofile erstellen, indem sie das rund um die Uhr verfügbare AWS DDoS Response Team (DRT) kontaktieren. Darüber hinaus stellt AWS Shield Advanced sicher, dass all Ihre Amazon VPC-Netzwerkzugriffskontrolllisten (ACLs) am AWS-Netzwerkrand automatisch durchgesetzt werden. So erhalten Sie Zugriff auf zusätzliche Bandbreiten- und Bereinigungskapazitäten zur Abwehr groß angelegter DDoS-Angriffe. Mit AWS Shield Advanced erhalten Sie zusätzlichen Schutz vor DDoS-Angriffen wie SYN-Floods oder anderen Vektoren wie UDP-Floods.

Weitere Informationen zum Verknüpfen einer Elastic IP mit einer Amazon EC2-Instance.

Erste Schritte mit AWS

icon1

Registrieren Sie sich für ein AWS-Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
icon2

Erfahren Sie mehr in unseren zehnminütigen praktischen Anleitungen

Entdecken und lernen mit einfachen Tutorials.
icon3

Beginnen Sie die Erstellung mit AWS

Leiten Sie die Erstellung mithilfe von Schritt-für-Schritt-Anleitungen ein, die Sie beim Starten Ihres AWS-Projekt unterstützen.

Weitere Informationen zu AWS Shield

Funktionsübersicht anzeigen
Bereit zum Entwickeln?
Erste Schritte mit AWS Shield
Haben Sie noch Fragen?
Kontakt