AWS Shield
AWS Cloud

AWS Shield ist ein verwalteter Distributed Denial of Service (DDoS)-Schutz-Service, der Anwendungen schützt, die auf AWS ausgeführt werden. AWS Shield bietet immer aktive Erkennung und automatische Inline-Mitigationen, welche die Ausfallzeiten und Latenzzeiten von Anwendungen minimieren, sodass keine Aktivierung des AWS-Support erforderlich ist, um vom DDoS-Schutz zu profitieren. Es gibt zwei Stufen von AWS Shield – Standard und Erweitert.

Alle AWS-Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz durch AWS Shield Standard. AWS Shield Standard schützt vor den meisten häufig auftretenden DDoS-Angriffen auf Netzwerk- und Transportebene, die sich gegen Ihre Website oder Anwendungen richten. Wenn Sie AWS Shield Standard mit Amazon CloudFront und Amazon Route 53 verwenden, erhalten Sie umfangreichen Verfügbarkeitsschutz gegen alle bekannten Infrastruktur-Angriffe (Ebene 3 und 4).

Für einen größeren Schutz vor Angriffen auf Ihre Anwendungen, die auf Ressourcen von Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 ausgeführt werden, können Sie AWS Shield Advanced abonnieren. Neben dem Netzwerk- und Transportebenenschutz der Standard-Version bietet AWS Shield Advanced zusätzliche Erkennung und Abwehr bei großen und umfangreichen DDoS-Angriffen, fast Echtzeit-Sichtbarkeit bei Angriffen und Integration in AWS WAF, eine Firewall für Webanwendungen. Mit AWS Shield Advanced erhalten Sie darüber hinaus rund um die Uhr Zugang zum AWS DDoS Response Team (DRT) sowie Schutz vor Gebührenspitzen für Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 aufgrund von DDoS-Angriffen.

AWS Shield Advanced ist weltweit an allen Amazon CloudFront- und Amazon Route 53-Edge-Standorten verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um Amazon S3-, Amazon Elastic Compute Cloud (EC2)-, Elastic Load Balancing (ELB)- oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können AWS Shield Advanced in den folgenden AWS-Regionen direkt in einer Elastic IP oder in Elastic Load Balancing (ELB) aktivieren: Nord-Virginia, Oregon, Irland, Tokio und Nordkalifornien.

100x100_benefit_ingergration

Mit AWS Shield Standard werden Ihre AWS-Ressourcen automatisch vor bekannten, regelmäßig auftretenden Angriffen auf Netzwerk- und Transportebene geschützt. Sie erreichen einen besseren Schutz, indem Sie AWS Shield Advanced einfach über die Management-Konsole oder die APIs für die zu schützenden Elastic IP-, Elastic Load Balancing (ELB)-, Amazon CloudFront- oder Amazon Route 53-Ressourcen aktivieren.

100x100_benefit_customize

Mit AWS Shield Advanced haben Sie die Flexibilität, angepasste Regeln zu verfassen, um umfangreiche Angriffe auf Anwendungsebeneen zu verringern. Diese anpassbaren Regeln können sofort eingesetzt werden, sodass Sie schnell auf Angriffe reagieren können. Sie können Regeln proaktiv einrichten, um schlechten Datenverkehr automatisch zu blockieren oder auf Ereignisse zu reagieren, sobald diese eintreten. Darüber hinaus erhalten Sie rund um die Uhr Unterstützung durch das AWS DDoS Response Team (DRT), das für Sie Regeln zur Verringerung von DDoS-Angriffen auf Anwendungsebene erstellen kann.

100x100_benefit_lowcost-affordable

Als AWS-Kunde erhalten Sie mit AWS Shield Standard automatisch Schutz vor den häufigsten DDoS-Angriffen auf Netzwerkebene. Für diesen Schutz sind keine zusätzlichen Kosten, Ressourcen oder Einrichtungszeit erforderlich. Mit AWS Shield Advanced erhalten Sie "DDoS Kostenabsicherung", eine Funktion, die Ihre AWS-Rechnung vor EC2-, Elastic Load Balancing (ELB)-, Amazon CloudFront- und Amazon Route 53-Belastungsspitzen als Ergebnis eines DDoS-Angriffs schützt.

Schnellerkennung

AWS Shield Standard bietet eine ständig aktive Netzwerküberwachung, die den eingehenden Datenverkehr bei AWS untersucht und eine Kombination aus Verkehrssignaturen, Anomalie-Algorithmen und andere Analysetechniken zur Erkennung von schadhaftem Datenverkehr in Echtzeit verwendet

Integrierte Angriffsminimierung

Automatisierte Abwehrtechniken sind in AWS Shield Standard integriert und schützen Sie vor bekannten, regelmäßig auftretenden Angriffen auf Ihre Infrastruktur. Automatische Mitigationen werden inline auf Ihre Anwendungen angewendet, sodass keine Auswirkungen auf die Latenz auftreten. AWS Shield Standard verwendet verschiedene Techniken wie deterministische Paketfilterung und prioritätsbasierte Datenverkehrsformung, um Angriffe automatisch ohne Auswirkungen auf Ihre Anwendungen zu mitigieren. Sie können DDoS-Angriffe auf die Anwendungsebene auch mitigieren, indem Sie mithilfe von AWS WAF Regeln verfassen. Bei AWS WAF zahlen Sie nur für die tatsächliche Nutzung.

Eine ständig aktive Erkennung und Inline-Abwehr minimiert die Ausfallzeiten von Anwendungen und Sie müssen den AWS Support nicht aktivieren, um DDoS-Schutz zu erhalten


Verbesserte Erkennung

Mit AWS Shield Advanced erhalten Sie rund um die Uhr Zugang zum DDoS Response Team (DRT), das vor, während oder nach einem DDoS-Angriff benachrichtigt werden kann. Das DRT unterstützt Sie dabei, die Ereignisse zu sichten, die Grundursachen zu identifizieren und in Ihrem Namen Mitigationen anzuwenden. Sie können das DRT auch für Analysen nach dem Angriff aktivieren.

Erweiterte Angriffs-Mitigation

AWS Shield Advanced bietet Ihnen erweiterte automatische Mitigationsfunktionen. AWS Shield Advanced verwendet erweiterte Routing-Techniken und bietet automatisch weitere Abwehrkapazitäten zum Schutz vor größeren DDoS-Angriffen. Das AWS DDoS Response Team (DRT) wendet zusätzlich manuelle Mitigationen für komplexere und umfangreichere DDoS-Angriffe an. Für Angriffe auf Anwendungsebeneen können Sie AWS WAF verwenden, um auf Ereignisse zu reagieren. Mit AWS WAF können Sie proaktive Regeln einrichten, um schlechten Datenverkehr automatisch zu blockieren oder auf Ereignisse zu reagieren, wenn diese auftreten. Für die Nutzung von AWS WAF fallen keine zusätzlichen Gebühren an. Sie können sich zudem direkt das DRT wenden, um als Antwort auf einen DDoS-Angriff auf Anwendungsebene AWS WAF-Regeln in Ihrem Auftrag zu platzieren. Das DRT erstellt eine Diagnose des Angriffs und wendet mit Ihrer Erlaubnis Mitigationen in Ihrem Namen an.

Sichtbarkeit und Benachrichtigung bei Angriffen

AWS Shield Advanced bietet Ihnen einen umfassenden Überblick über alle DDoS-Angriffe mit nahezu Echtzeitbenachrichtigung via Amazon CloudWatch und ausführlichen Diagnosen in der Management Console von AWS WAF und AWS Shield. In Zusammenarbeit mit dem DDoS Response Team (DRT) können Sie auf Analysen und Untersuchungen nach dem Ereignis zugreifen. Über die „AWS WAF and AWS Shield“-Management-Konsole können Sie auch eine Zusammenfassung vorheriger Angriffe anzeigen.

Spezialisierter Support

AWS Shield Advanced bietet eine verbesserte Erkennung durch Überprüfen der Datenströme im Netzwerk und zusätzliche Überwachung des Datenverkehrs in der Anwendungsebene zu Ihren Elastic IP-Adress-, Elastic Load Balancing (ELB)-, Amazon CloudFront- oder Amazon Route 53-Ressourcen. Unter Verwendung zusätzlicher Techniken wie ressourcenspezifische Überwachung ermöglicht AWS Shield Advanced die granulare Erkennung von DDoS-Angriffen. AWS Shield Advanced erkennt DDoS-Angriffe auf die Anwendungsebene wie HTTP-Überflutungen oder DNS-Abfrage-Überflutungen durch Baselining des Datenverkehrs auf Ihrer Ressource und Identifzierung von Anomalien.

DDoS-Kostensicherung

AWS Shield Advanced wird mit "DDoS-Kostenabsicherung" angeboten, einem Schutz vor steigenden Kosten als Ergebnis eines DDoS-Angriffs, der Belastungsspitzen bei Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront oder Amazon Route 53 verursacht. Falls einer dieser Services als Reaktion auf einen DDoS-Angriff angepasst wird, bietet AWS Service-Gutschriften für AWS Shield auf Kosten, die aufgrund der Belastungsspitzen entstehen. Weitere Einzelheiten zur Anforderung von Service-Guthaben finden Sie in der erweiterten Dokumentation zu AWS WAF und AWS Shield.

DNS

Verwenden von Amazon Route 53

AWS Shield Standard schützt Ihre von Amazon Route 53 bereitgestellten Zonen vor DDoS-Angriffen über die Infrastruktur – und dies ohne zusätzliche Kosten. Eingeschlossen sind Reflexions- und ähnliche Angriffe oder SYN Floods, die recht häufig auf DNS-Systeme ausgeübt werden. Zur Mitigation dieser DDoS-Angriffe greift AWS Shield Standard automatisch auf verschiedene Techniken zurück, wie die Headerüberprüfung oder das prioritätsbasierte Traffic-Shaping.

Darüber hinaus bietet AWS Shield Advanced zusätzlichen Schutz vor extremen Situationen, bei denen ein manuelles Eingreifen über die rund um die Uhr verfügbare Unterstützung des AWS DDoS Response Teams erforderlich ist. Ferner bietet AWS Shield Advanced einen umfassenden Überblick über Angriffe auf Ihre Route 53-Infrastruktur.

Weitere Informationen erhalten Sie unter Reduzieren von DDoS-Risiken mit Amazon Route 53 und AWS Shield.


Webanwendungen und APIs
Verwendung von Amazon CloudFront oder Application Load Balancer

Bei der Verwendung von Amazon CloudFront bietet AWS Shield Standard automatisch einen umfassenden Schutz vor Angriffen auf die Infrastrukturebene, wie etwa SYN-Floods, UDP-Floods oder andere Reflexionsangriffe. Die stets aktivierten Erkennungs- und Abwehrsysteme von AWS Shield Standard bereinigen schädlichen Datenverkehr automatisch auf Ebene 3 und 4, um Ihre Anwendung zu schützen. Mehr als 99 % der von AWS Shield Standard erkannten Angriffe auf die Infrastrukturebene werden bei Amazon CloudFront in weniger als einer Sekunde abgewehrt.

Erfahren Sie, wie Sie mit Amazon CloudFront Ihre dynamischen Anwendungen vor DDoS-Angriffen schützen.

Erfahren Sie, wie Slack Amazon CloudFront zum Schutz vor DDoS-Angriffen einsetzt.

Redner:
Alex Graham, Sr. Operations Engineer, Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

Als weitere Schutzvorkehrungen gegenüber groß angelegten und komplexen DDoS-Angriffen können Sie auch AWS Shield Advanced auf Amazon CloudFront nutzen. Mit Shield Advanced erhalten Sie Rund-um-die-Uhr-Zugang zum AWS DDos Response Team (DRT). Dieses setzt proaktiv jegliche Abwehrmaßnahmen ein, die zur Abwehr komplexer Angriffe auf die Infrastrukturebene (Ebene 3 oder 4) – etwa mit zusätzlichen Techniken wie Traffic-Engineering – notwendig sind. Darüber hinaus schützt AWS Shield Advanced Sie auch vor Angriffen auf die Anwendungsebene, wie etwa HTTP-Floods. Das stets aktivierte Erkennungssystem von AWS Shield Advanced ermittelt den Regelzustand des Anwendungsverkehrs und überwacht diesen auf Abweichungen. AWS Shield Advanced enthält AWS WAF ohne zusätzliche Kosten. So können Sie Abwehrmaßnahmen für die Anwendungsebene individuell anpassen.


Andere Anwendungen (wie UDP-basierte Anwendungen)
Verwenden elastischer IP-Adressen

Bei anderen eigenen Anwendungen, die nicht auf TCP basieren (wie etwa UDP, SIP usw.), können Sie Dienste wie Amazon CloudFront oder Elastic Load Balancing nicht verwenden. In diesen Fällen müssen Sie Ihre Anwendungen oft auf internetgerichteten Amazon EC2-Instances ausführen. AWS Shield Standard schützt Ihre Amazon EC2-Instance auch vor geläufigen DDoS-Angriffen auf die Infrastrukturebene (Ebene 3 und 4), wie UDP-, DNS-, NTP-, SSDP-Reflexionsangriffen usw. AWS Shield Standard nutzt Techniken wie prioritätsbasiertes Traffic-Shaping, das im Falle einer eindeutig erkannten DDoS-Angriffssignatur automatisch aktiviert wird.

Auch können Sie erweiterten Schutz gegenüber groß angelegten und komplexen DDoS-Angriffen auf diese Anwendungen erhalten, indem Sie AWS Shield Advanced auf einer elastischen IP-Adresse aktivieren. Die verbesserte DDoS-Erkennung von AWS Shield Advanced erkennt den Typ der AWS-Ressource und die Größe der EC2-Instance automatisch und aktiviert die geeigneten, vordefinierten Abwehrmaßnahmen. Mit AWS Shield Advanced können Kunden auch individuelle Abwehrprofile erstellen, indem sie das rund um die Uhr verfügbare AWS DDoS Response Team (DRT) kontaktieren. Darüber hinaus stellt AWS Shield Advanced sicher, dass all Ihre Amazon VPC-Netzwerkzugriffskontrolllisten (ACLs) am AWS-Netzwerkrand automatisch durchgesetzt werden. So erhalten Sie Zugriff auf zusätzliche Bandbreiten- und Bereinigungskapazitäten zur Abwehr groß angelegter DDoS-Angriffe. Mit AWS Shield Advanced erhalten Sie zusätzlichen Schutz vor DDoS-Angriffen wie SYN-Floods oder anderen Vektoren wie UDP-Floods.

Erfahren Sie mehr über das Verknüpfen einer elastischen IP mit einer Amazon EC2-Instance.

Ihre Web-Anwendungen, die unter AWS ausgeführt werden, sind bereits durch AWS Shield Standard geschützt. Zur Aktivierung von AWS Shield Advanced wechseln Sie zur „AWS WAF and AWS Shield“ Management-Konsole, und wählen Sie die Ressourcen, für die Sie den erweiterten Schutz aktivieren möchten.

Einstieg in AWS Shield